Архитектура классификации сетевых пакетов на основе использования fpga

  • № 4 (48) 2018

Страницы: 

105

 – 

120

Язык: русский

Открыть файл статьи
Открыть страницу статьи в Интернет

Аннотация

В настоящее время системы обнаружения сетевых вторжений/атак являются неотъемлемой частью современных информационнокоммуникационных систем. Потому что, именно они защищают от внешних влияний информационную инфраструктуру для создания условий эффективного функционирования. При этом классификация пакетов с несколькими совпадениями является важной функцией в сетевых системах обнаружения вторжений (NIDS), где необходимо сообщать о всех правилах соответствия для пакета. В данной работе приведены проблемы, связанные с классификацией заголовок пакетов и фильтрации контента. Но при этом рассмотрена проблема связанное с повышением эффективности классификации сетевых пакетов. Анализированы работы, посвященные к проблемам классификацию сетевых пакетов и реализация их на платформе FPGA. Но большинство предыдущих работ основаны на тройной ассоциативной памяти (ternary content addressable memory — TCAM), которые являются дорогостоящими и не масштабируемы в отношении тактовой частоты, энергопотребления и области схема техники. В этой статье изучаются характеристики реальных наборов правил Snort NIDS и предлагается новая архитектура на основе SRAM. Предложенная архитектура называется параллельным битовым вектором с разбиением на подполя, где некоторые поля заголовка пакета дополнительно разделяются на подполя уровня бит. В отличие от алгоритмов классификации пакетов с несколькими совпадениями таких как BV-TCAM, TCAM-SSA, MX-MN-IP и BV, которые страдают из-за переполнения памяти, требования к памяти предложенного алгоритма линейна по количеству правил. Кроме того, предложена использования технологии FPGA для обеспечения высокой пропускной способности и поддержки динамических обновлений. Приведены рекомендации по внедрения, что показывают предложенная архитектура может хранить на одном FPGA Xilinx Virtex-5 полный набор правил заголовков пакетов, извлеченных из последних Snort NIDS, и поддерживает пропускную способность 100 Гбит/с для пакетов минимального размера (40 байт). Приведены результаты сравнения производительности алгоритма на платформе FPGA фирмы XILINX семейства Virtex.95.

Хозирги кунда тармок сукилиб киришлари/хужумларини аниклаш тизимлари замонавий ахборот коммуникация тизимларининг ажралмас кисми булиб хисобланади. Чунки айнан улар ахборот инфратузилмасига самарали ишлаши учун шарт-шароитларини яратиш максадида ташки таъсирлардан химоялайди. Бунда бир нечта мосликлар асосида тармок пакетларини классификациялаш хужумларни аниклашнинг тармок тизимларининг (NIDS) мухим функцияларидан бири хисобланади. Чунки бунда тармок пакети учун мосликларнинг барча коидалари хакида маълумот бериши зарур булади. Ушбу ишда тармок пакетлари сарлавхаларини классификациялаш ва контентни фильтрлаш билан боглик муаммолар келтирилган. Лекин ушбу ишда тармок пакетларини классификациялаш самарадорлигини ошириш билан боглик муаммолар куриб чикилган. Тармок пакетларини классификациялаш ва уларни FPGA платформасида амалга ошириш масалаларига боглик ишлар тахлил килинган. Лекин аввалги ишларнинг асосий кисми учталик ассоциатив хотирага (ternary content addressable memory — TCAM) асосланган ва уларнинг тактли частотаси, энерготаъминоти ва схемотехника сохасига нисбатан таннархининг кимматлилиги ва масштабланмаслиги ажралиб туради. Ушбу маколада Snort NIDSнинг реал коидалар тупламининг характеристикалари урганилади ва SRAM асосида самарали архитектура таклиф этилади. Таклиф этилган архитектура кисммайдонларга ажритишли параллель битли вектор деб номланиб, унда тармок пакетларининг сарлавхалари кушимча тарзда бит даражасида кисммайдонларга ажратилади. BV-TCAM, TCAM-SSA, MX-MN-IP ва BV каби хотирани тулиб тошишидан азият чекувчи бир нечта мосликли тармок пакетларини классификациялаш алгоритмларидан фаркли томони бу таклиф этилган алгоритмда хотирага булган талаб коидаларнинг сонига кура чизиклидир. Ундан ташкари, юкори утказувчанлик хусусиятини таъминлаш ва динамик янгиланишни куллаб кувватлаш учун FPGA технологиясини куллаш таклиф этилган. Тадбик этиш учун келтирилган тавсиялар шуни курсатадики, таклиф этилган архитектура ягона FPGA Xilinx Уи1е\-5да Snort NIDSнинг охирги версиясидан олинган тармок пакетлари сарлавхаларининг тулик коидалар тупламини саклаши мумкин ва тармок пакетларининг минималь улчами (40байт) учун 100Гбит/с утказувчанлик хусусиятини куллаб кувватлайди. Шунингдек XILINX фирмасининг Virtex оилассига мансуб FPGA платформасида алгоритмни унумдорлигини таккослаш натижалари келтирилган.

