DEEP PACKET INSPECTION DAN PAKET ARSITEKTUR PENGOLAHAN PADA PLATFORM INTEL

DEEP PACKET INSPECTION

     Baru – baru ini arsitektur prosesor dengan tingkat yang lebih tinggi, cache yang lebih besar, dan kemajuan lainnya telah mengaktifkan keamanan jaringan alat tersebut untuk menggabungkan kemampuan yang sebelumnya hanya ditemukan diakhir-sistem. Tidak lagi terbatas hanya menjembatani dan meneruskan, elemen jaringan sekarang menggunakan pemindaian paket ketika paket tersebut melalui sistem. Keuntungan dari teknologi ini, administrator jaringan sekarang menggunakan sistem deteksi intrusi / pencegahan (IDS / IPS) dan antivirus jaringan dan scanner malware disamping firewall tradisional. Dalam beberapa kasus, beberapa fungsi keamanan yang dimasukkan ke dalam alat yang universal manajemen ancaman (UTM).

Berbeda dengan firewall tradisional yang terlihat di header paket saja, ini lebih maju jenis peralatan menggunakan teknologi DPI untuk memeriksa isi dari setiap paket untuk mendeteksi ancaman. Alih-alih mendasarkan keputusan keamanan semata-mata pada bidang dalam header paket, teknologi DPI merupakan aplikasi keamanan untuk mengintip jauh ke dalam isi dari aliran data untuk mencoba untuk mengidentifikasi maksud berbahaya. Pemeriksaan ini lebih rinci,  aliran data memiliki biaya tambahan, namun, karena memindai isi data stream adalah CPU intensif dan dapat menjadi tidak layak karena lalu lintas data meningkat.

DPI sebagai alat tergantung pada seberapa baik melakukan di bawah beban. Sebuah sistem yang melakukan yang berjalan dengan baik secara teorinya tidak akan sempurna apabila memiliki aliran data yang buruk merupakan masalah keamanan utama. Analoginya, agen jasa perbatasan suatu negara yang diberi mandat baru untuk menepi setiap mobil untuk melakukan pencarian rinci terhadap barang yang dibawa oleh setiap kendaraan. Meskipun pendekatan ini dapat memberikan keamanan tambahan di perlintasan terpencil di mana lalu lintas jarang, hal itu akan menyebabkan kemacetan parah di perlintasan utama dan mengakibatkan kekacauan sebagai agen perbatasan sewenang-wenang mengembalikan mobil yang akan melewati perbatasan untuk mengurangi kemacetan, atau lebih buruk memungkinkan masuknya tanpa kontrol. Ini adalah persis apa yang bisa terjadi dalam peralatan keamanan yang tidak bisa menjaga dengan kecepatan data yang masuk. Paket dapat menurunkan antrian, menyebabkan sistem akhir untuk memancarkan kembali, lebih memperburuk situasi, atau paket dapat diterima secara membabi buta dalam kondisi gagal terbuka.

memberlakukan paradigma pemrograman yang berbeda pada perangkat lunak, sehingga tidak sanggup untuk mempertahankan dan mahal untuk menyebarkan di seluruh lini produk.

Ketersediaan prosesor multi-core, bagaimanapun, telah menciptakan kesempatan untuk perangkat lunak DPI yang dirancang dengan baik untuk mendekati dan bahkan melebihi solusi hardware berbasis sebelumnya dalam kinerjanya.

