现代体系结构上的网络入侵检测系统 ——基于多核和SIMD的方法

论文摘要

随着互联网的快速发展,越来越多的政府机构、企业和个人将自己的计算机连接到互联网上,电子政务,电子商务正成为一个潮流,网络安全系统成了网络体系结构中不可或缺的重要部分,网络入侵检测系统作为网络安全系统的基础设施,已经成为维护网络安全的重要工具之一。传统的网络入侵检测系统由于性能方面的限制无法应用到高速网络中。本文的主要目的就是要利用现代计算机体系结构的一些新特征来加速网络入侵检测系统中的检测引擎,使得在高速网络中,网络入侵检测系统也能够很好地工作。本文首先考察了网络入侵检测系统的基本结构,详细讨论了检测引擎所使用的两大类型算法的特点,然后深入研究了现代体系结构的两个重要特征:多核和单指令多数据流,结合检测引擎算法的特点,考察了利用这两个特征来加速检测引擎的可行性。接下来从下列三个方面进行展开。第一,在多核平台上,使用规则集分解的方法,实现检测引擎多核化,提出了使得每个核上的负载均衡化的规则集分割算法,然后讨论了检测引擎算法内存访问的特点,提出了基于单指令多数据流指令集而实现的高速缓存替换算法,并且使用双缓存方法来重叠检测计算和内存访问,降低检测引擎的内存访问开销,最大化检测引擎的并行度。第二,在算法控制流并行的基础上,使用单指令多数据流指令集对入侵检测引擎进行指令集级的并行化,针对单指令多数据流指令的向量寄存器和对齐内存访问两个特性,设计了新的模式串集合数据结构重排算法,这种重排的结构大幅度地降低了向量化的检测引擎的内存访问开销。最后,针对网络中的一类特殊的流量:压缩流量的检测,提出了不对流量进行完全解压缩,直接在压缩流量中进行搜索匹配的新算法,新算法利用压缩过程中的已经产生的编码信息来减少检测匹配过程中的重复搜索,同时针对该算法实现中的散列数据结构访问提出了基于单指令多数据流指令集的高速散列查找算法。

论文目录

摘要

ABSTRACT

第一章绪论

1.1 网络入侵检测系统与现代体系结构概述

1.1.1 网络入侵检测系统的工作原理

1.1.2 现代体系结构的主要特征及其对NIDS影响

1.2 网络入侵检测系统的主要技术难点

1.2.1 Internet链路速度的急速增长

1.2.2 规则集合越来越大

1.2.3 加密和压缩在实际网络中的广泛应用

1.3 论文的主要内容及结构

第二章相关工作与文献调研

2.1 入侵检测系统

2.2 多模式匹配算法

2.2.1 基于自动机的多模式匹配

2.2.2 基于散列分类的多模式匹配

2.2.3 压缩格式数据中的模式匹配

2.3 现代体系结构的特征

2.3.1 多处理机系统

2.3.1 单指令多数据流

2.4 入侵检测引擎的基准测试

2.4.1 IDS Informer

2.4.2 Sneeze 工具

2.5 本章小节

第三章利用多处理器来提高检测引擎的速度

3.1 并行算法的基本理论

3.2 检测引擎的并行化算法

3.2.1 异构多处理器上的并行化检测引擎算法

3.2.2 同构多处理器上的并行化检测引擎算法

3.2.3 检测引擎数据结构的高速缓存替换算法

3.2.4 使用双缓冲区来重叠内存访问与计算

3.3 模式集合划分算法

3.4 性能测量与小节

3.4.1 实验平台以及所用的数据

3.4.2 测量结果及其分析

3.4.3 本章小节

第四章利用SIMD并行化检测引擎

4.1 概述

4.2 内存访问优化

4.2.1 内存访问特性

4.2.2 检测引擎中的数据结构内存对齐算法

4.3 向量化操作原语

4.4 向量化算法

4.5 实验结果及小节

4.5.1 实验结果极其分析

4.5.2 本章小节

第五章基于压缩格式数据的检测引擎

5.1 概述

5.2 LZ77算法及其距离编码方法

5.3 在LZ77算法解压缩过程中应用BM算法

5.4 优化算法的伪代码描述

5.5 散列查找的SIMD方法

5.6 实验结果

5.7 本章小结

第六章总结与进一步的研究工作

6.1 本论文的主要研究成果与创新点

6.2 进一步的工作

参考文献

在学期间发表论文及科研情况

论文发表

科研项目

致谢

现代体系结构上的网络入侵检测系统 ——基于多核和SIMD的方法

论文摘要

论文目录

相关论文文献

猜你喜欢