Nowadays, network intrusion/attack detection systems are an integral part of modern information and communication systems. Because exactly network intru- sion/attack detection systems protect the information infrastructure from external influences to create conditions for effective functioning. In this case, packet classification with multiple matches is an important function in network intrusion detection systems (NIDS), where all packet matching rules must be reported. This scientific article shows the problems related to packet header classification and content filtering. But at the same time, the problem associated with improving the efficiency of the classification of network packets was considered. Analyzed the works devoted to the problems of the classification of network packets and their implementation on the FPGA platform. But most of the previous works are based on ternary content addressable memory (TCAM), which are expensive and not scalable in terms of the clock frequency, power consumption, and circuit technology area. Also, this scientific article explores the characteristics of real Snort NIDS rule sets and proposes a new architecture based on SRAM. The proposed architecture is called a parallel bit vector split into subfields, where some packet header fields are further divided into bit level subfields. Unlike packet classification algorithms with several matches such as BV-TCAM, TCAM-SSA, MX-MN-IP and BV, which suffer from memory overflow, because the memory requirements of the proposed algorithm are linear in the number of rules. In addition, the proposed use of FPGA technology to ensure high bandwidth and support for dynamic updates. The implementation recommendations are shown that the proposed architecture can store the full set of packet header rules extracted from the latest Snort NIDS on one Xilinx Virtex-5 FPGA and supports 100 Gbps throughput for minimum packet size (40 bytes). The results of the comparison of the algorithm on the XILINX FPGA platform of the Virtex family are given.

Список использованных источников

  1. Bro intrusion detection system. http://www.bro-ids.org.
  2. Snort: the de facto standard for intrusion detection/prevention. http://www.snort.org.
  3. Xilinx virtex-5 multi-platform FPGA. www.xilinx.com/products/virtex5/.
  4. F. Baboescu, S. Singh, and G. Varghese. Packet classification for core routers: Is there an alternative to CAMs? In INFOCOM '03: Proceedings of the 22nd Annual Joint Conference of the IEEE Computer and Communications Societies, volume 1, pages 53-63. IEEE, March/April 2003.
  5. F. Baboescu and G. Varghese. Scalable packet classification. IEEE/ACM Trans. Netw., 13(1):2-14, Feb. 2005.
  6. M. Faezipour and M. Nourani. Wire-speed TCAM-based architectures for multimatch packet classification. IEEE Trans. Comput., 58(1):5-17, Jan. 2009.
  7. P. Gupta and N. McKeown. Packet classification on multiple fields. In SIGCOM M '99: Proceedings of the conference on Applications, technologies, architectures, and protocols for computer communication, pages 147-160. ACM, 1999.
  8. P. Gupta and N. McKeown. Algorithms for packet classification. IEEE Network, 15(2):24-32, March/April 2001.
  9. W. Jiang and V. K. Prasanna. Large-scale wire-speed packet classification on FPGAs. In FPGA '09: Proceeding of the ACM/SIGDA intenational symposium on Field programmable gate arrays, pages 219-228. ACM, 2009.
  10. K. Lakshminarayanan, A. Rangarajan, and S. Venkatachary. Algorithms for advanced packet classification with ternary CAMs. In SIGCOMM '05: Proceedings of the confere nce on Applications, technologies, architectures, and protocols for computer communications, pages 193-204. ACM, 2005.
  11. L. Qiu, G. Varghese, and S. Suri. Fast firewall implementations for software and hardware-based routers. In ICNP '01: Proceedings of the Ninth International Conference on Network Protocols, pages 241-250. IEEE Computer Society, 2001.
  12. H. Songand J .W .Lockwood. Efficient packet classification for network intrusion detection using FPGA. In FPGA '05: Proceeding of the ACM/SIGDA international symposium on Field programmable gate arrays, pages 238-245. ACM, 2005.
  13. L. Tan and T. Sherwood. A high throughput string matching architecture for intrusion detection and prevention. In ISCA '05: Proceedings of the 32nd annual international symposium on Computer Architecture, pages 112-122. IEEE Computer Society, 2005.
  14. D. E. Taylor. Survey and taxonomy of packet classification techniques. ACM Comput. Surv., 37(3):238-275, 2005.
  15. D. E. Taylor and J. S. Turner. Scalable packet classification using distributed crossproducing of field labels. In INFOCOM '05: Proceeding s of the 24th Annual Joint Conference of the IEEE Computer and Communications Societies, volume 1, pages 269-280. IEEE, March 2005.
  16. F. Yu, R. H. Katz, and T. V. Lakshman. Efficient multimatch packet classification and lookup with TCAM. IEEE Micro, 25(1):50-59, 2005.
  17. F. Yu, T. Lakshman, M. Motoyama, and R. Katz. Efficient multimatch packet classification for network security applications. IEEE Journal on Selected Areas in Communications, 24(10):1805-1816, Oct. 2006.

Список всех публикаций, цитирующих данную статью