Системы обнаружения и предотвращения вторжений (IDS/IPS) обеспечивают защиту компьютерных сетей, сканируя каждый пакет данных, который проходит через сеть, в поисках признаков любого из десятков тысяч различных типов кибератак, известных на данный момент.
Поскольку скорость Интернета-доступа продолжает расти, увеличивается и количество передаваемых данных. Чтобы не отставать, системы обнаружения вторжений стали превращаться в гигантские серверные комплексы, что привело к увеличению затрат на электроэнергию у организаций, использующих их для защиты своих сетей.
Специалисты CyLab, исследовательского центра компьютерной безопасности при Университете Карнеги-Меллона предложили новое решение Pigasus, которое, по их словам, позволит в корне изменить ситуацию в отрасли. Они заявляют, что разработали самую быструю из когда-либо существовавших систем обнаружения и предотвращения вторжений с открытым исходным кодом, способную обеспечивать контроль сети на скорости передачи данных 100 Гбит в секунду с использованием одного сервера.
«То, что раньше было возможно с 100–700 процессорными ядрами и целой стойкой машин, теперь мы можем сделать с пятью процессорными ядрами на одном сервере», — говорит Джастин Шерри (Justine Sherry) из CyLab.
Ключом к успеху исследователей стало использование программируемых вентильных матриц (FPGA). Исследователи запрограммировали FPGA для единственной задачи по обнаружению вторжений и написали те алгоритмы, которые не могут работать на традиционных процессорах, но обеспечивают значительное ускорение при использовании FPGA.
По словам Шерри, в среднем 95 % пакетов данных обрабатываются самой FPGA, а остальные 5 % передаются на обработку центральным процессорам, отсюда необходимость в наличии пяти ядер процессора в системе. «Большую часть работы выполняет FPGA, хотя часть её по-прежнему передается процессорам», — говорит Шерри.
Результатом стала огромная экономия энергии: созданная система обнаружения вторжений на FPGA потребляет в 38 раз меньше энергии, чем сотни процессорных ядер при выполнении той же работы. «Это, как если бы ваш счёт за электричество раньше составлял $100, а теперь он равен $3, — говорит Шерри. — Мы создали одну машину размером с коробку из-под пиццы, чтобы выполнять работу целого комплекса серверов».
