Peregrine ist ein Malicious Traffic Detektor, der eine Kreuzplattform-Architektur aus Netzwerkswitches und Middlebox-Servern verwendet, um die Erkennung von schädlichem Verkehr in Terabit-Netzwerken zu skalieren.
Der Schlüssel ist, die Berechnung von Merkmalen, die für die ML-basierte Erkennung verwendet werden, in die Datenebene des Netzwerkswitches auszulagern. Dadurch können die Merkmale für den gesamten Netzwerkverkehr mit Terabit-Geschwindigkeit berechnet werden, im Gegensatz zu herkömmlichen Lösungen, die den Verkehr stark heruntertakten müssen, um die Verarbeitung auf dem Server zu ermöglichen.
Die Datenebene des Switches berechnet eine Vielzahl von Statistiken und Merkmalen pro Paket, die dann in Form von Merkmalssätzen an den Server gesendet werden, wo die ML-basierte Erkennung durchgeführt wird. Dieser Ansatz bietet mehrere Vorteile:
Die Hauptherausforderungen bei der Umsetzung lagen in den Beschränkungen der Rechenleistung und des Speichers in der Datenebene des Switches, die es erforderten, Näherungsalgorithmen und andere Mechanismen zu entwickeln, um die komplexen Berechnungen durchführen zu können.
A otro idioma
del contenido fuente
arxiv.org
Consultas más profundas