pSnort基于多核处理器的并行入侵检测系统-ChinaXiv.PDFVIP

第 8 卷第 6 期 信息技术快报 Vol.8 No.6 Information Technology Letter Nov. 2010 pSnort ：基于多核处理器的 并行入侵检测系统 贺鹏 姜海洋 谢高岗 摘 要： 网络入侵检测与防御系统在当前的IP 网络安全领域中扮演着重要的角色，互联网流量 的激增和单核处理器在数据包处理上存在的瓶颈，使得传统的运行于单核上的单线程网络入侵检 测与防御系统已经远远不能满足网络发展的需求。为了解决这个问题，本文以主流单线程网络入 侵检测与防御系统软件 Snort 为基础，设计了一个基于软件流水的并行入侵检测系统 pSnort ，将 传统的 Snort 划分为 2 个阶段，通过将其中最耗时的处理阶段并行化，以达到提升性能的目的。 同时，通过程序设计，pSnort 避免了由于并行化而带来的严重的同步/互斥问题。经过试验，pSnort 在 Intel Quad-core Xeon 通用平台上可以获得超过 1Gbps 的包处理速度。相对于传统的 Snort， 1 v pSnort 最高能获得 147%的性能提升以及2.5 倍加速比。 0 关键词：多核 Snort 软流水 并行架构 8 1 0 1 引言 0 . 3 随着互联网的发展与广泛应用，缓冲区溢出攻击、拒绝服务攻击、后门漏洞攻击等各种 0 7 网络攻击层出不穷。攻击者利用各种后门软件获取目标系统的管理员权限，向其他主机发动 1 拒绝服务攻击。虽然主流的操作系统、应用软件定期发布各种安全补丁来修复软件中存在的 0 漏洞，但其更新速度远远赶不上漏洞发现的速度，这使得网络入侵检测系统（Network 2 : Intrusion Detection System，NIDS ）在网络安全领域显得越来越重要。 v i X 网络入侵检测系统是运行在网络边缘用于检测异常流量的网络安全设备。开源软件 a Snort[1]作为主流网络入侵检测系统之一，运行于通用 CPU 平台上，使用特征选择的异常检 n 测方式，通过定期更新异常特征数据库达到维护网络安全的目的。其他的网络入侵检测系统， i h 例如 Bro 等基本上采用相类似的结构。当前，Snort 面临以下三方面的挑战： c − 在 Snort 系统中，异常特征数据库是以规则的形式存储的。这些规则刻画了异常流 量的协议信息、端口信息和可疑内容等信息，数据包需要与规则集进行匹配。一般 情况下，一种攻击对应着一条识别规则。随着网络中各种不同种类的攻击的增长， Snort 规则库中规则的数量也在不断增加。这使得 Snort 的检测计算负载加重。实际 的测量结果表明，在单核平台上（2.0 GHz AMD Opteron 处理器），Snort 的吞吐量 最高不到 500Mbps [4] ； − 攻击者利用目标操作系统 TCP/IP 协议栈的特点，将攻击代码以分片或者重叠的方式 隐藏在不同包之间，以期望绕过网络入侵检测系统的检测。因此为了找出这些潜在 的网络威胁，Snort 提供了 IP 分片重组、流重组等复杂功能还原网络中的数据流。 这些功能所引起的计算与存储开销也是不小的； − 芯片性能提高大