Phân tích hiệu năng của hệ thống phát hiện xâm nhập dựa trên mạng (NIDS) sử dụng mạng hàng đợi

Bài viết tiến hành phân tích hiệu năng của IDS, đề xuất sử dụng mô hình hàng đợi để phân tích hiệu năng của hệ thống phát hiện xâm nhập dựa vào kết nối mạng (NIDS), một trong những phương pháp hiệu quả.

PHÂN TÍCH HIỆU NĂNG CỦA HỆ THỐNG PHÁT HIỆN XÂM NHẬP

DỰA TRÊN MẠNG (NIDS) SỬ DỤNG MẠNG HÀNG ĐỢI

Phạm Tư Cường, Hồ Khánh Lâm

Trường Đại học Sư phạm Kỹ thuật Hưng Yên

Ngày tòa soạn nhận được bài báo: 10/08/2017 Ngày phản biện đánh giá và sửa chữa: 26/08/2017 Ngày bài báo được duyệt đăng: 10/09/2017

Tóm tắt:

Hệ thống phát hiện xâm nhập IDS đóng vai trò quan trọng và cần thiết trong cấu trúc kết nối LAN nhằm đảm bảo an ninh cho một cơ sở, cơ quan nhà nước, doanh nghiệp, trường học, Ngày nay sự gia tăng tấn công mạng càng yêu cầu lớn về các loại IDS Công nghệ của IDS, các giải pháp an ninh mà IDS thực hiện gia tăng hiệu quả trong đảm bảo an ninh mạng Do đó, phân tích hiệu năng của IDS là một vấn

đề được quan tâm nghiên cứu Bài báo này đề xuất sử dụng mô hình hàng đợi để phân tích hiệu năng của

hệ thống phát hiện xâm nhập dựa vào kết nối mạng (NIDS), một trong những phương pháp hiệu quả.

Từ khóa: NIDS, hiệu năng, LAN, mạng hàng đợi.

1 Đặt vấn đề

IDS (Instrusion Detection System) ngày

càng thông dụng trong xây dựng các giải pháp đảm

bảo an ninh mạng cho nhiều mạng máy tính kết

nối Internet Có nhiều loại IDS có thể áp dụng kết

hợp trong thiết kế LAN kết nối Internet Mặc dù có

những nhược điểm nhưng hệ thống IDS dựa vào

mạng NIDS (Network based Instrusion Detection

System) lại được dùng phổ biến trong sự kết hợp

với các loại IDS khác Trong kết nối LAN, NIDS

được sau Router+Firewall, bởi vì toàn bộ lưu lượng

các gói tin từ Internet phải đi qua NIDS để thực

hiện phát hiện xâm nhập Vì vậy, NIDS sẽ dễ dàng

bị quá tải hay bị tấn công dạng DoS (từ chối dịch

vụ Hiệu năng của NIDS ảnh hưởng lớn đến toàn

bộ hoạt động của LAN Công nghệ của NIDS ảnh

hưởng đến tốc độ xử lý (phục vụ) các gói tin đến,

trong đó có một số yếu tố hiệu năng như sau

Khả năng kháng cự của IDS (resistance

to atackers directed at the IDS): số đo này chỉ ra

khả năng chống chọi của IDS trước các cố gắng tấn

công phá vỡ hoạt động của IDS Các tấn công vào

IDS có thể ở các dạng:

- Gửi một lượng lớn lưu lượng không tấn công

với dung lượng vượt quá khả năng xử lý của IDS

- Gửi đến IDS các gói không tấn công nhưng

lại được khôn khéo kích hoạt các nghi ngờ bên

trong IDS, khi đó IDS có thể đưa ra các cảnh báo

sai hoặc làm hỏng công cụ hiển thị

- Gửi đến IDS một số lượng các gói tấn công

nhằm làm sao lãng người quản trị IDS trong khi

kẻ tấn công lại đưa vào tấn công thực sự dấu dưới

“smokescreen” được tạo bởi vô số các tấn công khác

- Gửi đến IDS các gói chứa dữ liệu có thể

khai thác đặc tính yếu kém (hay lỗ hổng an ninh)

trong các thuật toán xử lý của NIDS Kiểu tấn công

này sẽ chỉ thành công nếu IDS chứa lỗi mã hóa có thể bị khai thác bởi kẻ tấn công kinh nghiệm và thông minh

