Synthesis of reconfigurable information security hardware on HPC platforms
DOI:
https://doi.org/10.18372/2410-7840.20.13426Keywords:
information security, NIDS, deep packet inspection, multi-pattern string matching, FPGA, centralized synthesis, HPC, GRID, cloud computingAbstract
The main purpose of a signature-based network intrusion detection system (NIDS) is to inspect network packet contents against tens of thousands of predefined malicious patterns. Unlike the firewall, NIDS examines not only packet headers, but also the packet bodies. The multi-pattern string matching task is a specific type of string matching functionality to search an input stream for a set of patterns rather than a single pattern. Due to rising traffic rates, increasing number and sophistication of attacks and the collapse of Moore's law for sequential processing, traditional software solutions can no longer meet the high requirements of today’s security challenges. Therefore, hardware approaches are proposed to accelerate pattern matching. Combining the flexibility of software and the nearASIC performance, reconfigurable FPGA-based devices have become increasingly popular for this purpose. Unfortunately, the development of complex reconfigurable devices is a very difficult craft. Users of NIDS which are usually system administrators have not neither enough qualification, nor computing resources to fulfill such a work. On the other hand specificities of security tasks require frequent execution of dynamic re-synthesis of reconfigurable accelerators. To solve this problem, a centralized system based on GRID and Cloud platforms was proposed. Such approach moves design and computation complexities from LANs to HPC. An experimental system was constructed and tested. First results are received and discussed. Preliminary comparison of GRID and Cloud technologies is made. Besides cybersecurity, high-speed multi-pattern matching is required for such important applications as data mining, XML switching, QoS management, VoIP filtering, cache replication etc.References
А. Лукацкий, Обнаружение атак, СПб.: БХВ-Петербург, 2001, 624 с.
А. Корченко, О. Заріцький, Т. Паращук, В. Бичков, "Програмне забезпечення формування еталонів параметрів", Захист інформації, Т. 20, № 3, С. 133-148, 2018.
С.Я. Гильгурт, "Реконфигурируемые вычислители. Аналитический обзор", Электронное моделирование, Т. 35, № 4, С. 49-72, 2013.
Ю.М. Коростиль, С.Я. Гильгурт, "Принципы построения сетевых систем обнаружения вторжений на базе ПЛИС", Моделювання та інформаційні технології. Зб. наук. пр. ІПМЕ ім. Г.Є. Пухова НАН України, Вип. 57, С. 87-94, 2010.
А.Н. Давиденко, С.Я. Гильгурт, В.И. Сабат, "Аппаратное ускорение алгоритмов сигнатурного обнаружения вторжений в открытой системе информационной безопасности Snort", Моделювання та інформаційні технології. Зб. наук. пр. ІПМЕ ім. Г.Є. Пухова НАН України, Вип. 65, С. 94-103, 2012.
Ю.М. Коростиль, С.Я. Гильгурт, О.М. Назаренко, "Анализ базы данных системы информационной безопасности Snort и вопросы быстродействия", Моделювання та інформаційні технології. Зб. наук. пр. ІПМЕ ім. Г.Є. Пухова НАН України, Вип. 66, С. 77-84, 2012.
B Smyth, Computing Patterns in Strings, Essex: Pearson Addison Wesley, 2003, 440 p.
W. Jiang, V.K. Prasanna, "Scalable Multi-Pipeline Architecture for High Performance Multi-Pattern String Matching", 24th IEEE International Parallel and Distributed Processing Symposium (IPDPS '10), United States, Atlanta, April 19, 2010.
A.V. Aho, M.J. Corasick, "Efficient string matching: an aid to bibliographic search", Proceedings of the II Communications of the ACM, 1975, vol. 18, № 6, pp. 333340.
C. Maxfield, The Design Warrior's Guide to FPGAs: Devices, Tools and Flows, Oxford, UK: Elsevier Science & Technology Books, 2004, 542 p.
H. Chen, Y. Chen, D.H. Summerville, "A Survey on the Application of FPGAs for Network Infrastructure Security", IEEE Communications Surveys and Tutorials, pp. 541-561.
А.В. Палагин, В.Н. Опанасенко, Реконфигурируемые вычислительные системы: Основы и приложения, К.: «Просвіта», 2006, 280 с.
С.Я. Гильгурт, "Задача множественного распознавания строк в интенсивном потоке данных и методы ее аппаратного ускорения", Тез. доп. Мiжнар. наук.-техн. конф. «Моделювання-2016», Київ, 2016, С. 166-169.
В.Ф. Євдокимов, А.М. Давиденко, С.Я. Гільгурт, "Створення на базі грід-сайту ІПМЕ ім. Г.Є. Пухова НАНУ системи централізованого синтезу апаратних прискорювачів для вирішення задач інформаційної безпеки в енергетичній галузі", Моделювання та інформаційні технології. Зб. наук. пр.
ІПМЕ ім. Г.Є. Пухова НАН України, Вип. 79, С. 38, 2017.
А.А. Сальников, В.В. Вишневский, А.Ф. Борецкий "«Платформа как сервис» в грид для интерактивного анализа медицинских данных", Математичні машини і системи, № 1, С. 53-64, 2015.
А.К. Гиранова, "Анализ программного обеспечения реконфигурируемых вычислителей", Моделювання та інформаційні технології. Зб. наук. пр. ІПМЕ ім. Г.Є. Пухова НАН України, Вип. 41, С. 43-48, 2007.
Downloads
Published
Issue
Section
License
Authors who publish with this journal agree to the following terms:- Authors retain copyright and grant the journal right of first publication with the work simultaneously licensed under a Creative Commons Attribution License that allows others to share the work with an acknowledgement of the work's authorship and initial publication in this journal.
- Authors are able to enter into separate, additional contractual arrangements for the non-exclusive distribution of the journal's published version of the work (e.g., post it to an institutional repository or publish it in a book), with an acknowledgement of its initial publication in this journal.
- Authors are permitted and encouraged to post their work online (e.g., in institutional repositories or on their website) prior to and during the submission process, as it can lead to productive exchanges, as well as earlier and greater citation of published work (See The Effect of Open Access).
