With the rapid growth of the Internet, the rate of cyber threats has rapidly increased, which has trig-gered the demand of highly scalable intrusion detection systems to monitor networks. Recently, general-purpose many-core processors have gained prominence as they provide, providing high performance and easy programmability with low power consumption. In this paper, we propose a highly scalable intrusion detection system on a many-core processor (MCP). Even though we are able to achieve high performance with the help of the MCP, we encounter bottlenecks due to inefficient IDS modules. Since most of modules in IDSes are related to packet metadata and IDS data structures and operated regardless of the size of packets, we introduce three optimization techniques to enhance the modules. We use pre-defined signatures that have specific conditions such as attack patterns and flow states to detect attacks. In case of the signatures that have attack patterns, multiple pattern match modules are able to pre-filter packets using finite automata. However, in case of the signatures that do not have attack patterns, there is no way to pre-filter packets without comparing packets to each condition. We introduce a new merging technique that helps to efficiently pre-filter packets by combining the common conditions among them. Finally, we develop an intelligent offloading module that forwards ingress packets to the host when the MCP is under stress. With a dynamic offloading algorithm, we maximize the performance of the MCP and the host. Our evaluation results show that our system delivers 2.4 times higher performance than the state-of-the-art IDS. In terms of performance per watt, our system shows 0.23 Gbps per watt that is 5.8 times faster than the state-of-the-art IDS.

인터넷의 발전과 더불어 네트워크 상에서의 침입 시도가 갈수록 증가하고 있다. 이런 변화에 따라 네트워크 관리자들은 자신들의 네트워크를 안전하게 지키기 위하여 고성능 침입탐지 시스템을 필요로 하고 있다. 최근 범용 매니코어 프로세서들이 빠르게 발전하면서 높은 성능과 편리한 개발환경을 제공함은 물론 낮은 전력소모를 보여주고 있다. 본 논문에서는 이런 매니코어 프로세서의 장점을 활용한 매니코어 기반 고성능 침입탐지 시스템을 제안한다. 비롯 매니코어 프로세서의 장점을 통해 전체적인 성능 향상을 도모할 수 있지만 기존 침입탐지 시스템의 비효율적인 모듈들로 인하여 높은 성능 향상을 얻을 수 없었다. 침입탐지 시스템 내의 대부분의 모듈들은 패킷 메타데이터나 내부 자료구조를 처리하며 이러한 모듈들은 패킷의 크기와 무관하게 동작한다. 따라서 우리는 이러한 모듈들을 최적화함으로써 침입탐지 시스템의 성능을 향상시켰다. 침입탐지 시스템에 사용되는 대부분의 시그니쳐들을 공격 패턴을 가지고 있다. 그리고 이런 공격 패턴들을 통해 멀티패턴 매칭 모듈은 대부분의 정상적인 패킷들을 필터링할 수 있다. 하지만 일부 시그니쳐들의 경우 공격 패턴을 가지고 있지 않아, 이러한 시그니쳐들에 대해서는 모든 패킷들이 해당 시그니쳐 내에 포함되어 있는 공격 조건들과 일대일 매칭이 필요하며, 이는 성능저하의 상당한 영향을 미친다. 우리는 해당 시그니쳐들에서 공통되는 조건들을 추출함으로써 효과적으로 정상 패킷들을 필터링할 수 있는 메커니즘을 설계하였다. 마지막으로 우리는 호스트 머신에서 매니코어 프로세서로 들어온 패킷들의 일부를 처리할 수 있도록 하는 오프로딩 모듈을 개발하였다. 그리고 동적 오프로딩 알고리즘을 통해 매니코어 프로세서와 호스트 머신에서의 패킷 처리량을 최대화 할 수 있었다.