Journal of the Korea Society of Computer and Information (한국컴퓨터정보학회논문지)

Korean Society of Computer Information (한국컴퓨터정보학회)
권호 표지
DOI QR코드

DOI QR Code

The Design and Implementation of Network Intrusion Detection System Hardware on FPGA

FPGA 기반 네트워크 침입탐지 시스템 하드웨어 설계 및 구현

  • Kim, Taek-Hun (Dept. of Computer and Telecommunication Engineering, Yonsei University) ;
  • Yun, Sang-Kyun (Dept. of Computer and Telecommunication Engineering, Yonsei University)
  • 김택훈 (연세대학교 컴퓨터정보통신공학부) ;
  • 윤상균 (연세대학교 컴퓨터정보통신공학부)
  • Received : 2012.01.16
  • Accepted : 2012.02.08
  • Published : 2012.04.30
Download PDF
⟨ Previous Next ⟩

Abstract

Deep packet inspection which perform pattern matching to search for malicious patterns in the packet is most computationally intensive task. Hardware-based pattern matching is required for real-time packet inspection in high-speed network. In this paper, we have designed and implemented network intrusion detection hardware as a Microblaze-based SoC using Virtex-6 FPGA, which capture the network input packet, perform hardware-based pattern matching for patterns in the Snort rule, and provide the matching result to the software. We verify the operation of the implemented system using traffic generator and real network traffic. The implemented hardware can be used in network intrusion detection system operated in wire-speed.

침입 탐지에 가장 시간이 많이 소요되는 작업은 패킷 데이터에 침입 패턴이 있는지를 검사하는 심층 패킷검사이다. 고속 네트워크에서 이 작업을 실시간으로 처리하기 위해서는 하드웨어 기반 패턴매칭이 필요하다. 본 논문에서는 침입탐지 시스템 구현에 하드웨어 기반 패턴매칭을 사용할 수 있도록 네트워크의 패킷을 수집하여 Snort 패턴규칙에 따라서 패턴매칭을 수행하고 결과를 소프트웨어에게 제공할 수 있도록 하는 하드웨어를 Virtex-6 FPGA를 사용하여 Microblaze 기반의 SoC 형태로 설계하여 구현하였다. 구현된 시스템은 인위적인 트래픽 생성과 실제 트래픽을 사용하여 동작을 검증하였고 패킷이 네트워크 인터페이스에서 메모리로 복사되는 동안 패턴매칭 동작을 정확하게 수행하여 소프트웨어에게 결과를 제공하였다. 본 연구 결과는 실시간 처리가 가능하도록 침입탐지 시스템을 고속화 하기위한 하드웨어로 사용될 수 있다.

Keywords

References

  1. Snort web site, http://www.snort.org
  2. Bro web site, http://bro-ids.org
  3. PCRE - Perl Compatible Regular Expressions, http://www.pcre.org
  4. R. Sidhu and V.K. Prasanna, "Fast Regular Expression Matching using FPGAs," IEEE Symp. Field- Programmable Custom Computing Machines, (FCCM'01), pp. 227-238, 2001.
  5. C. R. Clark and D. E. Schimmel, "Scalable Parallel Pattern Matching on High Speed Networks," IEEE Symp. Field-Programmable Custom Computing Machines (FCCM'04), pp. 249-257, 2004.
  6. C.-H. Lin, C.-T. Huang, C.-P. Jiang, and S.-C. Chang, "Optimization of Pattern Matching Circuits for Regular Expression on FPGA," IEEE Trans. VLSI Systems, Vol.15, No.12, pp.1303-1310, Dec. 2007. https://doi.org/10.1109/TVLSI.2007.909801
  7. S.K. Yun and K.H. Lee, "A Hardware Architecture of Multibyte-based Regular Expression Pattern Matching for NIDS," Journal of Korea Information and Communicaitons Society(KICS), Vol.34, No.1B, pp.47-55, Jan. 2009.
  8. S.K. Yun and K.H. Lee, "A Hardware Architecture of Regular Expression Pattern Matching for Deep Packet Inspection," Journal of Korea Society of Computer and Information(KSCI), Vol.16, No.5, pp.13-22, May 2011. https://doi.org/10.9708/jksci.2011.16.5.013
  9. T. Katashita, Y. Yamaguchi, A. Maeda and K. Toda, "FPGA-Based Intrusion Detection System for 10 Gigabit Ethernet," IEICE Trans. Info. & Sys, Vol. E90-D, No.12, pp.1923-1931, Dec. 2007. https://doi.org/10.1093/ietisy/e90-d.12.1923
  10. Xilinx ML605 Evaluation Kit, http://www.xilinx.com/products/devkits/EK-V6-ML605-G.htm
  11. Xilinx PLB IPIF IP CORE Datasheet, http://www.xilinx.com/support/documentation/ip_documentation/ plb_ipif.pdf

Cited by

  1. 보안성과 성능에 따른 침입탐지시스템의 품질평가 모델 vol.12, pp.6, 2012, https://doi.org/10.14400/jdc.2014.12.6.289