کاربرد پذیری کارت‌های گرافیکی در سیستم‌های تشخیص نفوذ پرسرعت

SUPERVISOR
Mehdi Berenjkob
مهدی برنج کوب (استاد راهنما)
 
STUDENT
Payam Mahdinia alvar
پیام مهدی نیا الوار

FACULTY - DEPARTMENT

دانشکده مهندسی برق و کامپیوتر
DEGREE
Master of Science (MSc)
YEAR
1389

TITLE

Usability of Graphics Cards in High Performance Intrusion Detection Systems
A Network Intrusion Detection System (NIDS) is an important topic of the computer and information security feild. Its main goal is to probe network activities and differentiate between normal activities of the network and behaviors that can be always; mso-special-character: line-break" clear=all
سیستم تشخیص نفوذ شبکه‌ای به عنوان جزیی از چارچوب امنیت اطلاعات تلقی می‌شود که وظیفه اصلی آن پویش فعالیت‌های شبکه‌ای و تمایز بین فعالیت‌های نرمال و غیر نرمال در شبکه است. روش‌های تشخیص نفوذ به طور کلی در دو دسته تشخیص مبتنی بر امضا و تشخیص ناهنجاری قرار می‌گیرند. سیستم‌های مبتنی بر تشخیص ناهنجاری برای کشف حملات ناشناخته مورد استفاده قرار می‌گیرند؛ اما غالباً با میزان بالایی از هشدارهای مثبت کاذب همراه هستند. در مقابل سیستم‌های مبتنی بر امضا هر چند در تشخیص حملاتی که امضای آن‌ها را ندارند ناتوان هستند، اما نوعاً دقت بالاتری نسبت به سیستم‌های تشخیص نفوذ مبتنی بر ناهنجاری دارند. از این رو غالب سیستم‌های تشخیص نفوذ تجاری از روش تشخیص مبتنی بر امضا پشتیبانی می‌کنند. افزایش سرعت خطوط شبکه‌ای و حجم زیاد تهدیدات اینترنتی، سیستم‌های تشخیص نفوذ شبکه‌ای مبتنی بر امضا را که باید بر روی هر بسته دریافتی از شبکه بررسی‌های تطبیقی و زمان‌گیر صورت دهند، با چالش نرخ گذردهی مواجه نموده است. در یک سیستم تشخیص نفوذ شبکه‌ای مبتنی بر امضا، مهم‌ترین و زمان‌برترین فرایند، انجام عملیات تطبیق الگو و بررسی عمیق بدنه و سرآیند بسته‌ها است. بررسی‌های مختلف نشان می‌دهد که این فرایند تا 75 درصد از زمان پردازش بسته‌ها را در بر می‌گیرد. در این تحقیق با تکیه بر توان محاسباتی کارت‌های گرافیکی همه منظوره – که از جنبه‌های سرعت، مقیاس پذیری، انعطاف‌پذیری، سهولت برنامه‌نویسی و قیمت از دیگر فناوری‌های سخت‌افزاری مانند FPGA، مناسب‌تر به نظر می‌آیند - و با ایده انتقال موتور تشخیص مبتنی بر امضای سیستم‌های تشخیص نفوذ از CPU به GPU، تلاش شده که روشی کارا جهت افزایش سرعت سیستم‌های تشخیص نفوذی چون Snort ارایه گردد. در روش پیشنهادی طرحی ارایه شده است که فرایند تطبیق بدنه و تطبیق سرآیند بسته‌ها را در بستر یک معماری موازی بر روی GPU انجام می‌دهد. این طرح با بهره‌گیری از ترکیب روش‌های مختلف موازی‌سازی، همچون تکنیک خط لوله، استفاده از معماری SIMD کارت گرافیکی و کتابخانه OpenMP بسته‌های ورودی را پردازش کرده و شرایطی را فراهم ‌آورد که به واسطه آن وجود موتور تشخیص مبتنی بر امضای Snort که زمان‌گیرترین بخش آن به حساب می‌آید، تاثیر تقریبا ناچیزی در افزایش زمان کار کل سیستم داشته باشد. به کمک طرح پیشنهادی، سیستم تشخیص مبتنی بر امضای Snort می‌تواند وابسته به ترافیک ورودی، از 3/4 تا 8/10 برابر سریع‌تر شود

ارتقاء امنیت وب با وف بومی