近年,ルータやゲートウエイが取得可能な情報を使って新たなサービスを提供する試みが提案,検討されている.従来,NIDS (Network Intrusion Detection System)構築のため,ゲートウェイ上でレイヤ7での情報検出を可能とするソフトウェア実装は存在したが,アプリケーションプロトコルのHTTP/1.1のgzip encodeやchunk encodeに対応し,情報の検索と抽出を主目的とした実装は公開されていない.そこで本論文ではlibpcapを利用してLinuxゲートウェイのethデバイスやpcapファイルのトラヒックからTCPストリーム再構築と前記HTTPのデコードを行い,文字列抽出を実現するオープンソース・ソフトウエアSLIM (Smart Linux Interface Monitor)を実装,評価した.SLIMにおいて使用メモリ量を削減するため,コンテキストスイッチを利用したパケット単位のTCPストリーム再構築を独自に実装した.評価結果より,SLIMはオンライン解析を行った場合,ゲートウェイ上で21.3Mbpsの処理が可能であり,pcapファイルを直接処理した上でPostgreSQLに保存した場合86.8Mbps, ファイルとして保存した場合1.12Gbpsを達成した.また,オフライン解析を行った場合,1.5TB・最大73万コネクションを含むコアネットワークの仮想トラヒックを解析可能であることを示した.この時,使用メモリ量は5.87GBであった.また,SLIMは研究室ゲートウェイで3ヶ月以上安定して連続動作に成功した.