PAKET ARSITEKTUR PENGOLAHAN PADA PLATFORM INTEL

Ada sejumlah alasan mengapa perangkat lunak yang berjalan pada platform Intel dapat mencapai kinerja pengolahan paket superior. Strategi tik-tok Intel pengenalan cepat dari mikro-arsitektur baru ditambah dengan perbaikan dalam teknologi proses telah memungkinkan prosesor multi-core IA untuk memperpanjang keunggulan mereka di kedua kontrol dan pengolahan data pesawat.
Inovasi terbaru termasuk penggantian front-side bus (FSB) dengan point-to-point Intel QuickPath Interconnect, simbolis metrik multi-threading, dukungan untuk akses memori non-seragam (NUMA), tertanam dan pengendali memori yang lebih luas, seperti baik instruksi streaming sebagai baru untuk lebih cepat cyclic redundancy check (CRC) perhitungan. integrasi yang lebih kuat ini langsung menghasilkan paket yang dibawa dari NIC dan disimpan ke dalam memori lokal lebih efisien daripada sebelumnya.
Setelah paket berada di memori, perangkat lunak aplikasi dapat menggunakan Intel data Pesawat Development Kit (DPDK) dan Intel QuickAssist Teknologi untuk mempercepat pengolahan paket dengan fitur seperti penerimaan interupsi bebas paket dan transmisi, pengambilan awal dan pemanasan Cache, kesadaran NUMA, real-time penyangga pengelolaan dan zero-copy buffer, cincin lockless, dan IA-dioptimalkan pertandingan terpanjang-prefix dan klasifikasi mengalir. Fitur-fitur ini, bersama dengan clock rate tinggi dan cache besar dalam prosesor IA, membuat platform multi-core IA cocok untuk aplikasi baik rendah-touch dan high-touch, yang memungkinkan pasar-terkemuka kemampuan pemrosesan paket serta mempercepat jalur data yang intensif beban kerja seperti kriptografi, sion Kompresi, dan inspeksi paket yang mendalam.
Didukung oleh satu set kuat alat pendukung, kemajuan arsitektur ini bersama-sama dengan Intel DPDK dan Intel QuickAssist Teknologi yang memungkinkan generasi baru produk yang dapat memberikan solusi yang paling scalable dan terbaik berkinerja cepat dan efisien ke pasar.

Sebuah matcher pola yang baik harus mampu melakukan perbandingan dari aliran byte yang masuk terhadap database signature dengan kinerja deterministik terlepas dari jumlah tanda tangan. Dalam kata lain, matcher pola harus melakukan jauh lebih baik dibandingkan dengan metode brute force membandingkan aliran byte masuk dengan masing-masing secara berurutan tanda tangan. Akan bolak-balik berulang kali dalam aliran data sangat cache-tidak efisien dan tidak skala sebagai jumlah pola tumbuh.
Beberapa matchers pola software berbasis mengatasi hal ini pendekatan kekerasan dengan menggunakan algoritma berbasis trie, di mana set pola yang dicari diatur dalam struktur data yang memetakan tionship relativitas antara pola. Ketika sebuah paket yang datang tiba, perangkat lunak hanya berjalan peta untuk mencari pertandingan, mirip dengan bagaimana beberapa pencarian alamat IP dilakukan.
Meskipun hal ini merupakan peningkatan dari pendekatan kekerasan sebagai jumlah pola tumbuh, juga memiliki kekurangan nya. Tergantung pada jumlah tanda tangan dan ukuran cache processor, berjalan trie cara ini mungkin memerlukan beberapa memori per paket, dengan kasus terburuk menjadi salah satu gota akses ory per byte yang diterima, dalam hal kinerja mungkin tidak berubah menjadi perbaikan atas metode brute force itu adalah berusaha untuk menggantikan.
Oleh karena itu, sementara teknologi DPI menjadi semakin sophis- ticated, juga menciptakan tantangan secara efektif skala kinerja. Lebih dalam dan lebih rinci inspeksi, semakin pengolahan diperlukan dan yang lebih penting adalah untuk mencari alternatif untuk diterbitkan negara-of-the-art mekanisme saat ini untuk scanning.

sumber : Accelerated Deep Packet Inspection
for Network Security Applications
Delivering High-Performance DPI on Intel Xeon Processor with
Wind River Content Inspection Engine

Alamat Web :http://www.windriver.com.cn/downloads/whitepaper/Content_Inspection_Engine_WP.pdf