Implementacja mechanizmów wyszukujących wzorce do akceleracji
przetwarzania pakietów sieci Ethernet w układach rekonfigurowalnych
FPGA
Celem rozprawy jest implementacja metod wyszukiwania wzorców realizowanych całkowicie sprzętowo z wykorzystaniem układów logiki rekonfigurowalnej FPGA oraz rozbudowa i optymalizacja realizowanych obecnie rozwiązań na drodze programowej i ich integracja z mechanizmami i prymitywami sprzętowymi oferowanymi przez logikę układów FPGA. Przeniesienie istniejących algorytmów programowych do platformy sprzętowej jest bezcelowe ponieważ algorytmy te z założenia pracują w sposób szeregowy dlatego koniecznym jest taka ich adaptacja, by operacje dotychczas realizowane w sposób szeregowy maksymalnie zrównoleglić. W wyniku prowadzonej pracy badawczej autor zaprojektował sprzętową implementację klasyfikatora zabezpieczenia sieciowego typu firewall, pozwalającego na wyszukiwanie wzorców w pakietach sieci Ethernet z prędkością 6,45x106 nagłówków pakietów IP na sekundę.
Zaproponowany w pracy autorski algorytm wyszukujący wzorce z symbolami wieloznacznymi (*), mogącymi występować także na początku analizowanego wzorca adresacji sieciowej np.: *.*.*.A i bazujący na algorytmie Aho-Corasick, umożliwia wyszukiwanie wielu wzorców pakietów jednocześnie, eliminuje sekwencyjne przeszukiwanie polityki bezpieczeństwa oraz pozwala na wyszukiwanie wzorców adresacji sieciowej z prędkością 24,59x106 nagłówków pakietów IP na sekundę.
Implementation of pattern search mechanisms for the acceleration of
processing Ethernet packets in FPGAs
The aim of the dissertation is the implementation of the pattern search mechanisms implemented entirely by hardware using the reconfigurable FPGA logic systems and the expansion and optimization of currently implemented software solutions and their integration with mechanisms and hardware primitives offered by FPGA systems. The transfer of existing software algorithms to the hardware platform is pointless because the software algorithms are designed in principle in a serial way, therefore it is necessary to adapt them in a way to maximize parallelization. As a result of the conducted research, the author designed a hardware implementation of the firewall's network security classifier, allowing for searching for patterns in Ethernet network packets at the rate of 6.45x106 packet headers per second. The author's proprietary
algorithm for searching patterns with wildcards (*), which may also appear at the beginning of the analyzed network addressing pattern, eg: *.*.*.A and based on the Aho-Corasick algorithm, enables searching for multiple packet patterns simultaneously, eliminating sequential search the security policy and allow to search for network addressing patterns at the speed of 24.59x106 IP packet headers per