微波EDA网,见证研发工程师的成长!
首页 > 通信和网络 > 通信网络技术文库 > DPI处理器在多核平台上的应用

DPI处理器在多核平台上的应用

时间:08-11 来源:中电网 点击:

图2 基于MIPs多核的DPI平台设计


规则集编写及调用

Tarari支持丰富的正则表达式语言和各种常用结构,可以在确定速度的情况下并行处理超过100万条规则,它通过专利技术综合了DFA和NFA的优点,支持各种复杂的正则表达式。

如图3所示,正则表达式内容处理的第一步是编译规则集,然后将其调入Tarari硬件系统。规则集可以一次全部编译,也可以只编译更新部分,即增量编译。被编译的规则文本文件在编写时需要符合语法,编译结果是一个可以被调入Tarari硬件系统的二进制文件。

图3 规则集的编译过程


全部编译的好处是可以进行字符级的压缩,对于许多应用来讲,这意味着可以大幅减小编译输出的二进制文件大小,特别是对于诸如反垃圾邮件等基于文本的应用,全部编译同增量编译相比可以减小编译结果。字符集压缩必须要检索起始状态条件下的所有规则。因此,某一个规则的更新就会改变二进制指令在所有规则集上的生成方式。所以在这种模式下任一规则的更新都会要求所有的规则被重新编译。

IDS/IPS类应用倾向于将8比特字符的256个可能数值都明确地用规则表示出来,因此字符集压缩对此类应用来讲作用较小,所以适合采用增量编译。采用增量编译的优势在于不会特别增加字节数。另外,为了进行包分类,这类应用通常使用很多的起始状态条件,这也适合采用增量编译。有起始状态条件的规则集使用增量编译因为不需进行字符集压缩,所以可减小第一次的编译时间;依赖于规则改变的数目和复杂度,第二次以及随后的编译时间也会大幅缩短;并且减小了存储记录的需求。

如果规则集没有起始条件,那么最好还是使用全部编译的方式,因为全部编译具有字符集压缩的优势。

DPI在UTM平台上的应用

目前企业网都面临着入侵防御、防病毒和防垃圾邮件等三个主要的安全问题,UTM的出现使得通过一台设备来解决上述安全问题成为可能。但这同时也带来了性能瓶颈,因为对不间断的数据流进行处理,并根据不同的恶意威胁对包进行深度扫描的计算量非常庞大,即使是多核平台也很难达到预定性能。在这种情况下,专用的加速引擎Tarari就可以帮助UTM设备在安全能力和处理性能间达到均衡。

Tarari可以从主处理器上卸载内容处理任务,利用专用硬件来加速评估过程,最后再将评估结果送回主处理器上的安全应用程序。

对于入侵防御,UTM设备可以检测输入报文的所有内容,并将内容提交给Tarari的正则表达式处理引擎,由它来加速与攻击模式的比较过程。匹配结果返回主处理器后,入侵防御应用程序会决定如何来处理攻击包。

对于防病毒保护,数据流以文件形式通过UTM设备进入正则表达式引擎,引擎在线速情况下会将文件与病毒特征数据库进行评估匹配,并对可疑内容进行启发分析。评估结束后,主处理器上的防病毒应用程序就可以对感染文件进行预定处理。

对于防垃圾邮件应用,输入流作为Email通过UTM设备接入正则表达式引擎,引擎会将内容图案与垃圾邮件特征数据库进行评估对比,识别出问题信息。主处理器上运行的反垃圾邮件应用程序读出返回值后可以应用不同策略来处理这些信息。

当UTM平台有了Tarari的加速,它可以真正实现对数据报文、信息和文件的深度检测,以对网络提供安全保护。

总结

通过软件的方式也可以实现DPI检测功能,但这种方式性价比较低,功耗较高。比如在3GHz的Xenon四核平台上,每核只能实现60Mbit/s的吞吐量,而此时功耗为90W;采用最低端的T1000芯片可以实现250Mbit/s的吞吐量,而功耗不足2W。

Tarari与软件方式相比还有一个明显的优势,在于它基于硬件的跨包检测能力,相对于用软件来检测跨包威胁,比如入侵、恶意攻击等,Tarari的硬件处理速度远远超出了软件的处理速度。

Tarari芯片内部检测引擎的理论处理速度超过目前芯片的I/O吞吐率,因此,这些额外的处理能力使得LSI公司有能力在不远的将来推出更快更高效的产品。目前T1000系列芯片LSI采用了90nm工艺技术,随着LSI向65nm工艺的推进,Tarari系列的功耗将会更低,处理性能将会得到更大的释放。

Copyright © 2017-2020 微波EDA网 版权所有

网站地图

Top