Vyhledávání vzorů založené na hash funkcích pro vysokorychlostní sítě

Simple item page
but.committeedoc. Ing. Ondřej Ryšavý, Ph.D. (předseda) doc. Ing. Tomáš Čejka, PhD. (člen) doc. Ing. Petr Fišer, Ph.D. (člen) doc. RNDr. Matěj Zdeněk, Ph.D. (člen) prof. Ing. Miroslav Vozňák, Ph.D. (člen)cs
but.defenceV rozpravě student odpověděl na otázky komise a oponentů. Diskuze je zaznamenána na diskuzních lístcích, které jsou přílohou protokolu. Počet diskuzních lístků: 6. Komise se v závěru jednomyslně usnesla, že student splnil podmínky pro udělení akademického titulu doktor. Komise a oponenti jednomyslně doporučují, aby studentovi byla udělena cena za výjimečně kvalitní disertační práci. The student presented the goals and results, which he achieved within the solution of the dissertation. The student has competently answered the questions of the committee members and reviewers. The discussion is recorded on the discussion sheets, which are attached to the protocol. Number of discussion sheets: 6. The committee has agreed unanimously that the student has fulfilled requirements for being awarded the academic title Ph.D. The committee and reviewers recommend awarding the thesis the Dean's prize.cs
but.jazykangličtina (English)
but.programVýpočetní technika a informatikacs
but.resultpráce byla úspěšně obhájenacs
dc.contributor.advisorKořenek, Janen
dc.contributor.authorFukač, Tomášen
dc.contributor.refereePontarelli, Salvatoreen
dc.contributor.refereeZdeněk, Matějen
dc.date.accessioned2025-03-27T11:20:50Z
dc.date.available2025-03-27T11:20:50Z
dc.date.createdcs
dc.description.abstractNeustále se zvyšující rychlost síťových linek zvyšuje požadavky na výkonnost systémů zajišťujících zabezpečení a monitorování sítě, zejména Intrusion Detection System (IDS). Systémy IDS provádějí hloubkovou kontrolu paketů a detekují síťové hrozby pomocí sady pravidel obsahující velké množství vzorů. Vzhledem k vysoké výpočetní náročnosti musí systémy IDS využívat hardwarovou akceleraci, aby dosáhly propustnosti 100 Gb/s. Vyhledávání vzorů v síťovém provozu je výpočetně nejnáročnější částí zpracování paketů v IDS a bývá proto obvykle hardwarově akcelerováno. Současné hardwarové architektury však používají masivní replikaci pamětí a datových struktur a mohou podporovat pouze malé sady vzorů. Pro podporu velkých sad pravidel mohou rychlé aproximované pre-filtry předzpracovat síťový provoz a výrazně snížit zátěž na následující přesné vyhledávání vzorů realizovaní v softwaru nebo hardwaru. Tato práce se proto zabývá návrhem vysoce efektivní architektury pre-filtru založené na hashování, která nahrazuje složité vyhledávání vzorů podstatně jednodušším vyhledáváním krátkých řetězců. Pre-filtr provádí vyhledávání pomocí několika paralelních hashovacích funkcí a vhodně sdílené sady paměťových bloků uchovávajících krátké řetězce. Díky absenci replikace obsahu paměti jsou efektivně využívány hardwarové prostředky. Architektura dosahuje vysoké míry pre-filtrace, podporuje velké sady pravidel a její propustností je škálovatelnost na stovky Gb/s. Kromě toho práce dále představuje optimalizace zaměřené na zvyšování efektivity využití hardwarových zdrojů a ukazuje jejich přínos pro open-source systém akcelerující IDS Snort - Pigasus. Navržený koncept hardwarové architektury je navíc použit v hardwarově akcelerovaných zařízeních pro zabezpečení a monitorování sítí používaných Ministerstvem vnitra ČR a byl také komercializována firmou BrnoLogic.en