Khả năng xử lý lưu lượng băng thông cao của NIDS: số đo này chỉ ra NIDS vận hành như

thế nào khi có khối lượng lớn lưu lượng đến Hầu hết các NIDS sẽ bắt đầu bỏ các gói vì khối lượng lưu lượng tăng lên, dẫn đến chúng bỏ qua các tấn công Ở một ngưỡng nào đó, hầu hết các NIDS sẽ dừng phát hiện bất kỳ tấn công nào Thông số này tương tự như “khả năng kháng cự của NIDS” khi

kẻ tấn công gửi khối lượng lớn lưu lượng không tấn công đến NIDS Chỉ có sự khác nhau là số đo này tính khả năng của IDS xử lý các khối lượng của lưu lượng cơ sở bình thường

Khả năng liên hệ các sự kiện: thông số này

chỉ ra IDS liên hệ các sự kiện tấn công Những sự kiện này có thể được lấy từ IDS, router, firewall, các log của ứng dụng, hoặc các thiết bị trong mạng Mục đích đầu tiên của liên hệ các sự kiện là xác định các tấn công đã xâm nhập

Khả năng phát hiện các tấn công chưa có trước đó: thông số này chỉ ra IDS phát hiện các tấn

công mà các tấn công chưa xuất hiện trước đó

Khả năng nhận dạng tấn công: số đo này

chỉ ra IDS nhận dạng tốt như thế nào tấn công mà

nó được phát hiện nhờ sự gán nhãn từng tấn công với tên chung hoặc tên dễ bị tổn thương hoặc nhờ sự gán tấn công cho một loại

Khả năng xác định sự thành công của tấn công: thông số này chỉ ra IDS có thể xác định sự

thành công của các tấn công từ các nơi xa mà kẻ tấn công có được các thẩm quyền cấp độ về an ninh của

hệ thống bị tấn công Khả năng này là cơ sở để phân tích sự liên hệ tấn công và kịch bản tấn công

So sánh dung lượng cho NIDS: NIDS yêu

cầu giao thức cấp độ cao so với các thiết bị mạng

khác như router, switch Do đó, quan trọng là đo khả

năng của NIDS để chiếm đoạt, xử lý và thực hiện ở

cùng một cấp độ chính xác dựa vào tải của mạng

Một số thông số khác cũng được đưa vào

đánh giá hiệu năng của IDS:

- Số lượng các nút trong mạng

- Xác suất của lỗi tấn công (cấp độ an ninh

của hệ thống)

- Giới hạn về số lượng các lần cố tấn công

- Số lượng các nút trong mạng bị tấn công

- Số lượng các liên kết mà IDS theo vết từ

nút bị tấn công đến nguồn tấn công

Một số yếu tố khác như: tính dễ dàng sử

dụng, dễ dàng bảo trì, cách đưa ra khai thác, các

yêu cầu tài nguyên, độ sẵn sàng và chất lượng của

hỗ trợ, v.v Những yếu tố này không trực tiếp liên

quan đến hiệu năng của IDS nhưng có thể có ý

nghĩa nhiều hơn trong nhiều tình trạng thương mại

2 Các nghiên cứu liên quan

Nghiên cứu [1] đưa ra phân tích hiệu năng

các hệ thống phát hiện và ngăn chặn xâm nhập IDPS

(Instrusion Detection and Prevention Systems) như

là các dịch vụ hàng đợi với mô hình hàng đợi mở

hữu hạn M/G/1/K Các tác giả của [2] lại đưa ra định

dạng hàng đợi của sự phát hiện xâm nhập để đánh

giá chất lượng của IDS qua các đáp ứng tích cực và

thụ động với mục đích tìm ra cấu hình phù hợp và

quyết định kiểm tra sự đáp ứng tích cực và thụ động

đối với các xâm nhập Các đáp ứng này dựa trên các

cảnh báo Chất lượng của IDS được thể hiện qua

các tỷ lệ phát hiện và tỷ lệ cảnh báo sai Các firewall

mạng nói chung trong đó gồm cả IDS được nghiên

cứu [3] mô hình hóa bằng hàng đợi hữu hạn dựa trên

chuỗi Markov nhúng (Embedded Markov Chain) để

phân tích hiệu năng của chúng khi có lưu lượng bình

thường cũng như có các lưu lượng tấn công DoS qua

các thông số: thông lượng, mất gói, trễ gói, mức độ

sử dụng của CPU trên firewall Nghiên cứu [4] tổng

hợp các ứng dụng của Markov ẩn cho IDS Một số

nghiên cứu, ví dụ [5][6][7] ứng dụng mạng nơron để

đánh giá hiệu năng của IDS

3 Mạng hàng đợi đóng của NIDS đa lớp công

việc [8][9]

