|
- UID
- 1023166
- 性别
- 男
- 来自
- 燕山大学
|
IDS/IPS类应用倾向于将8比特字符的256个可能数值都明确地用规则表示出来,因此字符集压缩对此类应用来讲作用较小,所以适合采用增量编译。采用增量编译的优势在于不会特别增加字节数。另外,为了进行包分类,这类应用通常使用很多的起始状态条件,这也适合采用增量编译。有起始状态条件的规则集使用增量编译因为不需进行字符集压缩,所以可减小第一次的编译时间;依赖于规则改变的数目和复杂度,第二次以及随后的编译时间也会大幅缩短;并且减小了存储记录的需求。
如果规则集没有起始条件,那么最好还是使用全部编译的方式,因为全部编译具有字符集压缩的优势。
DPI在UTM平台上的应用
目前企业网都面临着入侵防御、防病毒和防垃圾邮件等三个主要的安全问题,UTM的出现使得通过一台设备来解决上述安全问题成为可能。但这同时也带来了性能瓶颈,因为对不间断的数据流进行处理,并根据不同的恶意威胁对包进行深度扫描的计算量非常庞大,即使是多核平台也很难达到预定性能。在这种情况下,专用的加速引擎Tarari就可以帮助UTM设备在安全能力和处理性能间达到均衡。
Tarari可以从主处理器上卸载内容处理任务,利用专用硬件来加速评估过程,最后再将评估结果送回主处理器上的安全应用程序。
对于入侵防御,UTM设备可以检测输入报文的所有内容,并将内容提交给Tarari的正则表达式处理引擎,由它来加速与攻击模式的比较过程。匹配结果返回主处理器后,入侵防御应用程序会决定如何来处理攻击包。
对于防病毒保护,数据流以文件形式通过UTM设备进入正则表达式引擎,引擎在线速情况下会将文件与病毒特征数据库进行评估匹配,并对可疑内容进行启发分析。评估结束后,主处理器上的防病毒应用程序就可以对感染文件进行预定处理。
对于防垃圾邮件应用,输入流作为Email通过UTM设备接入正则表达式引擎,引擎会将内容图案与垃圾邮件特征数据库进行评估对比,识别出问题信息。主处理器上运行的反垃圾邮件应用程序读出返回值后可以应用不同策略来处理这些信息。
当UTM平台有了Tarari的加速,它可以真正实现对数据报文、信息和文件的深度检测,以对网络提供安全保护。
总结
通过软件的方式也可以实现DPI检测功能,但这种方式性价比较低,功耗较高。比如在3GHz的Xenon四核平台上,每核只能实现60Mbit/s的吞吐量,而此时功耗为90W;采用最低端的T1000芯片可以实现250Mbit/s的吞吐量,而功耗不足2W。
Tarari与软件方式相比还有一个明显的优势,在于它基于硬件的跨包检测能力,相对于用软件来检测跨包威胁,比如入侵、恶意攻击等,Tarari的硬件处理速度远远超出了软件的处理速度。
Tarari芯片内部检测引擎的理论处理速度超过目前芯片的I/O吞吐率,因此,这些额外的处理能力使得LSI公司有能力在不远的将来推出更快更高效的产品。目前T1000系列芯片LSI采用了90nm工艺技术,随着LSI向65nm工艺的推进,Tarari系列的功耗将会更低,处理性能将会得到更大的释放。 |
|
