Delegando a detecção de ataques distribuídos de negação de serviço a planos de dados programáveis

In recent years, Distributed Denial-of-Service (DDoS) attacks have escalated both in frequency and traffic volume, with outbreaks reaching rates up to the order of terabits per second and compromising the availability of supposedly highly resilient infrastructure (e.g., DNS and cloud-based web hosting). The reality is that existing detection solutions resort to a combination of mechanisms, such as packet sampling and transmission of gathered data to external software, which makes it very difficult (if at all possible) to reach a good compromise for accuracy (higher is better), resource usage footprint, and latency (lower is better). Data plane programmability has emerged as a promising approach to help meeting these requirements as forwarding devices can be configured to execute algorithms and examine traffic at line rate. In this thesis, we explore P4 primitives to design a fine-grained, low-footprint, and low-latency traffic inspection mechanism for real-time DDoS attack detection. Our proposal – the first to be fully in-network – contributes to shed light on the challenges to implement sophisticated security logic on forwarding devices given that, to operate at high throughput, the inspection (and overall processing) of packets is subject to a small time budget (dozens of nanoseconds) and limited memory space (in the order of megabytes). We evaluate the proposed mechanism using packet traces from CAIDA. The results show that it can detect DDoS attacks entirely within the data plane with high accuracy (98.2%) and low latency ( 250 ms) while keeping device resource usage low (dozens of kilobytes in SRAM per 1 Gbps link and a few hundred TCAM entries).Nos últimos anos, ataques distribuídos de negação de serviço vêm crescendo tanto em frequência quanto em volume de tráfego com surtos atingindo taxas da ordem de terabits por segundo e compremetendo a disponibilidade de infraestruturas supostamente resilientes (e.g., DNS e hospedagem Web na nuvem). Na prática, as soluções de detecção existentes valem-se de uma combinação de mecanismos, como amostragem de pacotes e transmissão dos dados coletados a um software externo, que dificulta a obtenção de uma boa relaçao entre acurácia (maior é melhor), consumo de recursos e latência (menor é melhor). Planos de dados programáveis emergem como uma abordagem promissora para ajudar a cumprir esses requisitos, visto que dispositivos comutadores de pacotes podem ser configurados para executar algoritmos e examinar o tráfego em velocidade de linha. Neste trabalho, exploramos primitivas em P4 a fim de projetar um mecanismo de inspeção de tráfego com baixa granularidade, baixo consumo de recursos e baixa latência para a detecção de ataques distribuídos de negação de serviço em tempo real. A nossa proposta – a primeira a ser completamente implementada em plano de dados – contribui para lançar luz sobre os desafios da implementação de lógica de segurança sofisticada nesse contexto, dado que, para operar a altas taxas de transferência, a inspeção (e o processamento em geral) de pacotes está sujeita a um orçamento de tempo reduzido (dezenas de nanossegundos) e um espaço de memória limitado (da ordem de dezenas de megabytes). Nós avaliamos o mecanismo proposto usando capturas de pacotes da CAIDA. Os resultados mostram a detecção de ataques exclusivamente a partir do plano de dados com alta acurácia (98,2%) e baixa latência ( 250 ms) mantendo o consumo de recursos reduzido (dezenas de kilobytes de SRAM por link de 1 Gbps e poucas centenas de entradas TCAM)

Circuito de baixa potência para detecção e compressão de impulsos nervosos em sistemas de interface cérebro máquina

Invasive brain-machine interface systems benefit from intra-cortically implanted microelectrode arrays for neural signal recording with improved signal-to-noise ratio and spatial resolution. Given the fragility of the biological inner tissues close to these sensors, most of this data processing is delegated to an external unit looking to avoid hazardous heating from electric energy dissipation. In those conditions, multiple-cells activity monitoring generates great amount of data which is to be wirelessly transmitted in a way to avoid cables passing through the skull. As this transmission at the incoming data rate presents dangerous power levels, data compression approaches must be employed to guarantee safety by reducing the bandwidth which directly affects energy consumption. With that in mind, this work proposes digital hardware implementations for neural spike detection and compression using compressed sensing. The proposed method is validated considering neural data processing performance and the respect of the constraints imposed by the related physiological context. The final hardware specifications for a CMOS 0.18 m fabrication process indicate a power of approximately 500 nW within an area of 0.07 mm2 for the processing of a single recording channel. The solution provides an estimated 96.5% data rate reduction which is shown to be greater than the achieved by related work.Sistemas invasivos de interface cérebro máquina beneficiam-se de matrizes de microeletrodos implantadas intra-corticalmente para a captura de sinais nervosos com melhor relação sinal-ruído e resolução espacial. Dada a fragilidade dos tecidos biológicos internos próximos a esses sensores, grande parte do processamento desses dados é delegada a uma unidade externa procurando evitar um aquecimento danoso pela dissipação de energia elétrica. Nessas condições, o monitoramento da atividade de múltiplas células gera grande quantidade de dados a ser transmitida via comunicação sem fio de forma a evitar cabos passando através do crânio. Visto que essa transmissão na taxa dos dados de entrada apresenta níveis de potência perigosos, abordagens de compressão de dados precisam ser utilizadas para garantir a segurança pela redução da largura de banda a qual afeta diretamente o consumo de energia. Por esse motivo, esse trabalho propõe implementações digitais em hardware para detecção de impulsos nervosos e compressão via amostragem compressiva. O método proposto é validado considerando o desempenho do processamento de dados nervosos e o respeito das restrições impostas pelo contexto fisiológico relacionado. As especificações finais de hardware para um processo de fabricação CMOS de 0.18 m indicam uma potência de aproximadamente 500 nW em uma área de 0.07 mm2 para o processamento de um único canal de captura. A solução proporciona uma redução da taxa de dados estimada em 96.5%, a qual é mostrada ser superior às obtidas por trabalhos relacionados

Detecting SEEs in microprocessors through a non-intrusive hybrid technique

This paper presents a hybrid technique based on software signatures and a hardware module with watchdog and decoder characteristics to detect SEU and SET faults in microprocessors. These types of faults have a major influence in the microprocessor’s control-flow, affecting the basic blocks and the transitions between them. In order to protect the transitions between basic blocks a light hardware module is implemented in order to spoof the data exchanged between the microprocessor and its memory. Since the hardware alone is not capable of detecting errors inside the basic blocks, it is enhanced to support the new technique and then provide full control-flow protection. A fault injection campaign is performed using a MIPS microprocessor. Simulation results show high detection rates with a small amount of performance degradation and area overhead