ETD

• bloom filters
• network processor
• signature matching

Nel moderno contesto delle reti di telecomunicazioni, la capacità di individuare e quindi bloccare i tentativi di intrusioni all’interno delle reti private riveste un’importanza sempre maggiore. Per far fronte a tale necessità sono stati introdotti particolari dispositivi che vanno sotto il nome di Intrusion Detection System (IDS) e sono stati sviluppati algoritmi capaci di gestire grandi moli di dati per riconoscere anomalie o minacce in modo efficiente.
Questa tesi si prefigge lo scopo di mostrare alcune di queste tecniche, facendo in particolar modo riferimento a quelle che meglio si adattano all'implementazione su architetture ad alte prestazioni come i Network Processor della famiglia IXP2400.
Dopo un breve riferimento storico sugli NP, si è introdotto il Network Processor oggetto del lavoro di tesi, ovvero l’Intel IXP2400 descrivendone l’hardware, le caratteristiche e la programmabilità.
Successivamente si sono approfondite le problematiche introdotte dall'individuazione delle diverse minacce alla rete, descrivendo i vari algoritmi che vengono utilizzati nell'ambito della misuse detection.
Dopo aver ampiamente descritto l’ML-CCBF, struttura utilizzata per il pattern matching, si è giunti alla sua fase implementativa nei linguaggi C e microcode assembly.
Si è passati quindi ai test sulla scheda ENP-2611 Radisys equipaggiata con il Network Processor IXP2400 Intel, dove si sono ottenuti interessanti risultati riguardo il maching, la probabilità di falso positivo e il bit rate in uscita al variare del numero di microengine utilizzati, della dimensione dei pacchetti e delle funzione di hash adottate grazie all’analizzatore AX4000 della Spirent.
Per 4 funzioni di hash, affinchè la probabilità di falso positivo sia minima, si è calcolato un numero massimo di regole in ingresso alla nostra struttura pari a n = 2839.