The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

High-Speed Pattern Matching Algorithm using TCAM

TCAM을 이용한 고성능 패턴 매치 알고리즘

  • 성정식 (한국전자통신연구원 광통신연구센터) ;
  • 강석민 (충남대학교 컴퓨터공학과) ;
  • 이영석 (충남대학교 컴퓨터공학과) ;
  • 권택근 (충남대학교 컴퓨터공학과) ;
  • 김봉태 (한국전자통신연구원 광통신연구센터)
  • Published : 2005.08.01
Download PDF
⟨ Previous Next ⟩

Abstract

With the increasing importance of network protection from cyber threats, it is requested to develop a multi-gigabit rate pattern matching method for protecting against malicious attacks in high-speed network. This paper devises a high-speed pattern matching algorithm with TCAM by using an m-byte jumping window pattern matching scheme. The proposed algorithm significantly reduces the number of TCAM lookups per payload by m times with the marginally enlarged TCAM size which can be implemented by cascading multiple TCAMs. Due to the reduced number of TCAM lookups, we can easily achieve multi-gigabit rate for scanning the packet payload. It is shown by simulation that for the Snort nile with 2,247 patterns, our proposed algorithm supports more than 10 Gbps rate with a 9Mbit TCAM.

수 기가비트 급의 네트워크 성능 저하 없이 모든 패킷의 페이로드를 검사하여 유해 패킷을 검출해 내기 위해서 일반 메모리보다 빠른 검색을 지원하는 TCAM을 이용한 고성능 패턴 매치 알고리즘을 제안한다. 본 논문에서 제안하는 고성능 패턴 매치 알고리즘은 페이로드내에서 m바이트의 문자열당 한 번의 TCAM 룩업을 수행하는 m-바이트 점핑 윈도우 기법을 이용하여 패킷의 페이로드당 TCAM 룩업 횟수를 줄여 페이로드 스캐닝 속도를 증가시킨다. 본 논문에서 제안한 방법과 TCAM 기반 슬라이딩 윈도우 패턴 매치 방법을 이용하여 페이로드 스캐닝 성능을 비교해 보고, 제안한 방법의 우수성을 시뮬레이션을 통해 보인다. 또한 m-바이트 점핑 윈도우 패턴 매치 알고리즘이 약 2천개의 패턴을 가지는 Snort 규칙을 이용한 시뮬레이션을 통해 9Mbit TCAM에서 10Gbps 이상의 페이로드 스캐닝 성능을 낼 수 있음을 보인다.

Keywords

References

  1. 최현희, 정태명, '통합 보안 관리 시스템을 위한 보안 정책 일반화에 관한 연구', 정보처리학회논문지C, 제9-C권 제6호, pp.823-830, 2002 https://doi.org/10.3745/KIPSTC.2002.9C.6.823
  2. 장윤정, '차세대 네트워크 통합보안 시장 현황', 네트워크 타임즈, pp.151-165, June, 2004
  3. P. Jungck and S. S.Y. Shim, 'Issues in high-speed internet security,' IEEE Computer Magazine, pp.22-28, July, 2004 https://doi.org/10.1109/MC.2004.58
  4. M. Adiletta, et. al, 'The Next Generation of Intel IXP Network Processors,' Interl Technology Journal, Vol. 6, Issue 3, pp.6-18, Aug., 2002
  5. M. Fisk and G. Varghese, 'Fast content-based packet handling for intrusion detection,' UCSD Technical Report CS2001-0670, May, 2001
  6. S. Wu and U. Manber, 'A fast algorithm for multi-pattern searching,' Tech. Report TR94-17, University of Arizona, May, 1994
  7. J. Bo and L. Bin, 'High-speed discrete content sensitive pattern match algorithm for deep packet filtering,' Int'l Conference on Computer Networks and Mobile Computing, 2003
  8. F. Yu, R. H. Katz and T. V. Lakshman, 'Gigabit rate packet pattern-matching using TCAM,' IEEE Int'l Conference on Network Protocols, pp.174-183, Oct., 2004
  9. R. S. Boyer and J. S. Moore, 'A fast string searching algorithm,' Communications of the ACM, Vol. 20, No. 10, pp.762-772, Oct., 1977 https://doi.org/10.1145/359842.359859
  10. R. N. Horspool, 'Practical fast searching in stgrings,' Software Practice and Experience, Vol.10, No.6, pp.501-506, 1980 https://doi.org/10.1002/spe.4380100608
  11. Y. Huang, P. Zhang, S. Li, Y. Chen, and D. Zhang, 'Research on distributed real time network information auditing system,' Int'l Conference on Information, Communications & Signal Processing, 2001
  12. eSafe Gateway, URL:http://www.eAladdin.com/eSafe
  13. M. Roesch, 'Snort-lightweight intrusion detection for networks,' Systems Administration Conference, USENIX, 1999
  14. libpcap, URL: http://ee.lbl.gov/
  15. Snort.org, URL: http://www.snort.org./