19、网络入侵检测系统性能提升与资源消耗预测

网络入侵检测系统性能提升与资源消耗预测

在网络安全领域，入侵检测系统（NIDS）的性能和资源消耗一直是关键问题。本文将介绍两种提升NIDS性能的方法以及预测其资源消耗的模型。

1. Gnort：利用GPU提升入侵检测性能

Gnort是一种利用GPU进行模式匹配计算卸载的入侵检测系统。研究人员将经典的Aho - Corasick算法移植到GPU上，利用其SIMD指令进行并行计算。

1.1 实验环境

• 两台通过1 Gbit/s以太网交换机连接的PC。
• 第一台PC配备NVIDIA GeForce 8600GT显卡，运行修改版的Snort。
• 第二台PC使用tcpreplay重放真实网络流量跟踪数据。

1.2 实验配置

• Snort加载5467条规则，包含约7878个内容模式。
• 禁用预处理器和正则表达式模式匹配，因为这两个过程仅在CPU上执行。

1.3 实验结果

• 数据包丢失率 ：
  | 重放速率（Mbit/sec） | 传统Snort丢包率（%） | GPU辅助Snort丢包率（%） |
  | — | — | — |
  | 300 | 显著丢包 | 无丢包 |
  | 600 | 高丢包率 | 开始丢包 |

  传统Snort在速率高于300 Mbit/s时无法处理所有数据包，而GPU辅助的Snort速度是原来的两倍，丢包从600 Mbit/s开始，处理能