Accelerating Traffic Classification and Measurements on Network Processors

La Network Intrusion Detection e le misure sul traffico e sulla rete sono fra le piu' onerose e difficili operazioni che un nodo di rete puo' dover effettuare sul traffico reale ad alte velocita'. In questa tesi mostriamo alcune fra le piu' avanzate soluzioni per lo svolgimento efficiente di queste operazioni. Cominciamo introducendo i Network Processors come piattaforma di riferimento sia per la progettazione e lo studio che per l'implementazione degli algoritmi e, in generale, delle tecniche che sono descritte in questa tesi. Quindi descriviamo alcune tecniche di packet e traffic classification basate su Deep Packet Inspection (DPI). Tale DPI richiede usualmente una grande quantita' sia di memoria che di operazioni elementari per essere effettuata poiche' tutti i singoli byte del traffico osservato devono essere analizzati. Per questi motivi, mostriamo in questo lavoro differenti soluzioni che, o tramite operazioni di ``randomizzazione'' e approssimazione o tramite la costruzione intelligente ed efficare di macchine a stati finiti, permettono ai nodi di rete di eseguire DPI in modo veloce e conservativo della memoria su piattaforme ad alta velocita' come i Network Processor. Le misure di rete richiedono, normalmente, un alto grado di collaborazione da parte della rete stessa, il che' e' abbastanza insolito in casi reali. In questa tesi mostriamo una serie di soluzioni che adottano l'approccio tomografico al problema che permette di fornire buoni risultati senza alcuna cooperazione da parte della rete osservata.