طراحی و پیاده سازی سیستم شنود بسته برای شبکه های پرسرعت

به دلیل اینکه هیچ سیستم کامپیوتری از نظر امنیتی کامل نبوده و دارای نقاط ضعف و شکست های امنیتی می باشد، استفاده از سیستم های تشخیص نفوذ (ids) این امکان را به وجود می آورد که در صورت عبور نفوذ گر از تجهیزات امنیتی و ورود به شبکه، آن را تشخیص داده و هر گونه استفاده ی غیر مجاز از سیستم را به مدیران شبکه هشدار دهد. دریافت بسته های شبکه گام اول این سیستم ها است که به دلیل روند صعودی افزایش سرعت در شبکه های امروزی، می بایست به صورت بلادرنگ و با سرعت سیم انجام گردد. در صورت بلادرنگ نبودن مرحله ی دریافت بسته، سیستم شنود خط به عنوان گلوگاه اصلی ids محسوب شده و کارایی کلی این سیستم را تحت تأثیر قرار می دهد. به منظور کاهش وظایف سیستم عامل در بخش های بعدی ids و افزایش کارایی آن، یک سیستم شنود خط بهتر است علاوه بر وظیفه ی اصلی خود، بخشی از پردازش های اولیه ی بسته ها را قبل از انتقال آن ها به حافظه ی کرنل انجام دهد. کدگشایی بسته ها، دسته بندی آن ها و سپس توزیع بار آن ها بین پردازنده های موجود، جزء پردازش هایی است که برخی از سیستم های شنود خط قبلی در کنار دریافت بسته ها انجام می دهند. به دلیل اینکه روش های نرم افزاری در صورت انجام پردازش های فوق، توانایی دریافت بسته ها با سرعت سیم را ندارند، استفاده از روش های سخت افزاری برای شنود خط تداعی می گردد. پیاده سازی سخت افزاری سیستم دریافت بسته باعث جلوگیری از هدر رفتن وقت سیستم عامل شده و در سرعت ids تأثیر به سزایی خواهد داشت. همچنین، استفاده از سخت افزار امکان توسعه ی پردازش ها در حین دریافت بسته ها و نیز افزایش سرعت شنود را در پی خوهد داشت. بنابراین، در این پژوهش با استفاده از fpga، یک سیستم شنود خط و توزیع بار به منظور به کارگیری در سیستم های تشخیص نفوذ طراحی و پیاده سازی شده است. این سیستم با وجود انجام پردازش های فوق، توانسته است دریافت و پردازش بسته ها را با سرعت بیشتری نسبت به نمونه های قبلی انجام دهد. از نوآوری های این پژوهش، علاوه بر پیاده سازی سخت افزاری، امکان افزودن برچسب به ابتدای هر بسته با هدف دسترسی سریع و آسان بخش های بعدی ids از جمله پیش پردازش، به اطلاعات هر بسته و نیز کاهش بار پردازشی این بخش ها می باشد. دسته بندی بسته ها در سیستم پیشنهادی، قابلیت پیکربندی به سه صورت دو، سه و پنج تایی را دارد که علاوه بر بخش توزیع بار این سیستم، در واحدهای بعدی ids مانند واحد تشخیص ناهنجاری نیز قابل به کارگیری خواهد بود. بخش توزیع بار از جداول درهم ساز استفاده می کند و تابع درهم ساز مورد استفاده ی آن نیز به گونه ای است که تعداد برخوردها در جریان ها را به حداقل می رساند. تشخیص ناهنجاری یکی دیگر از خصوصیات افزوده شده به این سیستم است که توانایی تشخیص برخی از ناهنجاری های پروتکل و حملات منع سرویس را با بهره گیری از اطلاعات به دست آمده از مرحله ی کدگشایی دارد. با فیلتر شدن بسته های خراب توسط این ماژول، بار پردازشی واحد پیش پردازش به طور چشم گیری کاهش یافته و در نتیجه سرعت و دقت آن افزایش می یابد. سیستم دریافت بسته ی پیشنهادی بر روی چند تراشه از خانواده ی virtex 6 hxt و virtex 7 پیاده سازی گردیده و با سرعت تقریبی 12 گیگا بیت بر ثانیه قادر به دریافت 100% بسته ها و انجام پردازش های فوق می باشد.