Fakulta informačních technologií VUT v Brně

Detail publikace

General IDS Acceleration for High-Speed Networks

KUČERA Jan, KEKELY Lukáš, PIECEK Adam a KOŘENEK Jan. General IDS Acceleration for High-Speed Networks. In: Proceedings of the 36th IEEE International Conference on Computer Design, ICCD 2018. Orlando: Institute of Electrical and Electronics Engineers, 2018, s. 366-373. ISBN 978-1-5386-8477-1.
Název česky
Obecná akcelerace IDS systémů pro vysokorychlostní počítačové sítě
Typ
článek ve sborníku konference
Jazyk
angličtina
Autoři
Kučera Jan, Ing. (CESNET)
Kekely Lukáš, Ing. (CESNET)
Piecek Adam, Ing. (FIT VUT)
Kořenek Jan, doc. Ing., Ph.D. (UPSY FIT VUT)
Abstrakt
Systémy IDS patří mezi jednu z klíčových technologií pro zajištění bezpečnosti komunikační infrastruktury. Z důvodu vysoké výpočetní náročnosti je však velmi obtížné splnit výkonnostní požadavky pro jejich nasazení ve vysokorychlostních sítích. Pro dosažení nejvyšší kvality detekce by IDS mělo zpracovávat co nejvíce relevantní dat, aniž by představovalo jakákoliv omezení pro probíhající síťovou komunikaci. Zároveň by implementace IDS měla být natolik flexibilní, aby vyhovovala detekčním metodám a nově objevujícím se bezpečnostním hrozbám. Tato publikace se zaměřuje na urychlení činnosti IDS pomocí informovaného selektivního zahazování příchozích paketů, čímž umožňuje efektivně soustředit dostupné výpočení zdroje systému na analýzu pouze relevatní části síťového provozu, která je z pohledu bezpečnostní analýzy ta nejvýznamnější. Na rozdíl od předchozích prací tento koncept neuvažuje přesun IDS ani žádné jeho části do hardwarového akcelerátoru. Využívá naopak softwarového nebo hardwarově akcelerovaného předzpracování (filtrace) části síťového provozu, který s nejvyšší pravděpodobností nepředstavuje bezpečnostní hrozbu. Kvalita detekce tak zůstává dostatečně vysoká i při zpracování vysokorychlostního provozu, souběžně se zachováním vysoké flexibility IDS systému. Práce ukazuje, že řízené (informované) zahazování části síťového provozu vede ve srovnání s nekontrolovanou ztrátou příchozích dat (buffer overflow discarding) k vyšší úspěšnosti detekce a je tak možné IDS systémy nasadit i na vysokorychlostních sítích s využitím pouze FPGA akcelerované předfiltrace síťového provozu.
Rok
2018
Strany
366-373
Sborník
Proceedings of the 36th IEEE International Conference on Computer Design, ICCD 2018
Konference
The 36th IEEE International Conference on Computer Design, Orlando, FL, US
ISBN
978-1-5386-8477-1
Vydavatel
Institute of Electrical and Electronics Engineers
Místo
Orlando, US
DOI
BibTeX
@INPROCEEDINGS{FITPUB11809,
   author = "Jan Ku\v{c}era and Luk\'{a}\v{s} Kekely and Adam Piecek and Jan Ko\v{r}enek",
   title = "General IDS Acceleration for High-Speed Networks",
   pages = "366--373",
   booktitle = "Proceedings of the 36th IEEE International Conference on Computer Design, ICCD 2018",
   year = 2018,
   location = "Orlando, US",
   publisher = "Institute of Electrical and Electronics Engineers",
   ISBN = "978-1-5386-8477-1",
   doi = "10.1109/ICCD.2018.00062",
   language = "english",
   url = "https://www.fit.vut.cz/research/publication/11809"
}
Nahoru