An automatic code generation mechanism for enabling intrusion detection systems at data-plane speeds : a zeek-based study

Abstract

Zeek is an Intrusion Detection System (IDS) based on events and policy interpreters. Cur rently, these events are triggered in a general-purpose CPU, which analyses all incoming packets. This process has become increasingly prohibitive with the rapidly increasing network speeds. In this work, we propose an automatic code generation mechanism to offload IDS operations to Programmable Data Planes (PDP). The mechanism is capable of identifying the requirements for the desired set of Zeek Scripts, and, using reusable templates, automatically generates code for the P4 switch and a Zeek Plugin. Templates specify how a Zeek Event is offloaded to PDPs and can be reused for different scripts that rely on the same events. The generated code offloads the initial packet filtering and event identification procedure using hardware acceleration. The existing IDS engine then analyzes and processes the triggered events. The proposed solution results in low de velopment costs demanded of a human operator while substantially alleviating resource usage by Zeek.

Zeek é um Sistema de Detecção de Intrusão (IDS) baseado em eventos e interpretadores de políticas. Atualmente, esses eventos são processados em um processador de propósito geral, que analisa todos os pacotes recebidos. Esse processo tornou-se cada vez mais proibitivo com o rápido aumento das velocidades das redes. Neste trabalho, propomos um mecanismo de geração automática de código para descarregar operações IDS para Planos de Dados Programáveis (PDP). O mecanismo é capaz de, usando templates reutilizáveis, identificar os requisitos para o conjunto desejado de scripts Zeek e gerar automaticamente código para o switch P4 e um Plugin Zeek. Os templates especificam como um evento Zeek é descarregado para PDPs e podem ser reutilizados para diferentes scripts que de pendem dos mesmos eventos. O código gerado descarrega a filtragem inicial de pacotes e a identificação de eventos usando aceleração de hardware. O mecanismo IDS existente analisa e processa os eventos acionados. A solução proposta resulta em baixos custos de desenvolvimento exigidos de um operador humano enquanto alivia substancialmente o uso de recursos pelo Zeek.