High Performance shallow packet inspection system for traffic identification

Abstract

The evolution and growth of the Internet has led to a growing preoccupation regarding dynamic allocation of resources in large networks, as well as to an unprecedented growing adoption of security policies based on tra c classi cation. This phenomenon triggered the creation of deep inspection mechanisms for packets where we can see a cross-access that is based on the retrieval of speci c strings present in packet's Payload. This event raises a number of technical, ethical, and potentially legal limitations. With the increasing need to develop less invasive and more e cient inspection mechanisms, in terms of processing speed and potentially, memory management, the scienti c community began working in other types of approaches to solve the problem. In this dissertation, we propose a tra c ow classi cation system based on Shallow packet inspection. Given the latest forecasts and current statistical data, which estimates that about 90 % of all tra c will be video in the next few years, we have decided to devote special attention to this speci c type. For this, we proceeded to collect non-sensitive information, with which we perform a statistical study based on low-level statistics. The results obtained from this study were analysed from a behavioural point of view, in order to reach the extraction of coherent rules that allow the di erentiation of independent types of tra c. Finally, we studied, conceived and test an e cient ow organisation paradigm. The system has been tested and evaluated using packet ood tests. Following to the measurement and examination of results in terms of processing times as well as the use of main memory.

A evolução e crescimento da Internet tem levado a uma crescente preocupação tendo em vista a alocação dinâmica de recursos em redes de grande dimensão, assim como uma adopção sem precedente de politicas de segurança baseadas em classi ficação de tráfego. Este fenómeno desencadeou a criação de mecanismos de inspecção profunda de pacotes onde se assiste a um acesso transversal, que assenta na obtenção de sequências de bytes especificas, presentes no Payload de cada pacote, o que levanta uma série de limitações técnicas, éticas e potencialmente legais. Com a crescente necessidade de desenvolvimento de mecanismos de inspecção menos invasivos e mais e cientes em termos de velocidade e potencialmente gestão de memória, a comunidade cientifi ca começou a trabalhar em outros tipos de abordagem ao problema. Nesta dissertação, propomos um sistema de classi cação de fluxos de trafego que assenta em Shallow packet inspection. Tendo em conta as ultimas previsões e dados estatísticos atuais, que estimam que cerca de 90% de todo tráfego na Internet, seja do tipo vídeo nos próximos anos, decidimos dedicar especial atenção sobre esse tipo especifico. Para isso, procedemos a recolha de informação não sensível, com a qual efetuamos um estudo estatístico baseado em estatísticas de baixo nivel. Os resultados obtidos nesse estudo, foram analisados de um ponto de vista comportamental, por forma a alcançar uma prova de conceito na extracção de regras coerentes que permitam diferenciar tipos de tráfego independentes. Por fim, estudamos, concebemos e testamos um paradigma de organizaçao de fluxos de forma e ciente. O sistema foi testado e avaliado recorrendo a testes de inundação por pacotes, seguidos da medição e avaliação dos resultados em termos de tempo de processamento, assim como, ao uso de memoria principal.