CC BY
20INTERNATIONAL SCIENTIFIC AND TECHNICAL CONFERENCE "DIGITAL TECHNOLOGIES: PROBLEMS AND SOLUTIONS OF PRACTICAL IMPLEMENTATION IN THE SPHERES" APRIL 27-28, 2023
АНАЛИЗ АЛГОРИТМОВ КЛАССИФИКАЦИИ ПАКЕТОВ В СИСТЕМАХ ОБНАРУЖЕНИЯ И ПРЕДОТВРАЩЕНИЯ АТАК Ташев Комил1, Худойкулов Зариф2, Султанов Джамшид3
1,2'3Ташкентский университет информационных технологий имени Мухаммад ал-
Хоразмий https://doi.org/10.5281/zenodo.7857658
Abstract. This article proposes a taxonomy and a general scheme for improving approaches and methods for classifying network packets, which greatly contribute to improving the efficiency of attack detection and prevention systems used to ensure cybersecurity in information and communication systems.
Keywords: NIDPS, network packets, classification, algorithm, hicuts, hypercuts, packet headers.
Классификация пакетов — это процесс категоризации пакетов в соответствии с полями их заголовков. Этот процесс применяется в машине пересылки (такой как маршрутизатор, брандмауэр, система обнаружения вторжений (IDS), система предотвращения вторжений (IPS) и т. д.) для определения контекста пакетов и выполнения важных действий. Действия могут включать отбрасывание неавторизованных пакетов, копирование, планирование и определение приоритетов, а также шифрование защищенных пакетов.
Для обработки интернет-трафика для предоставления дифференцированных услуг маршрутизаторы поставщика услуг Интернета (ISP) должны иметь возможность классифицировать пакеты путем проверки значений полей заголовков. Кроме того, он должен выполнить соответствующее действие для пакета в соответствии с услугами трафика. Службы трафика могут иметь дело с разными службами для одного и того же пути, например фильтрацией пакетов, предотвращением вредоносных атак, учетом и выставлением счетов, а также ограничением скорости трафика.
Наиболее часто предлагаемые решения для классификации с множественным соответствием основаны на TCAM и, как следствие, страдают рядом недостатков, таких как более высокая стоимость, высокое потребление энергии и низкая эффективность хранения. В этой работе исследуются альтернативные алгоритмические решения, которые могут использовать SRAM вместо TCAM. Был адаптирован ряд хорошо известных алгоритмов классификации пакетов с одним совпадением и проведено сравнение их производительности классификации по нескольким совпадениям с точки зрения требований к памяти, энергопотребления и скорости обработки пакетов. Затем их сравнили с двумя существующими решениями для нескольких матчей.
Проекты NIDPS обычно делятся на этап классификации с несколькими совпадениями на основе заголовков и этап глубокой проверки пакетов (DPI) на основе полезной нагрузки. Эти этапы могут быть параллельными или последовательными. На этапе классификации множественных совпадений заголовок входящего IP-пакета сравнивается с разделом заголовка из 5 кортежей всех правил. В последовательной архитектуре разделы полезной нагрузки всех результирующих правил сопоставления затем сравниваются с полезной нагрузкой пакета на последующем этапе DPI.
INTERNATIONAL SCIENTIFIC AND TECHNICAL CONFERENCE "DIGITAL TECHNOLOGIES: PROBLEMS AND SOLUTIONS OF PRACTICAL IMPLEMENTATION IN THE SPHERES" APRIL 27-28, 2023
Классификация с несколькими совпадениями отличается от классификации с одним совпадением, используемой, например, в маршрутизаторах, тем, что она должна возвращать все правила сопоставления, а не только одно совпадение с наивысшим приоритетом.
Проблема классификации пакетов. Критерий классификации пакетов называется правилом R, а набор конечных правил R1, R2, ..., Rn, содержащихся в машине пересылки, называется базой данных правил или классификатором. Поля правила и заголовка пакета связаны. Например, правило, реализующее IPv4, состоит из 5 полей (IP-адрес источника, IP-адрес назначения, тип протокола, порт источника и порт назначения). Входящий пакет на маршрутизатор соответствует определенному правилу, если отдельные поля в пакете соответствуют соответствующим полям в этом правиле. Поскольку пакет может соответствовать более чем одному правилу в базе данных, присвоение стоимости каждому правилу может избежать этой неоднозначности. Проблема классификации пакетов заключается в том, как определить соответствие с наименьшей стоимостью для входящего пакета. Пакет должен соответствовать хотя бы одному правилу. Различают три типа соответствия:
1. Точное совпадение: значения полей правила и полей заголовка пакета должны быть идентичными.
