Sistema de Detecção de Intrusão Serverless em uma SmartNIC

  • Lucas F. S. Duarte UFV
  • Racyus D. G. Pacífico UFMG
  • Marcos A. M. Vieira UFMG
  • José A. M. Nacif UFV

Resumo


Segurança de dados tornou-se um fator crucial no contexto de redes de computadores. Entre 2015 e 2020, estima-se que o prejuízo causado pelo roubo de informações na Internet seja de R$ 26 trilhões. Nesse cenário, Sistemas de Detecção de Intrusão (SDIs) são elementos essenciais na busca de ameaças. Contudo, SDIs são instalados em máquinas convencionais com pouco poder de processamento e altos custos operacionais. Offloading de funções de rede em SmartNICs e o paradigma Serverless surgem como soluções eficientes, pois combinam flexibilidade e programabilidade com poder de processamento de pacotes em hardware. Nesse trabalho propomos um SDI Serverless com offloading de filtros definidos pelo usuário na SmartNIC Netronome. Foram criados diferentes filtros usando a tecnologia eBPF para validar o sistema. Os resultados obtidos mostram que ataques são detectados em taxa de linha.

Referências

Arashloo, M. T., Lavrov, A., Ghobadi, M., Rexford, J., Walker, D., and Wentzlaff, D. (2020). Enabling programmable transport protocols in high-speed nics. In 17th fUSENIXg Symposium on Networked Systems Design and Implementation (fNSDIg 20), pages 93–109.

Bertin, G. (2017). XDP in practice: integrating XDP into our DDoS mitigation. In Proceedings of the Technical Conference on Linux Networking, page 5.

Choi, S., Shahbaz, M., Prabhakar, B., and Rosenblum, M. (2019). Lambda-nic: Interactive serverless compute on smartnics. In Proceedings of the ACM SIGCOMM 2019 Conference Posters and Demos, SIGCOMM Posters and Demos ’19, pages 151–152, New York, NY, USA. ACM.

Digital, C. (2017). Roubo de dados vai causar um prejuízo acima de R$ 26 trilhões até 2020. [link]. Acessado em Fevereiro de 2021.

Docker (2021). Docker hub. https://hub:docker:com/. Acessado em: 11/03/2021.

Docker Inc. (2014). Swarm mode overview. https://docs:docker:com/engine/swarm/. Acessado em: 11/03/2021.

Duarte, L. F. S. (2021). alpine-ebpf : An alpine-based image for compiling and running ebpf programs. [link].

eBPF (2014). Extended berkeley packet filter (ebpf). https://ebpf:io/what-isebpf. Acessado em 11/03/2021.

Ellis, A. (2016). Openfaas: Serverless functions made simple for docker and kubernates. https://www:openfaas:com/.

Ellis, A. (2017). Openfaas classic templates. https://github:com/openfaas/templates. Acessado em: 11/03/2021.

Fox, G. C., Ishakian, V., Muthusamy, V., and Slominski, A. (2017). Status of serverless computing and function-as-a-service(faas) in industry and research. CoRR, abs/1708.08028.

Google (2017). Google Cloud Functions. https://cloud:google:com/functions/. Acessado em Maio de 2019.

Google Inc. (2015). Production-grade container orchestration. https://kubernetes:io/. Acessado em: 11/03/2021.

Hypolite, J., Sonchack, J., Hershkop, S., Dautenhahn, N., DeHon, A., and Smith, J. M. (2020). DeepMatch: Practical Deep Packet Inspection in the Data Plane Using Network Processors, page 336–350. Association for Computing Machinery.

Intel (2021). Intel Smart Network Adapter. [link]. Acessado em 11/03/2021.

IO Visor (2016). extreme data path (xdp). https://www:iovisor:org/technology/xdp. Acessado em 11/03/2021.

Juniper (2019). Business losses to cybercrime data breaches to exceed $5 trillion by 2024. [link]. Acessado em 12/02/2021.

Liu, M., Cui, T., Schuh, H., Krishnamurthy, A., Peter, S., and Gupta, K. (2019a). Offloading distributed applications onto smartnics using ipipe. SIGCOMM ’19, page 318–333, New York, NY, USA. Association for Computing Machinery.

