The global IP traffic has increased eightfold over the past five years, and will increase fourfold over the next five years. Such a high increment of the demands on the network traffic raises the proliferation of 10 Gbps network devices like network switches and network interface cards. But on the other hand network security threats and its damages are also increasing seriously. Network intrusion detection system (NIDS) is a powerful countermeasure of recent malicious attacks on the network. NIDS reads all the incoming, outgoing and internal packets and tries to find suspicious patterns known as signatures or rules. Since this pattern matching is highly computationally intensive process and it is executed for each packet with thousands of patterns, pattern matching is a typical bottleneck of NIDS. Therefore a lot of researches and solutions are focusing on the performance enhancement of the pattern matching part. In this flow, several NIDSs are becoming more faster to support 10 Gbps network, but new bottleneck appears. The packet I/O part is not focused as a bottleneck at 1 Gbps network environment because it shows enough throughputs. But in 10 Gbps network, packet I/O highly restricts the overall NIDS performance because of its inefficiency. In this thesis, I suggest a fully software-based packet I/O architecture which is optimized on the multi-core multi-threaded system. I have designed the scalable and flexible packet I/O architecture by applying pipelining, batch and parallel processing. The performance evaluation results show that this architecture brings significantly higher throughput over the packet I/O of the latest version of Snort, the most popular and powerful NIDS, confirming the effectiveness of scalability.

전 세계 IP 트래픽은 지난 5년간 8배 이상 증가하였고, 향후 5년간 4배 이상 증가할 것으로 예상된다. 이러한 네트워크 트래픽에 대한 높은 수요 증가는 네트워크 스위치나 네트워크 인터페이스 카드와 같은 네트워크 장비들의 고속화를 부추겨 10 Gbps의 처리율을 갖는 네트워크 장비들의 확대 보급이 크게 확산되고 있다. 그러나 한편으로는 네트워크 보안 위협과 이로 인한 피해 규모역시 심각하게 증가하고 있다. 네트워크 침입탐지시스템은 이러한 악의적인 네트워크 보안 위협에 대한 강력한 대응책이다. 네트워크 침입탐지시스템은 네트워크 내부로 유입되거나 외부로 유출되는, 혹은 내부에서 전달되는 모든 패킷들을 읽어 들여 각 패킷들이 룰 또는 시그네처로 불리는 의심스러운 패턴을 포함하고 있는지 확인한다. 이러한 패턴 확인 작업은 매우 연산 집약적이고 매 패킷에 대해 수천 개의 패턴을 비교해야 하므로 일반적인 네트워크 침입탐지시스템의 병목이다. 이에 따라 많은 연구와 네트워크 침입탐지시스템 솔루션들이 패턴 확인 작업 부분의 성능을 향상시키는 것에 초점을 맞추고 있다. 이러한 흐름 하에서 몇몇 네트워크 침입탐지시스템들이 10 Gbps 네트워크를 지원하기 위해 기존보다 빠르게 바뀌었지만, 새로운 병목이 발생하였다. 패킷을 읽어 들이는 입출력부는 1 Gbps 네트워크 환경에서는 충분한 성능을 보여주었기 때문에 병목으로 주목받지 않았다. 하지만 10 Gbps 네트워크에서는 패킷 입출력부의 비효율성으로 전체 네트워크 침입탐지시스템의 성능이 크게 제한되고 있다. 본 논문에서는 전적으로 소프트웨어에 기반을 둔 멀티코어 멀티스레드 기반 시스템에 최적화 된 패킷 입출력 아키텍처를 제안한다. 이를 위해 확장 가능하고 유연한 패킷 입출력 아키텍처를 파이프라이닝과 일괄처리 및 병렬처리 방식을 적용하여 설계하였다. 또한 이 패킷 입출력 아키텍처와 널리 쓰이고 있는 강력한 네트워크 침입탐지시스템인 Snort의 최신 버전의 패킷 입출력부 간의 성능 평가 및 비교를 통해 확장 가능성이 성능 향상에 기여하는 정도를 알 수 있는 커다란 처리율의 차이를 확인한다.