چکیده فارسی :

سیستم های تشخیص نفوذ شبکه با سرعت بالا (NIDSes) معمولا از TCAMs برای تطبیق الگوی سریع استفاده می کنند، و الگوریتم های تطبیق الگوی مبتنی بر TCAM موازی به صورت امیدوار کننده ای ثابت شده اند که به نرخ خطی بالاتری می توانند برسند. با این حال، دو چالش مانع از مقیاس پذیری موتورهای تطبیق الگوی مبتنی بر TCAM موازی از بودن می شوند ، عبارتند از: (1) چگونگی موازی سازی ریز دانه ای را برای بهینه سازی تعادل بار و به حداکثر رساندن خروجی پیاده سازی کنیم، و (2) چگونه بین افزایش عملکرد و افزایش مصرف توان با توجه به موازی سازی مصالحه داشته باشیم. در این مقاله، ما دو روش برای پاسخ به چالش های بالا NIDS فوق العاده مقیاس پذیر پیشنهاد کرده ایم. ما ابتدا مفهوم تطبیق الگوی منفی را معرفی می کنیم، که از طریق آن می توانیم جریان را به بخش هایی برای موازنه بار ریز دانه و تسریع موازی بهینه سازی به هم متصل کنیم در حالی که از صحت آن اطمینان حاصل می کنیم. تطبیق الگوی منفی (NPM) نیز به طرز چشمگیری تعداد جستجوهای (TCAM) را کاهش می دهد که در نتیجه کاهش مصرف توان را در پی دارد. سپس ما ایده تطبیق الگوی منحصر به فرد را پیشنهاد می کنیم ، که قوانین مجموعه را به زیر مجموعه ها تقسیم می کند. هر زیر مجموعه به صورت گزینشی درخواست می شود و به طور مستقل ورودی های خاصی را بدون تاثیر قرار دادن صحت به دست می دهد. با هم، این دو تکنیک توان تطبیق الگو و مقیاس پذیری را در هر سناریویی بهبود می بخشند. نتایج تجربی ما نشان می دهد که تا 90 درصد جستجوی TCAM را می توان صرفه جویی کرد، با این هزینه که 10٪ شاخص جدول 2 بایتی اضافی در SRAM نیاز خواهد بود.

کلمات کلیدی : الگوی منفی ، تطبیق منحصر به فرد ، تطبیق الگو ، تشخیص نفوذ

چکیده انگلیسی:

High-speed network intrusion detection systems (NIDSes) commonly employ TCAMs for fast pattern matching, and parallel TCAM-based pattern matching algorithms have proven promising to achieve even higher line rate. However, two challenges impede parallel TCAM-based pattern matching engines from being truly scalable, namely: (1) how to implement fine-grained parallelism to optimize load balancing and maximize throughput, and (2) how to reconcile between the performance gain and increased power consumption both due to parallelism. In this paper, we propose two techniques to answer the above challenges yielding an ultra-scalable NIDS. We first introduce the concept of negative pattern matching, by which we can splice flows into segments for fine-grained load balancing and optimized parallel speedup while ensuring correctness. negative pattern matching (NPM) also dramatically reduces the number of Ternary Content Addressable Memory (TCAM) lookups thus reducing the power consumption. Then we propose the idea of exclusive pattern matching, which divides the rule sets into subsets; each subset is queried selectively and independently given a certain input without affecting correctness. In concert, these two techniques improve both the pattern matching throughput and scalability in any scenario. Our experimental results show that up to 90% TCAM lookups can be saved, at the cost of merely 10% additional 2-byte index table lookups in the SRAM .

Keywords: Negative pattern ; Exclusive matching ; Pattern matching ; Intrusion detection