Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
Veröffentlicht von:Angelika Sachs Geändert vor über 8 Jahren
1
1 Diplomverteidigung Peter Danielis Realisierung und Implementierung eines Algorithmus zur Echtzeit- Mustererkennung in einem Ethernet- Datenstrom
2
2 Gliederung Motivation Intrusion Detection Systeme Signaturanalyse mittels Mustererkennung Realisierung des Designs Verifikation durch Simulation Ergebnisse Zusammenfassung
3
3 Gliederung Motivation Intrusion Detection Systeme Signaturanalyse mittels Mustererkennung Realisierung des Designs Verifikation durch Simulation Ergebnisse Zusammenfassung
4
4 Motivation Wachsende Bedeutung des WWW Sicherheitslücken Angriffspunkte Sicherheitsmechanismen Hardwarelösung Flexibilität: FPGA Adaptivität: Anpassung an Bedrohungen
5
5 Gliederung Motivation Intrusion Detection Systeme Signaturanalyse mittels Mustererkennung Realisierung des Designs Verifikation durch Simulation Ergebnisse Zusammenfassung
6
6 Intrusion Detection Systeme NIDS, HIDS Online-/Offline-Auswertung der Daten Signaturanalyse vs. Anomalieerkennung
7
7 Gliederung Motivation Intrusion Detection Systeme Signaturanalyse mittels Mustererkennung Aho-Corasick-Algorithmus Set-Horspool-Algorithmus Realisierung des Designs Verifikation durch Simulation Ergebnisse Zusammenfassung
8
8 Signaturanalyse mittels Mustererkennung Makro- bzw. Mikromuster Algorithmen simultane Suche nach mehreren Mustern schnelle Suche Eignung für Hardware Aho-Corasick stets lineare Zeitkomplexität Set-Horspool Zeitkomplexität abhängig von Alphabetgröße, Länge und Anzahl der Muster gut geeignet für wenige Muster bei großem Text
9
9 Aho-Corasick-Algorithmus Trie 6-Tupel Zustände Alphabet goto-Funktion Fehlerfunktion Ausgabefunktion Startzustand
10
10 Aho-Corasick-Algorithmus Suchvorgang Vorwärtssuche
11
11 Set-Horspool-Algorithmus Trie Schlüsselwörter rückwärts
12
12 Set-Horspool-Algorithmus Suchvorgang Rückwärtssuche Schiebefunktion shift l min = 2 cehimrs# shift(c)1112222
13
13 Gliederung Motivation Intrusion Detection Systeme Signaturanalyse mittels Mustererkennung Realisierung des Designs Leistungsabschätzung Verifikation durch Simulation Ergebnisse Zusammenfassung
14
14 Realisierung des Designs
15
15 Leistungsabschätzung Leistungsfähigkeit durch Speicherzugriffszeit begrenzt Geringer Durchsatz Puffer voll Verwerfen von Frames
16
16 Gliederung Motivation Intrusion Detection Systeme Signaturanalyse mittels Mustererkennung Realisierung des Designs Verifikation durch Simulation Ergebnisse Zusammenfassung
17
17 Verifikation durch Simulation
18
18 Gliederung Motivation Sicherheit in Computernetzwerken Intrusion Detection Systeme Realisierung des Designs Verifikation durch Simulation Ergebnisse Simulationsergebnisse Testergebnisse Zusammenfassung
19
19 Simulationsergebnisse (AC) Aho-Corasick: keine verworfenen Frames
20
20 Set-Horspool: bis zu 33 verworfene Frames Simulationsergebnisse (SH)
21
21 Testergebnisse Testfall 1: 10.000 TCP-Frames (1314 Byte) Testfall 2: 10.000 TCP-Frames (1314 Byte) Testfall 3: 10.000 UDP-Frames (132 Byte)
22
22 Gliederung Motivation Intrusion Detection Systeme Signaturanalyse mittels Mustererkennung Realisierung des Designs Verifikation durch Simulation Ergebnisse Zusammenfassung Ausblick
23
23 Zusammenfassung
24
24 Ausblick Hybride Architektur WildCards MD5-Hashes
25
25 Vielen Dank für Ihre Aufmerksamkeit!
26
26 ISO-OSI und Ethernet Länge mindestens 64 Byte, maximal 1518 (1522 mit VLAN)
27
27 Sicherheit in Computernetzwerken Bedrohungen: Viren, Würmer, Trojaner Gegenmaßnahmen: Firewalls, IDS, Antivirenprogramme
28
28 Pattern-Top-Komponente Anschluss an PLB über PLB-IPIF-Schnittstelle Adressierbar für Empfang von Lesedaten
29
29 EDK-Block Erstellung mit Xilinx EDK Präprozess durch PPC405-CPU ready-Signal Speicherung des Tries in DDR-SDRAM
30
30 Software-Präprozess Aho-Corsasick Trie in Speicher schreiben ready-Signal senden Set-Horspool Tabelle mit Verschiebungswerten, l min und Trie in Speicher schreiben ready-Signal senden
31
31 EMAC-Komponenten 100 Mbit/s Physikalisches Interface 4 Bit Empfangs- und Sendedaten Client Interface 8 Bit Empfangs- und Sendedaten Kontinuierlicher Datenstrom beim Senden von Frames ack-Signal
32
32 SYNC-FIFO-Komponenten Umsetzung Emac-Interface Datenpfadtyp Zwischenspeichern der Frames Data-Interface: Synchronisation mit Design-Takt Client-Interface: Synchronisation mit EMAC-Takten read-enable-Signal zur Verzögerung des byteweisen Auslesens byteweises Auslesen kompletter Frames Umsetzung Datenpfadtyp Emac- Interface Zwischenspeichern der Frames Transmission-Interface: Synchronisation mit Design-Takt Client-Interface: Synchronisation mit EMAC-Takten write-enable-Signal zur Verzögerung des byteweisen Schreibens kontinuierlicher Datenstrom zur EMAC 1 ack-Signal
33
33 DDR-SDRAM 2 Chips Aufbau Spalten Reihen Strobe- Signale RAS CAS
34
34 DDR-SDRAM RAS = ‘1‘ Reihe Reihenspeicher
35
35 DDR-SDRAM CAS = ‘1‘ Superzelle PLB
36
36 Frame-Check-Komponente Klassifizierung der Ethernet-Frames Basic-/Tagged Frame IPv4 TCP ICMP UDP search-enable-Signal an Pattern-Matching- Komponente für Untersuchung der Payload
37
37 Aho-Corasick-Komponente Präprozess ready = ‘1‘ Laden der direkten Nachfolger der Wurzel Datenbyte = Nachfolger der Wurzel Suchvorgang in Payload Match LCD-Ausgabe
38
38 Set-Horspool-Komponente Präprozess ready = ‘1‘ Laden von l min und direkten Nachfolgern der Wurzel Datenbyte = Nachfolger der Wurzel Suchvorgang in Payload Sonst Verschiebungslänge holen Match LCD-Ausgabe
39
39 Testaufbau
Ähnliche Präsentationen
© 2024 SlidePlayer.org Inc.
All rights reserved.