• Mạng hàng đợi đa lớp công việc:

Một mạng hàng đợi (đóng, mở, hoặc kết

hợp) có thể có một số lớp công việc Các lớp công

việc (một luồng gói tin) khác nhau bởi các thời

gian phục vụ và các xác suất định tuyến của chúng

Một công việc có thể chuyển từ một lớp sang lớp

khác khi nó chuyển từ một nút đến một nút khác

Nếu không có công việc việc nào của một lớp cụ

thể không chuyển từ bên ngoài mạng đến hoặc rời

khỏi mạng ra ngoài thì số lượng công việc của một lớp không thay đổi và lớp công việc đó được gọi là đóng Ngược lại, lớp công việc không đóng được gọi là mở Nếu mạng hàng đợi chứa cả các lớp đóng

và mở thì mạng được gọi là mạng kết hợp

Có các ký hiệu sau đây cần phải được bổ sung

để mô tả các mạng hàng đợi nhiều lớp công việc:

R - số lượng các lớp công việc trong một mạng.

n ir - số lượng các công việc của lớp thứ r ở nút i; đối với một mạng đóng:

n ir N

r R i K

1

=

/

N r - số lượng công việc của lớp thứ r trong toàn

mạng; giá trị này không nhất thiết là hằng số ngay cả trong mạng đóng, bởi vì một công việc khi chuyển từ một nút đến một nút khác có thể chuyển lớp:

n ir N r i

K

=

/

N - tổng số công việc thuộc tất cả các lớp

của toàn mạng là một vector tổng các số lượng công việc của từng lớp:

N = (N1, N2, , N R)

S i - trạng thái của nút i của mạng là: S i = (n i1,

n i2 , , n iR) và thỏa mãn: S i N

i K

=

S - trạng thái của toàn mạng gồm nhiều lớp

các công việc là vector: S = (S1, S2, , S N)

ir

n - tốc độ phục vụ của nút i cho tất các các công việc thuộc một lớp r.

,

ir js

r - xác suất định tuyến mà một công việc

của lớp r ở nút i được chuyển đến nút j của lớp s.

,js

0

r - xác suất trong một mạng mở mà một

công việc từ ngoài mạng chuyển đến nút j thuộc lớp s.

0 ,

ir

r - xác suất trong một mạng mở mà một

công việc của lớp r rời khỏi mạng sau khi đã được phục vụ xong ở nút i:

1

s R j

K

0

1 1

=

/

m - tổng tốc độ đến từ ngoài mạng

,ir

0

m - tốc độ đến nút i từ ngoài mạng của các công việc thuộc lớp r, m0,ir = m r 0,ir

ir

m - tốc độ đến nút i của các công việc thuộc lớp r, đối với mạng mở:

s

R

js ir j

K

0

1 1

=

/

• Đề xuất mạng hàng đợi mở cho LAN với Firewall và NIDS:

Mạng hàng đợi mở gồm các nút hàng đợi dạng M/M/n, trong đó Router+Firewall được mô hình bằng hàng đợi M/M/1, NIDS được mô hình bằng hàng đọi M/M/1, các máy chủ Servers được

mô hình bằng hàng đợi M/M/8 (cho rằng trong LAN

có khoảng 8 servers), mạng Ethernet gồm 300 máy trạm được mô hình bằng hàng đợi M/M/300 (Hình