Liu, M., Peter, S., Krishnamurthy, A., and Phothilimthana, P. M. (2019b). E3: Energy-efficient microservices on smartnic-accelerated servers. In 2019 fUSENIXg Annual Technical Conference (fUSENIXgfATCg 19), pages 363–378.

Miano, S., Doriguzzi-Corin, R., Risso, F., Siracusa, D., and Sommese, R. (2019). Introducing smartnics in server-based data plane processing: The ddos mitigation use case. IEEE Access, 7:107161–107170.

Miao, R., Zeng, H., Kim, C., Lee, J., and Yu, M. (2017). Silkroad: Making stateful layer-4 load balancing fast and cheap using switching asics. In Proceedings of the Conference of the ACM Special Interest Group on Data Communication, pages 15–28.

Microsoft (2017). Azure Functions. https://azure:microsoft:com/en-us/services/functions/. Acessado em Maio de 2019.

Moon, Y., Lee, S., Jamshed, M. A., and Park, K. (2020). Acceltcp: Accelerating network applications with stateful TCP offloading. In 17th USENIX Symposium on Networked Systems Design and Implementation (NSDI 20), pages 77–92, Santa Clara, CA. USENIX Association.

Netronome (2021). Agilio CX SmartNICs. https://www:netronome:com/products/agilio-cx/. Acessado em 11/03/2021.

NH (2021). Vazamento expôs dados de 220 milhões de brasileiros. [link]. Acessado em Fevereiro de 2021.

Nvidia (2021). BlueField SmartNIC Ethernet. [link]. Acessado em 11/03/2021.

Pacífico, R. D. G., Duarte, L. F. S., Castanho, M. S., Vieira, L. F. M., Nacif, J. A., and Vieira, M. A. M. (2021). Application layer packet classifier in hardware. In 2021 IFIP/IEEE Symposium on Integrated Network and Service Management (IM). IEEE.

Pacífico, R., Duarte, L., Castanho, M., Miranda Nacif, J., and Vieira, M. (2020). Sistema de processamento de pacotes serverless. pages 183–196.

Services, A. W. (2017). AWS Lambda. https://aws:amazon:com/lambda/. Acessado em Maio de 2019.

Turull, D., Sjödin, P., and Olsson, R. (2016). Pktgen: Measuring performance on high speed networks. Computer Communications, 82:39–48.

Vieira, A. G., Pereira, G. H. A., Freire, J. H. F., Duarte, L. F. S., Pacífico, R. D. G., Pantuza, G., Vieira, M. A. M., Vieira, L. F. M., and Nacif, J. A. M. (2020a). Computação Serverless: Conceitos, Aplicações e Desafios. In Minicursos do XXXVIII Simpósio Brasileiro de Redes de Computadores e Sistemas Distribuidos (SBRC), Rio de Janeiro, RJ, Brasil. SBC.

Vieira, M. A. M., Castanho, M. S., Pacífico, R. D. G., Santos, E. R. S., Câmara Júnior, E. P. M., and Vieira, L. F. M. (2019). Processamento Rápido de Pacotes com eBPF e XDP. In Minicursos do XXXVII Simpósio Brasileiro de Redes de Computadores e Sistemas Distribuidos (SBRC), Porto Alegre, RS, Brasil. SBC.

Vieira, M. A. M., Castanho, M. S., Pacífico, R. D. G., Santos, E. R. S., Júnior, E. P. M. C., and Vieira, L. F. M. (2020b). Fast packet processing with ebpf and xdp: Concepts, code, challenges, and applications. ACM Comput. Surv., 53(1).
Publicado
16/08/2021
DUARTE, Lucas F. S.; PACÍFICO, Racyus D. G.; VIEIRA, Marcos A. M.; NACIF, José A. M.. Sistema de Detecção de Intrusão Serverless em uma SmartNIC. In: SIMPÓSIO BRASILEIRO DE REDES DE COMPUTADORES E SISTEMAS DISTRIBUÍDOS (SBRC), 39. , 2021, Uberlândia. Anais [...]. Porto Alegre: Sociedade Brasileira de Computação, 2021 . p. 602-615. ISSN 2177-9384. DOI: https://doi.org/10.5753/sbrc.2021.16750.