
I just brought this up on the Tilera (tilegx).  Haven't benchmarked it yet, but the tables do look much smaller than those produced by ac.  Seems like this should improve performance here.  When I get my benchmarking setup back I'll gather some new numbers.<br>

<br>Tom<br><br><div class="gmail_quote">On Tue, Feb 14, 2012 at 1:22 AM, Anoop Saldanha <span dir="ltr"><<a href="mailto:anoopsaldanha@gmail.com">anoopsaldanha@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Hello all,<br>

<br>

We have a new MPM available in our codebase - "ac-bs".  This provides<br>

compression that's pretty close to ac-gfbs, while performing better<br>

than ac-gfbs.<br>

<br>

To use this mpm, set<br>

<br>

"mpm-algo: ac-bs" in the conf file.<br>

<br>

Would appreciate performance numbers with both<br>

<br>

"sgh-mpm-context:full"<br>

and<br>

"sgh-mpm-context:single"<br>

<br>

To give an explanation on what "sgh-mpm-context" and the params "full"<br>

and "single" mean, these refer to how we set up mpm contexts.<br>

"single" indicates that we use a single context for all the patterns<br>

in the engine.  "full" indicates that we split the patterns into many<br>

mpm contexts, one mpm context per signature group head(sgh).<br>

<br>

To use "full" with a sufficiently decent ruleset(say > 10k rules with<br>

a decent no of patterns) would require a lot of memory, running into a<br>

couple of gigs for ac-gfbs or ac-bs or b2gc, or tens of gigs in case<br>

of "ac".  "single" solves this with a single context and hence the<br>

smaller memory footprint for the engine.<br>

<br>

If the machine has sufficient memory, "full" is suggested as it<br>

provides much better performance than "single", albeit at the cost of<br>

increased memory consumption.  More of a available_memory vs<br>

performance scenario.<br>

<br>

Looking forward to some performance/memory feedback/benchmarks with<br>

this mpm from the community.<br>

<br>

*mpm - multi pattern matcher<br>

*sgh - signature group head<br>

<span class="HOEnZb"><font color="#888888"><br>

--<br>

Anoop Saldanha<br>

_______________________________________________<br>

Oisf-users mailing list<br>

<a href="mailto:Oisf-users@openinfosecfoundation.org">Oisf-users@openinfosecfoundation.org</a><br>

<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>

</font></span></blockquote></div><br>