基于Tile64多核网络入侵检测系统的研究与设计.docVIP

... ... 代 号 10701 学 号 1021121317 分 类 TP31 密 级 公开 题（中、英文）目 基于 Tile64 多核网络入侵检测系统的研究与设计 Research and Designed of High-speed Network Intrusion Detection Based on the Multi-core Tile64 作者姓名 曹冰 指导教师姓名、职称 沈沛意 教授 学科门类 工学 学科、专业 计算机软件与理论 提交论文日期 二○一三年 三月 西安电子科技大学 学位论文创新性声明 秉承学校严谨的学风和优良的科学道德，本人声明所呈交的论文是我个人在 导师指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标 注和致谢中所罗列的内容以外，论文中不包含其他人已经发表或撰写过的研究成 果；也不包含为获得西安电子科技大学或其它教育机构的学位或证书而使用过的 材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中做了明确的说 明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切的法律责任。 本人签名： 日期 西安电子科技大学 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。学校有权保 留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全部或部分内 容，可以允许采用影印、缩印或其它复制手段保存论文。同时本人保证，毕业后 结合学位论文研究课题再撰写的文章一律署名单位为西安电子科技大学。 本人签名： 日期 导师签名： 日期 摘要 摘要 网络全光化进程的加速以及网络技术的演进，扩展了传统数据业务以外的多 业务模式。这些业务对网络数据访问的需求量以每年成倍的速度在增涨，随之而 来的网络安全工作成为了前所未有的挑战。高速网络环境下进行网络入侵检测工 作，在网络安全领域也就越来越受到关注。由于以往提出的线速处理和易管理需 求已经使得传统的网络设备不堪重荷，因此新型网络设备更需要具备高性能的处 理能力，以满足多业务对数据承载能力的高需求。目前，基于多内核和并行处理 结构的多核处理器，在采用了多个低频的简单处理组件后已经能够在处理性能和 功耗上得以提升和改善，从而在中高端网络应用中逐渐成为一种发展趋势。 通用网络入侵检测系统在高速网络环境下，性能瓶颈主要在于网络数据包的 完整捕获和入侵检测数据正确分析。本文首先呈现了在多核 Tile64 平台上网络数 据接收核并行处理的体系架构，分析在高吞吐量 10Gbps 的网络应用中获取高捕 获率的关键点。结合这种网络数据处理模型，将通用网络数据捕获库 Libpcap 实 现并行化，以支持多核上的网络应用。为了应对网络数据复杂多变的数据处理负 载均衡问题，并行化捕获库提供分发策略配置接口，根据不同的网络状态设计对 应的分发策略。最后使用多线程的编程方法，在多核处理器 Tile64 平台上，采用 管道分解和协议流分发技术实现了并行化 Snort 网络入侵检测系统。该系统具有 很强的可扩展性，整体性能能够随着分配核数的增加而线性提升。 关键词：多核 高速网络数据接收 并行入侵检测 负载均衡 Abstract ABSTRACT The accelerated of Network packtized and the evolution of network technology extend the traditional data business to others. The business of network data access demand increases year by year, with witch come the network security that is an unprecedented challenge. Under the high-speed network environment, the work of network intrusion detection in the field of network security is more and more been attentioned. Before, the simple line-speed processing and management requirements have made traditional network equipment to burthen, so the new network equipment requires high performance to meet the carrying capacity