1) Mạng hàng đợi mở có nguồn vào (Source) từ

Internet là các luồng dữ liệu tấn công (packet attack

flow) - gọi là lớp công việc 1 (job class 1) và, luồng

dữ liệu bình thường (Packer normal service flow) -

gọi là lớp công việc 2 (job class 2) Mặc định cho

rằng các nút hàng đợi có khả năng xử lý được tất cả

các gói tin đến (khách hàng, hay công việc), do đó

kích thước hàng đợi là ∞ Toàn bộ lưu lượng các gói

tin từ Internet trước tiên phải qua Route+Firewall

và NIDS Để phân tích ảnh hưởng NIDS đến hiệu

năng của LAN (gồm các servers và các máy trạm,

cho rằng NIDS xử lý được lưu lượng tấn công (class 2) và không cho lưu lượng này đi vào LAN, mà chỉ lượng bình thường (class 1) vào LAN Sự thay đổi tốc độ xử lý luồng tấn công ảnh hưởng đến đáp ứng trung bình của NIDS và của cả LAN

Để thực hiện mô phỏng và tính toán hiệu năng của mạng hàng đợi đề xuất, tác giả sử dụng công cụ mô phỏng JMT v.1.0.1 (Java Modelling Tools) [10] Sơ đồ ở Hình 2 và các kết quả mô phỏng ở dạng các đồ thị cho ở các Hình 3: (1)-(24) nhận được từ chạy chương trình JMT

Hình 1 Mạng hàng đợi mở của LAN+NIDS

Hình 2 Mạng hàng đợi mở của LAN+NIDS trong JMT v.1.0.1

Thực hiện 3 kịch bản với sự thay đổi thời

gian phục vụ trung bình E[S] của các hàng đợi

Rout-er+Firewall và NIDS đối với luồng các gói tấn công

(job class 2) Thời gian phục vụ trung bình của các

hàng đợi đối với luồng gói dịch vụ bình thường (job

class 1) không thay đổi và bằng 0.5s cho cả 3 kịch

bản Tốc độ đến trung bình của các gói dữ liệu tấn

công và bình thường từ Source đều là λ = 0.5s-1 Hai

số đo hiệu năng được tính trong mô phỏng là E[N]

- số khách hàng trung bình (Number of Customers)

và E[R] - đáp ứng trung bình (Response Time) (s)

4 Kết quả mô phỏng

1) Kịch bản 1: Các thời gian phục vụ

trung bình, E[S]:

Class 1: đặt thời gian phục vụ trung bình của

Router+firewall và NIDS bằng 0.5s, của Servers và

Ethernet bằng 0.5s

Class 2: đặt thời gian phục vụ trung bình của Router+firewall và NIDS bằng 0.1s, của Servers và Ethernet bằng 0.5s

Tốc độ đến trung bình từ Source (Internet), λ: của các luồng gói tin Class 1 và Class 2 bằng 0.5sec-1; Các kết quả tính trên JMT cho ở các hình (1) - (8)

Hình 3: (1) Number of customers of NIDS (class1)

125.088

Hình 3: (2) Response Time of NIDS (class 1): 98.838s

Hình 3: (3) Number of customers of NIDS (class

2) 52.305

Hình 3: (4) Response Time of NIDS (class 2): 14.31s

Hình 3: (5) Number of Customers of Servers (class

1), 0.365

Hình 3: (6) Response Time of Servers (class 1): 0.500s

Hình 3: (7) Number of customers of Ethernet (class

1), 0.699

Hình 3: (8) Response Time of Ethernet (class 1):

0.499s

Từ Hình 3: (1) đến Hình 3: (8) thể hiện kết quả của số lượng khách hàng trung bình và mức đáp ứng trung bình của hệ thống trong kịch bản 1

2) Kịch bản 2:

Các thời gian phục vụ trung bình, E[S]:

Class 1: đặt thời gian phục vụ trung bình của Router+firewall và NIDS bằng 0.5s, của các Servers và Ethernet bằng 0.5s

Class 2: đặt thời gian phục vụ trung bình của Router+firewall và NIDS bằng 0.5s, của các Servers và Ethernet bằng 0.5s

Tốc độ đến trung bình từ Source (Internet), λ: của các luồng gói tin Class 1 và Class

2 bằng 0.5sec-1; Các kết quả tính trên JMT cho ở các hình (9) - (16)

Hình 3: (9) Number of customer of NIDS (class 1),

89.832

Hình 3: (10) Response Time of NIDS (class 1), 59.901s

Hình 3: (11) Number of customers of NIDS (class

2), 50.239

Hình 3: (12) Response Time of NIDS (class 2), 64.390s

Hình 3: (13) Number of customer of servers (class 1),

0.349

Hình 3: (14) Response Time of Servers (class 1),

0.500s

Hình 3: (15) Number of customer of Ethernet (class

1), 0.668

Hình 3: (16) Response Time of Ethernet (class 1),

0.500s

Từ Hình 3: (9) đến Hình 3: (16) thể hiện kết

quả của số lượng khách hàng trung bình và mức đáp

ứng trung bình của hệ thống trong kịch bản 2

3) Kịch bản 3:

Các thời gian phục vụ trung bình, E[S]:

Class 1: đặt thời gian phục vụ trung bình

của Router+firewall và NIDS bằng 0.5s, của các Servers và Ethernet bằng 0.5s

Class 2: đặt thời gian phục vụ trung bình của Router+firewall và NIDS bằng 1s, của các Servers

và Ethernet bằng 0.5s

Tốc độ đến trung từ Source (Internet), λ:

của các luồng gói tin class 1 và class 2 bằng bằng 0.5 sec-1; Các kết quả (17) - (24)

Hình 3: (17) Number of customers of NIDS (class

1), 164.158

Hình 3: (18) Response Time of NIDS (class 1), 172.876s

Hình 3: (19) Number of customer of NIDS (class

2), 300.689

Hình 3: (20) Response Time of NIDS (class 2), 490.908s

Hình 3: (21) Number of customer of Servers (class

1), 0.312

Hình 3: (22) Response Time of Servers (class 1), 0.498s

Hình 3: (23) Number of customer of Ethernet (class

1), 0.585

Hình 3: (24) Response Time of Ethernet (class 1), 0.498s

Từ Hình 3: (17) đến Hình 3: (24) thể hiện kết quả của số lượng khách hàng trung bình và mức đáp ứng trung bình của hệ thống trong kịch bản 3

Bảng 1 Tổng hợp các giá trị trung bình của kết quả mô phỏng mạng hàng đợi LAN+NIDS

Kịch bản 1:

Các thời gian phục vụ trung bình, E[S]:

Với các gói thuộc class 1: Router+firewall và NIDS có E[S]=0.5s, Servers và Ethernet có E[S]= 0.5s

Với các gói thuộc class 2: Router+firewall và NIDS có E[S]=0.1s, Servers và Ethernet có E[S]= 0.5s

Tốc độ đến trung bình từ Source (Internet), λ:

của các gói thuộc lớp class 1 và class 2 đều bằng 0.5sec -1

E[S]=0.5s Number of customers Response Time

E[S]=0.1s

Kịch bản 2:

Các thời gian phục vụ trung bình, E[S]:

Với các gói thuộc class 1: Router+firewall và NIDS có E[S]=0.5s, Servers và Ethernet E[S]=0.5s

Với các gói thuộc class 2: Router+firewall và NIDS có E[S]=0.5s, Servers và Ethernet có E[S]=0.5s

Tốc độ đến trung bình từ Source (Internet), λ:

của các gói thuộc class 1 và class 2 đều bằng 0.5sec -1

E[S]=0.5s Number of customers Response Time

E[S]=0.5s

Kịch bản 3:

Với các gói thuộc class 1: Router+firewall và NIDS có E[S]=0.5s, Servers và Ethernet có E[S]=0.5s

Với các gói thuộc class 2: Router+firewall và NIDS có E[S]=1s, Servers và Ethernet có E[S]=0.5s

Tốc độ đến trung bình từ Source (Internet), λ:

của các gói thuộc class 1 và class 2 đều bằng 0.5 sec -1

E[S]=0.5s Number of customers Response Time

E[S]=0.5s

5 Kết luận và đánh giá

Nhận thấy, sự thay đổi thời gian phục vụ

trung bình E[S] của NIDS đối với các gói tấn công

(job class 2) làm thay đổi đáp ứng trung bình E[R]