2. Соответствие префикса: значения полей правила должны быть префиксом для значений полей заголовка.
3. Соответствие диапазона: значения полей заголовка должны находиться в диапазоне, указанном правилом.
3. Реализация алгоритма классификации пакетов
Алгоритм классификации пакетов может быть реализован двумя основными типами: программной и аппаратной реализациями.
1. Программная реализация: этот тип используется с процессорами общего назначения и сетевыми процессорами (NP). Программные алгоритмы можно разделить на два типа зависимости поля:
- Алгоритмы, независимые от поля: эти алгоритмы будут создавать индексные таблицы независимо для каждого поля в правиле. Затем правила группируются. Алгоритмы HSM и RFC используют независимый параллельный поиск в индексных таблицах. Результаты поиска объединяются в окончательный результат в несколько этапов. Хотя эти алгоритмы быстры в классификации, им требуется большой объем памяти для хранения поисковых таблиц.
- Алгоритмы, зависящие от поля: эти алгоритмы работают с полями правила зависимым образом. Таким образом, нет необходимости группировать результаты на финальном этапе. Алгоритмы Hicuts и Hypercuts являются примерами такого типа зависимости от поля. Эти алгоритмы используют интеллектуальный и простой классификатор дерева решений. Кроме того, эти алгоритмы требуют меньше памяти, чем независимые от поля алгоритмы поиска. Однако они не могут обеспечить стабильную скорость классификации в худшем случае.
2. Аппаратная реализация: этот тип используется с ASIC (специализированные интегральные схемы) или с FPGA (программируемая пользователем вентильная матрица).
INTERNATIONAL SCIENTIFIC AND TECHNICAL CONFERENCE "DIGITAL TECHNOLOGIES: PROBLEMS AND SOLUTIONS OF PRACTICAL IMPLEMENTATION IN THE SPHERES" APRIL 27-28, 2023
Этот тип реализации используется с магистральными интернет-маршрутизаторами для обеспечения высокой скорости, поддерживающей обработку пакетов.
Несмотря на высокую скорость классификации, достигаемую аппаратной реализацией, есть несколько причин, побуждающих использовать программную реализацию.
1. Программируемость. Архитектуры ASIC имеют меньшие возможности программирования, поскольку ASIC имеют особую конструкцию.
2. Требуются специальные чипы: ASIC требует специальных чипов, называемых TCAM (Ternary Content Addressable Memory), для ускорения скорости обработки пакетов. TCAM страдает от некоторых проблем (масштабирование плотности, масштабирование мощности, масштабирование времени, необходимость в дополнительных чипах и умножение правил для сопоставления диапазонов). Таким образом, эти проблемы приведут к увеличению стоимости и затруднят обновление алгоритма.
В настоящее время алгоритмов классификации пакетов можно категорировать следующем образом как показано в таблице.
Таблица 1
№ Класс Алгоритмы
1. Наивный Линейный поиск и кеширование
2. Двумерный Hierarchal trie, Set Pruning Trie, Grid of Tries
3. Расширенный двухмерный EGT, EGT-PC, FIS
4. Разделяй и властвуй BV, ABV, Cross-producting, RFC, HSM, AHSM, C-HSM
5. Дерево решений Hicuts, Hypercuts, D-cuts, Expcuts, Hypersplit, sBits
6. Пространство этапа и хэш таблицы TSS, HaRP, Hybrid Approach PC, BSOL
7. Эвристика на битовом уровне DBS
8. Аппаратное обеспечение TCAM, BV-TCAM
Предлагаемая архитектура
Набор правил Snort сначала необходимо сжать в набор, который содержит только уникальные комбинации заголовков из 5 кортежей. Если первоначальный набор правил содержит правила пронумерованы I = 1 ..n , то каждое из правил в сжатом наборе будет иметь связанный с ним список из одного или более исходных чисел правил со значениями в диапазоне от 1 до N . Преобразование сжатого правила в исходные правила и извлечение соответствующей опции правила выполняются на последующем этапе предложенной схемы, как показано на рисунке 1.
