论文部分内容阅读
随着互联网技术的飞速发展,网络用户数量不断增加,网络带宽不断增长,网络安全形势日益严峻,网络中恶意程序的数量呈逐年上升趋势。为了加强对计算机的防护,越来越多的入侵检测系统部署到网络中为用户提供安全可靠的上网环境。而网络带宽的飞速增长给当前的入侵检测系统带来了严重的挑战,如何应对这一系列挑战是当前迫切需要解决的技术难题。传统的入侵检测系统往往仅在软件算法层面进行优化改进工作。而近年来,新出现的多核处理器、NUMA系统架构、IntelQuickAssist Technology等硬件平台与技术,为实现高性能的入侵检测系统带来了新的机遇。本文主要研究如何结合软硬件的优势,突破入侵检测系统各业务模块性能瓶颈,提升入侵检测系统整体性能。首先,针对入侵检测系统对压缩数据处理的低效问题,提出了一个软硬件结合的自适应有状态解压缩体系架构SASD,实现了 GZIP压缩数据的快速解压,加快了入侵检测系统解码预处理模块的处理速度。实验证明,在对GZIP数据进行解压缩的过程中,使用SASD相比使用纯软件算法可节省两倍以上的时间。其次,针对Snort入侵检测系统使用三维链表来组织规则库,需要遍历树结点来进行串行的规则扫描与检测所带来的性能瓶颈问题,提出一种纵向规则集组织方案,支持并行化检测。实验结果表明,使用并行检测优化方案后,入侵检测系统的处理能力有很大提升,尤其在加载大规则集的情况下,其性能可达snort的4倍以上。最后,本文从系统整体层面出发,对于传统的入侵检测系统在多核处理器下部署运行时未能充分利用多核处理器的NUMA架构导致的性能下降问题,在对基于多核NUMA架构下系统并行运行方式进行分析测试与评估后,提出了一种可适用于入侵检测系统的运行优化方法。实验证明,在现网环境下,加载大规模规则集时,基于优化方案运行入侵检测系统性能可提升17%。