của NIDS: E[S] càng lớn (tốc độ phục vụ càng

chập) thì E[R] càng lớn Điều này chứng minh

mạng hàng đợi mở được đề xuất như cho ở hình

1 là phù hợp cho mô phỏng hiệu năng của NIDS

Tuy nhiên, có thể sử dụng mạng hàng đợi M/M/c/K

để phân tích hệ thống NIDS với sự hữu hạn (K chỉ

giá trị hữu hạn của tài nguyên của NIDS) của công

suất xử lý của NIDS đối với trường hợp tấn công

dạng DoS làm đầy bộ đệm của NIDS, khi đó xác

suất mất gói ở NIDS khi số gói tin đạt tới K Với

xác suất mất gói tại NIDS thì NIDS cũng không còn

khả năng đưa ra cảnh báo chính xác nữa Cũng thể

dùng mạng hàng đợi để phân tích hệ thống NNIDS kết hợp của HIDS và NIDS Sự nâng cấp công nghệ của hệ thống NIDS bằng các giải pháp, ví dụ: ứng dụng kiến trúc tính toán song song - đa xử lý - đa nhân, các thuật toán, các phương pháp an ninh, hay ứng dụng trí tuệ nhân tạo sẽ làm tốc độ phục vụ trung bình của NIDS tăng lên, nghĩa là E[S] giảm

đi, và làm đáp ứng trung bình của NIDS giảm, hiệu năng của NIDS tăng Ngoài những công cụ đo đạc thông dụng chạy trên các hệ thống giám sát sẵn có trên các hệ thống quản lý mạng, thì giải pháp ứng dụng mạng hàng đợi để mô hình hóa và phân tích hiệu năng của NIDS có thể hữu ích trong thiết kế

và nâng cấp các mạng LAN có cài đặt các hệ thống bức tường lửa

Tài liệu tham khảo

[1] Hồ Khánh Lâm, (2015), “Mạng hàng đợi và chuỗi Markov: lý thuyết và ứng dụng”, NXB KHKT [2] Sergey Zapechnikov, Natalia Miloslavskaya, Alexander Tolstoy, “Analysis of Intrusion Detection

and Prevention Systems as Queueing Services”, Cyberneticsand Information Security Faculty,

Information Security of BankingSystems Department, National Research Nuclear University MEPhI (Moscow Engineering Physics Institute), Moscow, Russia Switzerland, Crans-Montana, 24 March 2016

[3] Wei T Yue, Metin Cakanyildirim, Young U Ryu, “A Queuing Formulation of Intrusion Detection

with Active and Passive Responses”, Department of Information Systems and Operations Management

School of Management The University of Texas at Dallas Richardson, Texas 75083-0688, USA

[4] Khaled Salah, “Performance Modeling and Analysis of Network Firewalls” IEEE TRANSACTIONS

ON NETWORK AND SERVICE MANAGEMENT, VOL 9, NO 1, MARCH 2012

[5] Preeti Saini Ms Sunila Godara, “Modelling Intrusion Detection System using Hidden Markov

Model: A Review” International Journal of Advanced Research in Computer Science and Software

Engineering Volume 4, Issue 6, June 2014 ISSN: 2277 128X

[6] Amit Kumar Choudhary and Akhilesh Swarup, “Performance of Intrusion Detection System

using GRNN” IJCSNS International Journal of Computer Science and Network Security, Vol.9,

No.12, December 2009

[7] Devarakonda, Nagaraju, et al “Intrusion Detection System using Bayesian Network and Hidden

Markov Model.” Procedia Technology 4 (2012): 506-514.

[8] Khosronejad, Mahsa, et al “Developing a Hybrid Method of Hidden Markov Models and C5 0

as a Intrusion Detection System.” International Journal of Database Theory & Application 6.5 (2013).

[9] John C.S Lui, “Introduction to Queueing Networks” Department of Computer Science &

Engineering The Chinese University of Hong Kong

[10] Politecnico di Milano Italy, Imperial College London, “JMT Java Modelling Tools, user

manual for JMT version 1.0.1 and above, May 4th, 2017” http://jmt.sourceforge.net/Papers/JMT_

users_Manual.pdf

PERFORMANCE ANALYSIS OF INTRUSION DETECTION SYSTEM

NETWORK-BASED (NIDS) USE QUEUE NETWORK Abstract:

Intrusion detection systems (IDS) play an important and necessary role in the LAN connection structure to ensure the security of a facility: public authorities, businesses, schools, etc Today, the increase

in network attacks is increasing the demand big about types IDS The technology of IDS, security solutions that IDS perform increased performance in ensuring network security Therefore, the performance analysis

of IDS is a problem be interested, research This paper proposes the use of a queue model to analyze the performance of Intrusion detection system Relies on network connection, one of the consequence methods (one of the effective methods).

Keywords: NIDS, performance, LAN, network queue.