INTERNATIONAL SCIENTIFIC AND TECHNICAL CONFERENCE "DIGITAL TECHNOLOGIES: PROBLEMS AND SOLUTIONS OF PRACTICAL IMPLEMENTATION IN THE SPHERES" APRIL 27-28, 2023
Заголовок пакета
Заголовок пакета
Рисунок 1: Общая предлагаемая схема NIDS В этом тезисе рассматриваются возможные решения для классификатора с множественными совпадениями, то есть первого блока схемы, показанной на рисунке 30. Этот блок принимает заголовок IP-пакета в качестве входных данных и выводит битовый вектор длины, равной количеству сжатых правил, т.е. 1273 бита в случае используемого набора правил Snort.
REFERENCES
1. Karimov M, Tashev K, Rustamova S. Application of the Aho-Corasick algorithm to create a network intrusion detection system. In2020 International Conference on Information Science and Communications Technologies (ICISCT) 2020 Nov 4 (pp. 1-5). IEEE.
2. M. Karimov, K. Tashev and M. Yoriqulov, "Problems of increasing efficiency of NIDS by using implementing methods packet classifications on FPGA," 2019 International Conference on Information Science and Communications Technologies (ICISCT), Tashkent, Uzbekistan, 2019, pp. 1-5, doi: 10.1109/ICISCT47635.2019.9011925.
3. K. Z. Turakulovich and S. L. Tokhirovich, "Analysis of Security Protocols in Wireless Sensor Networks," 2019 International Conference on Information Science and Communications
INTERNATIONAL SCIENTIFIC AND TECHNICAL CONFERENCE "DIGITAL TECHNOLOGIES: PROBLEMS AND SOLUTIONS OF PRACTICAL IMPLEMENTATION IN THE SPHERES" APRIL 27-28, 2023
Technologies (ICISCT), Tashkent, Uzbekistan, 2019, pp. 1-4, doi: 10.1109/ICISCT47635.2019.9012015.
4. S. Ganiev and Z. Khudoykulov, "Lightweight Cryptography Algorithms for IoT Devices: Open issues and challenges," 2021 International Conference on Information Science and Communications Technologies (ICISCT), Tashkent, Uzbekistan, 2021, pp. 01-04, doi: 10.1109/ICISCT52966.2021.9670281.
5. K. M. Malikovich, K. Z. Turakulovich and A. J. Tileubayevna, "A Method of Efficient OTP Generation Using Pseudorandom Number Generators," 2019 International Conference on Information Science and Communications Technologies (ICISCT), Tashkent, Uzbekistan, 2019, pp. 1-4, doi: 10.1109/ICISCT47635.2019.9011825.
6. A. Imamaliyev and Z. Khudoykulov, "Analysis Password-based Authentication Systems with Password Policy," 2021 International Conference on Information Science and Communications Technologies (ICISCT), Tashkent, Uzbekistan, 2021, pp. 1-3, doi: 10.1109/ICISCT52966.2021.9670312.
7. T. K. Akhmatovich, G. S. Rajaboevich and Y. N. Salimovna, "Security Scheme and Conceptual Model of Internet Banking System," 2021 International Conference on Information Science and Communications Technologies (ICISCT), Tashkent, Uzbekistan, 2021, pp. 01-04, doi: 10.1109/ICISCT52966.2021.9670283.
8. K. Tashev and M. Karimov, "New Approach to developing efficient NIDPS," 2021 International Conference on Information Science and Communications Technologies (ICISCT), Tashkent, Uzbekistan, 2021, pp. 1-5, doi: 10.1109/ICISCT52966.2021.9670253.
9. Maxkamov, B. S. (2023). RAQAMLI IQTISODIYOT SEKTORINI RIVOJLANTIRISHDA MAHALLIY XUSUSIYATLAR ASOSIDA TADQIQ QILISH. Потомки Аль-Фаргани, 1(1), 8-12. извлечено от https://al-fargoniy.uz/index.php/journal/article/view/26
10. Tashev, K., Agzamova, M. and Axmedova, N., 2021. Application of the Aho-Corasick algorithm to create a network intrusion detection system. Bulletin of TUIT: Management and Communication Technologies, 4(4), p.6.
11. B.Makhkamov, G.Ismoilova. Peculiarities Of Geo-Economic Formation Of E-Commerce Infrastructure. Bulletin of TUIT: Management and Communication Technologies, 4(4), p.6.
12. K. M. Malikovich, K. Tashev and N. Safoev, "QCA based Content Addressable Memory Design," 2021 International Conference on Information Science and Communications Technologies (ICISCT), Tashkent, Uzbekistan, 2021, pp. 01-05, doi: 10.1109/ICISCT52966.2021.9670375.
