1 Diplomverteidigung Peter Danielis Realisierung und Implementierung eines Algorithmus zur Echtzeit- Mustererkennung in einem Ethernet- Datenstrom

2 Gliederung Motivation Intrusion Detection Systeme Signaturanalyse mittels Mustererkennung Realisierung des Designs Verifikation durch Simulation Ergebnisse Zusammenfassung

3 Gliederung Motivation Intrusion Detection Systeme Signaturanalyse mittels Mustererkennung Realisierung des Designs Verifikation durch Simulation Ergebnisse Zusammenfassung

4 Motivation  Wachsende Bedeutung des WWW  Sicherheitslücken  Angriffspunkte  Sicherheitsmechanismen  Hardwarelösung  Flexibilität: FPGA  Adaptivität: Anpassung an Bedrohungen

5 Gliederung Motivation Intrusion Detection Systeme Signaturanalyse mittels Mustererkennung Realisierung des Designs Verifikation durch Simulation Ergebnisse Zusammenfassung

6 Intrusion Detection Systeme NIDS, HIDS Online-/Offline-Auswertung der Daten Signaturanalyse vs. Anomalieerkennung

7 Gliederung Motivation Intrusion Detection Systeme Signaturanalyse mittels Mustererkennung  Aho-Corasick-Algorithmus  Set-Horspool-Algorithmus Realisierung des Designs Verifikation durch Simulation Ergebnisse Zusammenfassung

8 Signaturanalyse mittels Mustererkennung Makro- bzw. Mikromuster Algorithmen  simultane Suche nach mehreren Mustern  schnelle Suche  Eignung für Hardware Aho-Corasick stets lineare Zeitkomplexität Set-Horspool Zeitkomplexität abhängig von Alphabetgröße, Länge und Anzahl der Muster gut geeignet für wenige Muster bei großem Text

9 Aho-Corasick-Algorithmus Trie 6-Tupel  Zustände  Alphabet  goto-Funktion  Fehlerfunktion  Ausgabefunktion  Startzustand

10 Aho-Corasick-Algorithmus Suchvorgang  Vorwärtssuche

11 Set-Horspool-Algorithmus Trie Schlüsselwörter rückwärts

12 Set-Horspool-Algorithmus Suchvorgang  Rückwärtssuche  Schiebefunktion shift l min = 2 cehimrs# shift(c)

13 Gliederung Motivation Intrusion Detection Systeme Signaturanalyse mittels Mustererkennung Realisierung des Designs  Leistungsabschätzung Verifikation durch Simulation Ergebnisse Zusammenfassung

14 Realisierung des Designs

15 Leistungsabschätzung Leistungsfähigkeit durch Speicherzugriffszeit begrenzt Geringer Durchsatz  Puffer voll  Verwerfen von Frames

16 Gliederung Motivation Intrusion Detection Systeme Signaturanalyse mittels Mustererkennung Realisierung des Designs Verifikation durch Simulation Ergebnisse Zusammenfassung

17 Verifikation durch Simulation

18 Gliederung Motivation Sicherheit in Computernetzwerken Intrusion Detection Systeme Realisierung des Designs Verifikation durch Simulation Ergebnisse  Simulationsergebnisse  Testergebnisse Zusammenfassung

19 Simulationsergebnisse (AC) Aho-Corasick: keine verworfenen Frames

20 Set-Horspool: bis zu 33 verworfene Frames Simulationsergebnisse (SH)

21 Testergebnisse Testfall 1: TCP-Frames (1314 Byte) Testfall 2: TCP-Frames (1314 Byte) Testfall 3: UDP-Frames (132 Byte)

22 Gliederung Motivation Intrusion Detection Systeme Signaturanalyse mittels Mustererkennung Realisierung des Designs Verifikation durch Simulation Ergebnisse Zusammenfassung  Ausblick

23 Zusammenfassung

24 Ausblick Hybride Architektur WildCards MD5-Hashes

25 Vielen Dank für Ihre Aufmerksamkeit!

26 ISO-OSI und Ethernet Länge mindestens 64 Byte, maximal 1518 (1522 mit VLAN)

27 Sicherheit in Computernetzwerken Bedrohungen: Viren, Würmer, Trojaner Gegenmaßnahmen: Firewalls, IDS, Antivirenprogramme

28 Pattern-Top-Komponente Anschluss an PLB über PLB-IPIF-Schnittstelle Adressierbar für Empfang von Lesedaten

29 EDK-Block Erstellung mit Xilinx EDK  Präprozess durch PPC405-CPU  ready-Signal  Speicherung des Tries in DDR-SDRAM

30 Software-Präprozess Aho-Corsasick  Trie in Speicher schreiben  ready-Signal senden Set-Horspool  Tabelle mit Verschiebungswerten, l min und Trie in Speicher schreiben  ready-Signal senden

31 EMAC-Komponenten 100 Mbit/s Physikalisches Interface  4 Bit Empfangs- und Sendedaten Client Interface  8 Bit Empfangs- und Sendedaten Kontinuierlicher Datenstrom beim Senden von Frames  ack-Signal

32 SYNC-FIFO-Komponenten Umsetzung Emac-Interface  Datenpfadtyp Zwischenspeichern der Frames  Data-Interface: Synchronisation mit Design-Takt  Client-Interface: Synchronisation mit EMAC-Takten read-enable-Signal zur Verzögerung des byteweisen Auslesens byteweises Auslesen kompletter Frames Umsetzung Datenpfadtyp  Emac- Interface Zwischenspeichern der Frames  Transmission-Interface: Synchronisation mit Design-Takt  Client-Interface: Synchronisation mit EMAC-Takten write-enable-Signal zur Verzögerung des byteweisen Schreibens kontinuierlicher Datenstrom zur EMAC 1  ack-Signal

33 DDR-SDRAM 2 Chips Aufbau  Spalten  Reihen Strobe- Signale  RAS  CAS

34 DDR-SDRAM RAS = ‘1‘ Reihe  Reihenspeicher

35 DDR-SDRAM CAS = ‘1‘ Superzelle  PLB

36 Frame-Check-Komponente Klassifizierung der Ethernet-Frames  Basic-/Tagged Frame  IPv4 TCP ICMP UDP search-enable-Signal an Pattern-Matching- Komponente für Untersuchung der Payload

37 Aho-Corasick-Komponente Präprozess  ready = ‘1‘ Laden der direkten Nachfolger der Wurzel Datenbyte = Nachfolger der Wurzel  Suchvorgang in Payload Match  LCD-Ausgabe

38 Set-Horspool-Komponente Präprozess  ready = ‘1‘ Laden von l min und direkten Nachfolgern der Wurzel Datenbyte = Nachfolger der Wurzel  Suchvorgang in Payload  Sonst Verschiebungslänge holen Match  LCD-Ausgabe

39 Testaufbau