Technische Universiteit Delft
Netwerkbeveiliging
door M&C
Promotie van dhr. I. Sourdis: "Designs and Algorithms for Packet and
Content Inspection"
18 december 2007 | 15:00 uur
plaats: Aula TU Delft
De heer I. Sourdis | Degree in Electronics and Computer Engineering,
Griekenland
promotor | Prof.dr. K.G.W. Goossens (EWI)
Designs and Algorithms for Packet and Content Inspection
De promovendus behandelt essentiële onderwerpen met betrekking tot op
hoge snelheid presterende verwerkingsprocessen voor netwerk
beveiliging en diepe pakket inspectie. De oplossingen zoals in dit
proefschrift voorgesteld houden gelijke tred met de toenemende
hoeveelheid en complexiteit van bekende inbraak beschrijvingen waarbij
ook een doorvoersnelheid van enkele Gigabits per seconde wordt
gerealiseerd. We beargumenteren het gebruik van herconfigureerbare
hardware om te voorzien in flexibiliteit, hardware snelheid en
parallellisme bij het gebruik van complexe pakket en inhoud inspectie
functies.
Dit onderzoek kent twee delen: enerzijds inhoud inspectie en
anderzijds pakket inspectie. Het eerste deel beschouwt het op hoge
snelheid doorzoeken en analyseren van de inhoud van een pakket om
onveilige inhoud te detecteren. Dergelijke inhoud is beschreven als
statische patronen of reguliere expressies (veel voorkomende
uitdrukkingen) die worden vergeleken met inkomende data. De
voorgestelde methode - vergelijken van statische patronen -
introduceert a-priori coderen om accorderende karakters the delen in
CAM-achtige vergelijkers en een nieuw `perfect-hashing' algoritme om
accorderende patronen te voorspellen. De FPGA vormgevingen vergelijken
meer dan 2000 statische patronen, voorzien in 2-8 Gbps operationele
doorvoer en vereisen 10 tot 30 procent van een herconfigureerbare
chip; dit is de helft van de snelheid van een ASIC en ongeveer 30
procent efficiënter dan eerdere FPGA-gebaseerde oplossingen. Het
ontwerp van reguliere expressies is uitgevoerd volgens een Niet
Deterministische Automaten methode en introduceert nieuwe basis
onderdelen voor complexe eigenschappen van reguliere expressies. De
theoretische onderbouwing van de nieuwe basis onderdelen worden
behandeld om hun juistheid te bewijzen. Hierdoor hoeven bij benadering
vier keer minder gevallen van Eindige Automata te worden opgeslagen.
De ontwerpen bereiken 1,6 tot 3,2 Gbps doorvoer op 10 tot 30 procent
van een grote FPGA voor het vergelijken van meer dan 1500 reguliere
expressies; dit is 10 tot 20 keer efficiënter dan voorgaande
FPGA-gebaseerde oplossingen en vergelijkbaar met ASIC's.
Het tweede deel van het onderzoek behandelt het ontlasten van de
algemene processen van een pakket inspectie machine. We introduceren
a-priori filteren van pakketten. ls oplossing voor - of ten minste
verminderen van - de verwerkingslast van het vergelijken van inkomend
verkeer met datasets van bekende aanvallen. Gedeeltelijk vergelijken
van beschrijvingen van onbetrouwbaar verkeer vermijdt het verwerken
van meer dan 98 procent van het aantal beschrijvingen per pakket.
A-priori filteren van pakketten wordt geïmplementeerd in
herconfigureerbare technologie en behoud 2,5 tot 10 Gbps
doorvoersnelheid in een Xilinx Virtex2.
Meer informatie?
Voor inzage in proefschriften van de promovendi kunt kijken in de TU
Delft Repository op: repository.tudelft.nl. TU Delft Repository is de
digitale vindplaats van openbare publicaties van de TU Delft.
Proefschriften zullen binnen een paar weken na de desbetreffende
promotie in de Repository te vinden zijn.
Laatst gewijzigd: 29 november 2007