Increasing Memory Efficiency of Hash-Based Pattern Matching for High-Speed Networks

hash funkce, síťová bezpečnost, hledání vzorů, vysokorychlostní sítě

Zvyšující se rychlost síťových linek neustále zvyšuje požadavky na výkonnost systémů zajišťujících zabezpečení a monitorování sítě, včetně jejich typického zástupce Intrusion Detection System (IDS). Aby bylo možné provozovat aplikace IDS jako jsou Snort a Suricata v sítích podporujících propustnost 100 Gb/s nebo dokonce vyšší, aproximuje dříve navržená architektura prefiltru přesné hledání vzorů pomocí vyhledávání založeného na hashování krátkých řetězců, které představují danou sadu pravidel. Tato architektura může škálovat podporovanou propustnost úpravou počtu paralelních hash funkcí a bloků pamětí, které jsou použity pro implementaci hashovací tabulky. Protože každá hashovací funkce může adresovat každý paměťový blok, škálování propustnosti zvyšuje také celkovou kapacitu hashovací tabulky. Nicméně původní architektura využívá dostupnou kapacitu hašovací tabulky neefektivně. Navrhujeme proto tři optimalizační techniky, které jednak snižují množství informace uložené v hašovací tabulce a zvyšují její dosažitelné obsazení. Kromě toho navrhujeme také modifikaci architektury, která umožňuje efektivně využít zdroje. Ve srovnání s původní architekturou prefiltru zvyšuje kombinace navržených optimalizací pro propustnosti 100 Gb/s dosažitelnou kapacitu pro krátké řetězce o tři řády. Zároveň snižuje využití logických zdrojů FPGA na pouhou třetinu.