| Referência: | RIBEIRINHO, Lucas Polonio; SILVA, Tércio Cassiano. Estudo de viabilidade de sistemas de detecção e intrusão em redes baseados em GPUs. 2012. viii, 56 f., il. Monografia (Bacharelado em Ciência da Computação)—Universidade de Brasília, Brasília, 2012. |
| Resumo: | Sistemas de Detecção e Prevenção de Intrusão em Redes (IDPS) são importantes ferramentas para a análise do tráfego que circula por redes de computadores. O Snort é um dos IDPS mais utilizados mundialmente e considerado uma das melhores ferramentas disponíveis. A performance é um dos pontos principais de um IDPS, e no caso do Snort, a operação de maior custo computacional é a comparação dos pacotes da rede com milhares de patterns presentes em suas regras, existentes para detectar padrões conhecidos de ataques a computadores. Visto que cada pacote é comparado a milhares de patterns, uma análise cuidadosa mostrou que este problema poderia ser adaptado para execução em GPUs, em grande parte por sua arquitetura SIMD (Single Instruction Multiple Data). Para minimizar o overhead de transferência dos pacotes da CPU para a GPU, foi necessário acumular pacotes e enviar um buffer de pacotes para a GPU. O Snort, porém, é uma plataforma que não foi pensado para execução paralela. Para resolver estes problemas, e com a premissa da não modificação da arquitetura interna do Snort, foi criada uma arquitetura para execução de vários processos de Snort simultâneos, acúmulo de pacotes em um buffer e uso de GPU para o pattern matching. Os resultados obtidos com esta arquitetura não foram melhores do que a execução de um Snort não-modificado. Por outro lado, sugere-se ser possível excelentes ganhos de performance, de mais de 433%, caso a arquitetura do Snort seja modifcada ou em outro IDPS que seja favorável ao acúmulo de um buffer de pacotes para matching. _________________________________________________________________________ ABSTRACT
Intrusion Prevention and Detection Systems (IDPS) are very important tools for the analysis of network traffic across computers. Snort is one of the most famous and useful IDPS worldwide and is considered to be one of the best ones available. Performance is the key factor of an IDPS and, especially in Snort, the most computationally intensive operation is the matching of all the network packets against thousands of patterns present in its rules, responsible for detecting known patterns of malicious traffic. Based on the fact that every packet is compared to thousands of patterns, it was realized that this problem could be adapted for GPU execution, due to GPU's SIMD (Single Instruction Multiple Data) architecture. To minimize the overhead caused by transferring packets from CPU's to GPU's memory, it was needed to store packets and send whole buffers to GPU in only one transfer. However, Snort's arquitecture was not planned for parallel execution, so that it could acquire this buffer. To solve these problems, and considering we would not alter Snort's core architecture, it was created an architecture for executing multiple Snort processes simultaneously, for capturing packets ready for matching in a buffer and, finally, for using the GPU to perform the pattern matching. The results, achieved using this architecture, were not better than the standard Snort. Still, it was showed there could be a possibility of excellent performance boosts (over 433%) if Snort's core architecture was modified or whether it was used another IDPS whose architecture suits better the creation of the packet buffer for matching. |