dc.description.abstractConstantly increasing speeds of network links push up requirements on the performance of network security and monitoring systems, especially intrusion detection systems (IDSes). IDSes perform deep packet inspection and detect network threats using a ruleset with many signatures. Due to high computation complexity, IDSes must use hardware acceleration to achieve wire-speed 100 Gbps throughput. Pattern matching - the most computationally intensive part of packet processing in an IDS - is usually accelerated in hardware. However, current hardware architectures use massive replication of memories and data structures and can support only small sets of signatures. To support large rulesets, fast approximate pre-filters can sift the network traffic and significantly decrease the load of further exact signature matching in software or hardware. Therefore, this thesis deals with designing a highly efficient hash-based pre-filtration architecture that replaces the complex signature matching with a significantly simpler short string matching. The pre-filter performs the matching by several parallel hash functions and a suitably shared set of memory blocks storing short strings. Due to the lack of memory replication, hardware resources are efficiently utilized. The architecture achieves a high level of pre-filtration, supports large sets of signatures, and its throughput is scalable to hundreds of Gbps. In addition, the thesis further presents optimizations focused on efficient hardware resources utilization and shows their benefits for an open-source IDS Snort acceleration system, Pigasus. Moreover, the proposed concept of hardware architecture is used in hardware accelerated network security and monitoring devices used by the Ministry of the Interior of the Czech Republic and has been commercialized by BrnoLogic company.cs
dc.description.markPcs
dc.identifier.citationFUKAČ, T. Vyhledávání vzorů založené na hash funkcích pro vysokorychlostní sítě [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. .cs
dc.identifier.other162835cs
dc.identifier.urihttps://hdl.handle.net/11012/250650
dc.language.isoencs
dc.publisherVysoké učení technické v Brně. Fakulta informačních technologiícs
dc.rightsStandardní licenční smlouva - přístup k plnému textu bez omezenícs
dc.subjectregulární výrazen
dc.subjectvyhledávání vzorůen
dc.subjectaproximaceen
dc.subjecthashovací funkceen
dc.subjectprogramovatelná hradlová poleen
dc.subjecthardwarová akceleraceen
dc.subjectsystém pro odhalení průnikuen
dc.subjectmonitorováníen
dc.subjectzabezpečeníen
dc.subjectvysokorychlostní síťen
dc.subjectregular expression matchingcs
dc.subjectpattern matchingcs
dc.subjectapproximationcs
dc.subjecthash functioncs
dc.subjectfield programmable gate arraycs
dc.subjecthardware accelerationcs
dc.subjectintrusion detection systemcs
dc.subjectmonitoringcs
dc.subjectsecuritycs
dc.subjecthigh-speed networkcs
dc.titleVyhledávání vzorů založené na hash funkcích pro vysokorychlostní sítěen
dc.title.alternativeHash-Based Pattern Matching for High-Speed Networkscs
dc.typeTextcs
dc.type.driverdoctoralThesisen
dc.type.evskpdizertační prácecs
dcterms.modified2024-12-11-14:17:06cs
eprints.affiliatedInstitution.facultyFakulta informačních technologiícs
sync.item.dbid162835en
sync.item.dbtypeZPen
sync.item.insts2025.03.27 12:20:50en
sync.item.modts2025.01.17 12:01:04en
thesis.disciplineVýpočetní technika a informatikacs
thesis.grantorVysoké učení technické v Brně. Fakulta informačních technologií. Ústav počítačových systémůcs
thesis.levelDoktorskýcs
thesis.namePh.D.cs
Files
Original bundle
Now showing 1 - 5 of 6
Thumbnail Image
Name:
final-thesis.pdf
Size:
2.02 MB
Format:
Adobe Portable Document Format
Description:
file final-thesis.pdf
Download
Thumbnail Image
Name:
appendix-1.zip
Size:
9.05 MB
Format:
Unknown data format
Description:
file appendix-1.zip
Download
Thumbnail Image
Name:
Posudek-Vedouci prace-anon_stanovisko_skolitele.pdf
Size:
729.26 KB
Format:
Adobe Portable Document Format
Description:
file Posudek-Vedouci prace-anon_stanovisko_skolitele.pdf
Download
Thumbnail Image
Name:
Posudek-Oponent prace-anonym_PHD_thesis_review_final_fukac.pdf
Size:
193.31 KB
Format:
Adobe Portable Document Format
Description:
file Posudek-Oponent prace-anonym_PHD_thesis_review_final_fukac.pdf
Download
Thumbnail Image
Name:
Posudek-Oponent prace-PHD_thesis_review_final_Matej.pdf
Size:
148.36 KB
Format:
Adobe Portable Document Format
Description:
file Posudek-Oponent prace-PHD_thesis_review_final_Matej.pdf
Download
Collections
2023