基于多核處理器的DPI平臺的設(shè)計與應(yīng)用
IDS/IPS類應(yīng)用傾向于將8比特字符的256個可能數(shù)值都明確地用規(guī)則表示出來,因此字符集壓縮對此類應(yīng)用來講作用較小,所以適合采用增量編譯。采用增量編譯的優(yōu)勢在于不會特別增加字節(jié)數(shù)。另外,為了進行包分類,這類應(yīng)用通常使用很多的起始狀態(tài)條件,這也適合采用增量編譯。有起始狀態(tài)條件的規(guī)則集使用增量編譯因為不需進行字符集壓縮,所以可減小第一次的編譯時間;依賴于規(guī)則改變的數(shù)目和復雜度,第二次以及隨后的編譯時間也會大幅縮短;并且減小了存儲記錄的需求。
本文引用地址:http://2s4d.com/article/265050.htm如果規(guī)則集沒有起始條件,那么最好還是使用全部編譯的方式,因為全部編譯具有字符集壓縮的優(yōu)勢。
DPI在UTM平臺上的應(yīng)用
目前企業(yè)網(wǎng)都面臨著入侵防御、防病毒和防垃圾郵件等三個主要的安全問題,UTM的出現(xiàn)使得通過一臺設(shè)備來解決上述安全問題成為可能。但這同時也帶來了性能瓶頸,因為對不間斷的數(shù)據(jù)流進行處理,并根據(jù)不同的惡意威脅對包進行深度掃描的計算量非常龐大,即使是多核平臺也很難達到預定性能。在這種情況下,專用的加速引擎Tarari就可以幫助UTM設(shè)備在安全能力和處理性能間達到均衡。
Tarari可以從主處理器上卸載內(nèi)容處理任務(wù),利用專用硬件來加速評估過程,最后再將評估結(jié)果送回主處理器上的安全應(yīng)用程序。
對于入侵防御,UTM設(shè)備可以檢測輸入報文的所有內(nèi)容,并將內(nèi)容提交給Tarari的正則表達式處理引擎,由它來加速與攻擊模式的比較過程。匹配結(jié)果返回主處理器后,入侵防御應(yīng)用程序會決定如何來處理攻擊包。
對于防病毒保護,數(shù)據(jù)流以文件形式通過UTM設(shè)備進入正則表達式引擎,引擎在線速情況下會將文件與病毒特征數(shù)據(jù)庫進行評估匹配,并對可疑內(nèi)容進行啟發(fā)分析。評估結(jié)束后,主處理器上的防病毒應(yīng)用程序就可以對感染文件進行預定處理。
對于防垃圾郵件應(yīng)用,輸入流作為Email通過UTM設(shè)備接入正則表達式引擎,引擎會將內(nèi)容圖案與垃圾郵件特征數(shù)據(jù)庫進行評估對比,識別出問題信息。主處理器上運行的反垃圾郵件應(yīng)用程序讀出返回值后可以應(yīng)用不同策略來處理這些信息。
當UTM平臺有了Tarari的加速,它可以真正實現(xiàn)對數(shù)據(jù)報文、信息和文件的深度檢測,以對網(wǎng)絡(luò)提供安全保護。
總結(jié)
通過軟件的方式也可以實現(xiàn)DPI檢測功能,但這種方式性價比較低,功耗較高。比如在3GHz的Xenon四核平臺上,每核只能實現(xiàn)60Mbit/s的吞吐量,而此時功耗為90W;采用最低端的T1000芯片可以實現(xiàn)250Mbit/s的吞吐量,而功耗不足2W。
Tarari與軟件方式相比還有一個明顯的優(yōu)勢,在于它基于硬件的跨包檢測能力,相對于用軟件來檢測跨包威脅,比如入侵、惡意攻擊等,Tarari的硬件處理速度遠遠超出了軟件的處理速度。
Tarari芯片內(nèi)部檢測引擎的理論處理速度超過目前芯片的I/O吞吐率,因此,這些額外的處理能力使得LSI公司有能力在不遠的將來推出更快更高效的產(chǎn)品。目前T1000系列芯片LSI采用了90nm工藝技術(shù),隨著LSI向65nm工藝的推進,Tarari系列的功耗將會更低,處理性能將會得到更大的釋放。
評論