نام پژوهشگر: پیام مهدی نیا
پیام مهدی نیا مهدی برنجکوب
سیستم تشخیص نفوذ شبکه ای به عنوان جزیی از چارچوب امنیت اطلاعات تلقی می شود که وظیفه اصلی آن پویش فعالیت های شبکه ای و تمایز بین فعالیت های نرمال و غیر نرمال در شبکه است. روش های تشخیص نفوذ به طور کلی در دو دسته تشخیص مبتنی بر امضا و تشخیص ناهنجاری قرار می گیرند. سیستم های مبتنی بر تشخیص ناهنجاری برای کشف حملات ناشناخته مورد استفاده قرار می گیرند؛ اما غالباً با میزان بالایی از هشدارهای مثبت کاذب همراه هستند. در مقابل سیستم های مبتنی بر امضا هر چند در تشخیص حملاتی که امضای آن ها را ندارند ناتوان هستند، اما نوعاً دقت بالاتری نسبت به سیستم های تشخیص نفوذ مبتنی بر ناهنجاری دارند. از این رو غالب سیستم های تشخیص نفوذ تجاری از روش تشخیص مبتنی بر امضا پشتیبانی می کنند. افزایش سرعت خطوط شبکه ای و حجم زیاد تهدیدات اینترنتی، سیستم های تشخیص نفوذ شبکه ای مبتنی بر امضا را که باید بر روی هر بسته دریافتی از شبکه بررسی های تطبیقی و زمان گیر صورت دهند، با چالش نرخ گذردهی مواجه نموده است. در یک سیستم تشخیص نفوذ شبکه ای مبتنی بر امضا، مهم ترین و زمان برترین فرایند، انجام عملیات تطبیق الگو و بررسی عمیق بدنه و سرآیند بسته ها است. بررسی های مختلف نشان می دهد که این فرایند تا 75 درصد از زمان پردازش بسته ها را در بر می گیرد. در این تحقیق با تکیه بر توان محاسباتی کارت های گرافیکی همه منظوره – که از جنبه های سرعت، مقیاس پذیری، انعطاف پذیری، سهولت برنامه نویسی و قیمت از دیگر فناوری های سخت افزاری مانند fpga، مناسب تر به نظر می آیند - و با ایده انتقال موتور تشخیص مبتنی بر امضای سیستم های تشخیص نفوذ از cpu به gpu، تلاش شده که روشی کارا جهت افزایش سرعت سیستم های تشخیص نفوذی چون snort ارایه گردد. در روش پیشنهادی طرحی ارایه شده است که فرایند تطبیق بدنه و تطبیق سرآیند بسته ها را در بستر یک معماری موازی بر روی gpu انجام می دهد. این طرح با بهره گیری از ترکیب روش های مختلف موازی سازی، همچون تکنیک خط لوله، استفاده از معماری simd کارت گرافیکی و کتابخانه openmp بسته های ورودی را پردازش کرده و شرایطی را فراهم آورد که به واسطه آن وجود موتور تشخیص مبتنی بر امضای snort که زمان گیرترین بخش آن به حساب می آید، تاثیر تقریبا ناچیزی در افزایش زمان کار کل سیستم داشته باشد. به کمک طرح پیشنهادی، سیستم تشخیص مبتنی بر امضای snort می تواند وابسته به ترافیک ورودی، از 4/3 تا 10/8 برابر سریع تر شود.