Scalability of Hash-based Pattern Matching for High-speed Network Security and Monitoring

hash funkce, vysokorychlostní sítě, škálování, hledání vzorů

Postupně se zvyšující propustnost vysokorychlostních sítí vytváří neustálý tlak na výkonnost operací nad síťovými daty. Pravděpodobně nejvíce postiženou operací v oblasti bezpečnosti a monitorování sítí je hledání vzorů, které je klíčové v široce rozšířených systémů detekce narušení (IDS) jako jsou Snort, Suricata a Bro. Tento článek proto navrhuje několik optimalizací architektury hledání vzorů založené na hashování, které společně umožňují zvýšit její propustnost na 100 Gb/s a více. Navrhované optimalizace se zaměřují na propojovací síť mezi paralelními hash funkcemi a paměťovými bloky adresovanými pomocí hash funkcí vypočtených nad krátkými řetězci. Optimalizace konkrétně snižují využití zdrojů sdílením částí propojovací sítě mezi několika jejími výstupy a snižují míru kolizí v těchto sdílených částech agregací a distribuovaným bufferováním požadavků na přístup do paměti. Optimalizovaná architektura porovnávání vzorů je proto schopna využívat vyšší počet paralelních hašovacích funkcí, z nichž každá může využívat propojovací síť pro přístup k libovolnému bloku paměti. To umožňuje nejen zvýšit propustnost klíčové součásti IDS na více než 100 Gb/s, ale také vyhledávat větší sadu vzorů síťových hrozeb a tuto sadu dynamicky aktualizovat.