基于多核处理器的安全网关优化技术研究

摘要

安全网关作为维护网络信息安全中的一种“过滤器”，在上网行为管理、内网安全等方面发挥着重要的作用。近几年，随着互网络在人们日常生活中的广泛应用，网络流量的爆炸性增长，由于受硬件水平发展的制约，传统的基于X86架构平台开发的安全网关已经不能满足日益增长的网络性能要求。基于多核开发的安全网关已经越来越广泛地应用到人们的生活中，但是在网络信息安全审计的过程中，需要对网络信息内容进行监测，匹配算法的性能就成为影响整个多核处理器处理性能的一个关键因素，为了使多核处理器的性能得到进一步提升，就必须开发性能更高的匹配算法或者对现有的匹配算法进行优化。另一方面，报文的分配策略也影响着多核处理器的处理性能。本文主要从面向多核安全网关多模匹配算法的优化和面向多核安全网关负载均衡算法的优化两个方向来提高多核处理器的性能。
　　一方面，本文对现有的模式匹配算法进行了分析，AC_BM算法和AC_SUNDAY算法结合了AC算法和对应的单模匹配算法的优点，在失配时匹配树移动的距离变大。在这一思想基础上提出了一种改进的变步长跳跃匹配算法AC_ID，在失配或者一次扫描结束时根据当前匹配窗口的前四个字符决定匹配树向前移动的距离，使得匹配树的最大的跳跃距离等于模式串集中最短模式串长度+4，并且每个节点增加了两个字段（模式串长度、初始位置），对带有锚定的模式串进行了处理。最后通过实验证明，改进的AC_ID算法在匹配树移动次数和匹配时间方面比AC_BM算法和AC_SUNDAY算法有了一定的提升，提升了系统的整体处理能力。
　　另一方面，本文对现有的负载均衡算法进行了分析，针对网络流量中出现的局部热点可能造成处理核出现“饥饿”或者过载现象，本文提出一个基于报文分类的多态负载均衡算法SDLBA。该算法对于非TCP报文采用静态的负载均衡算法，对TCP报文采用动态的负载均衡算法。静态负载均衡算法是采用传统的哈希算法进行负载，动态负载均衡算法采用轻度过载表和重度过载表相结合的思想，满足轻度负载阈值时采用新连接重映射策略，满足重度负载阈值时采用处理核连接迁移策略，定期更新各个处理核负载和轻度、重度负载表和其他数据表信息，使得在保证流完整的情况下各个处理核尽可能负载趋于均衡。

目录

声明

摘要

第1章绪论

1．1论文研究背景及意义

1．2课题研究的目的和意义

1．3论文组织结构

第2章相关理论和技术研究现状

2．1引言

2．2多核处理器

2．2．1多核处理器的特点

2．2．2多核处理器的分类

2．2．3 Octeon多核处理器

2．3安全网关内容过滤技术现状

2．3．1 BM算法

2．3．2AC算法

2．3．3 WM算法

2．3．4 AC_SUNDAY算法

2．3．5国内外研究现状

2．4安全网关负载均衡技术现状

2．4．1轮询调度负载均衡算法

2．4．2哈希负载均衡算法

2．4．3最少负载／连接负载均衡算法

2．4．4多重Hash负载均衡算法

2．4．5国内外研究现状

2．5本章小结

第3章面向多核安全网关的多模匹配算法优化

3．1引言

3．2基于变步长跳跃的多模匹配算法AC_ID

3．2．2AC_ID算法描述

3．2．3 AC_ID算法复杂度分析

3．3实验方案和结果分析

3．3．1实验环境

3．3．2实验步骤

3．4本章小节

第4章面向多核安全网关的负载均衡算法优化

4．1引言

4．2基于报文分类的多态负载均衡算法SDLBA

4．2．1 SDLBA算法思想

4．2．2 SDLBA算法描述

4．3实验方案和结果分析

4．3．1实验环境

4．3．2实验步骤

4．4本章小结

结论

参考文献

攻读硕士学位期间发表的论文和取得的科研成果

致谢