高速リアルタイムデータ収集用 ネットワークレコーダ スケーラブルな高速DAQシステムへ向けて (独)産業技術総合研究所 戸田賢二 概要 1. 広通信帯域FPGAボードの開発(背景、過去、現在) 2. FPGAボード(REX2)、ネットワークボード [ロケットIO] ソフトコアプロセッサ ネットワーク侵入防御装置 高精細映像表示装置 3. FPGAボード(REX3) [10GbE] ハードウエア:拡張可能60ギガbps光通信FPGAボード 論理回路:有害サイト遮断、パケットキャプチャー ソフトウエア:フィルタリングリストの自動生成 性能と機能の強力な拡張性 4. まとめ 広通信帯域FPGAボードの開発 背景: 1. コンピュータアーキテクチャの研究(並列処理、専用マシ ン) 2. プロセッサやネットワークなどのASIC開発 3. FPGAを活用した研究へ 4. マルチプロセッサのエミュレーションのため並列性大 5. 広通信帯域が必要 6. (ハイエンド)組込システム 7. ネットワーク通信処理装置、高精細画像処理装置 30GbpsロケットIO FPGAボード REX2 FPGA: Xilinx XC2VP70~125 Logic Cell: 74,448~125,136 Block memory: 5,904~10,008 Kbits Network Port: Rocket I/O, 10 ports Network Performance (1 port): 2~3.125 Gbps, bi-directional Network Performance (Total): 20~31.25 Gbps, bi-directional (62.5Gbps max) Memory (DRAM): DDR SODIMM, 2 modules, up to 2 GB Memory (SRAM): DDR2, 18~36 MB Bus: IEEE1394, 400Mbps, 3 ports I/Oカード装着可: •映像(DVI)/音声 インタフェース •1GbEtherカード •10GbEtherカード 10 Giga Etherインタフェース • 10GBASE-SRモジュール⇔大規模FPGA 間を 小規模FPGAを介してInfinibandケーブルで伝送 • ケーブル(~3m)により装置構成の変更が容易 PCI- X Board REXNET (写真上下) FPGA: Xilinx XC2VP20~50 Logic Cell: 20,880~53,136 cells Block Memory: 1,584~4,176 Kbits Network Port: Rocket I/O, 8 ports Network Performance (1 port): 2~3.125 Gbps, bi-directional Network Performance (Total): 16~25 Gbps, bi-directional Memory (DRAM): DDR SODIMM, 2 modules, up to 2 GB Bus: PCI-X 133MHz, 8.533 Gbps PPP over Rocket IOでMPIを動作! Development Environment using Soft Core Processor on REX2 (virtualized IOs available) 10Gbps ネットワーク防御装置 及び模擬攻撃装置 1200 SNORTルールを回路化し小型化並列化することにより(筑波大 と共同)、FPGAに搭載し10Gbpsでもれなく検知(消費電力:60W): 性能+省エネのトップレコード! → 現在、超高速の新版を開発中 2 侵入防御装置 擬似的な侵入や攻撃を含んだ 通信データの生成・送出 模擬攻撃装置 シ ス テ ム 開 発 者 1 試験条件の設定 外部ネットワークの状態 組織内ネットワークの状態 5 試験結果の通知 4 全ての侵入や攻撃が除去され、 その他は正しく通過しているか検証 3 通信データから 侵入や攻撃が 除去される 模擬攻撃装置による攻撃防御装置の試験 (2007.2.22発表:朝日新聞などで報道) 超高精細映像処理装置 VMP/SHDの構成 • • • • • VMP/SHD ワイヤレス リモコン 無線インタ フェース USB 4KシステムでPCケース大! 拡張可能な構成方式 画素処理はハードウェアで高速 制御はソフトウェアで柔軟 リモコンも複数同時 IEEE1394 PC (制御プログラ ム) リモコン オーバレイ エンジン (FPGA) 映像インタ フェース オーバレイ エンジン (FPGA) 映像インタ フェース オーバレイ エンジン (FPGA) 。 。 。 装置の全体構成 。 。 。 映像インタ フェース 映像インタ フェース 。 。 。 超高精細映像処理装置VMP/SHDの構成 (その2) • 入出力インタフェースと単位映像処理ユニット(オーバーレイエン ジン)を組み合わせた形態 • 映像は表示領域毎に分割して処理することにより、表示画素数 を所望の大きさに拡張可能 • 色の3原色RGB毎に処理を行うことにより解像度の向上を行い、 8ビットを超えるディープカラーに対応可能 10Gイーサによる遠隔VMD 拡張可能60ギガbps 光通信FPGAボード • 大容量FPGAデバイス (論理回路はネット ワークから書換可能) • 10ギガビットイーサ 6ポート (60ギガbps光通信機能) • PCI-Express カードエッジ 体積当たり (16レーン) 30倍の性能! • メモリー(DRAM)用ソケット 2個 • ハードディスク接続用(SATA)ポート 8個 • 拡張用ソケット(DVI, USB, フラッシュロム) • サイズ 15cm × 27cm 2007.2発表の10ギガbps (デスクトップPCに1~6枚内蔵可能) 侵入防御装置(旧型ボード) ネットワークセキュリティー装置 (全体構成:見通し) インターネット ユーザ ユーザ ユーザー 有害 サイト 機器 ネット ワーク 侵入 コンピュー ター ウイルス ネットワーク透過型で悪意のあ る通信のみを超高速で即時に 遮断! 自動フィルタリングリスト生成 (ソフトウェア) 企業やネットワークプロ バイダーなどで利用 論理回路 on FPGA → ハードウェア → 侵入遮断 (回路) 30 ギガbps見込 ウイルス遮断 (回路) 30 ギガbps見込 有害サイト遮断 (回路) 60 ギガbps実測 キャプチャ (回路) ~10 ギガbps 拡張可能60 ギガbps 光通信 FPGAボード on PC 有害サイトの遮断 (URLフィルタリング:方式) • ハッシュ+バイナリサーチ方式をパイプライン回路化 – 初回、ハッシュを用いることでメモリー参照回数を低減 – ハッシュ値に複数候補がある場合、バイナリサーチを適用 – パイプライン化によりメモリバンド幅を有効利用し高速化 MAC Frame MAC Header IP Header TCP Header Payload FCS Comparator “Hit” or “Miss” Hash (CRC32) Index Table (DDR2 SDRAM) Database (DDR2 SDRAM) Address Data ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ Next Pointer < Hash (CRC32) Database Pointer Database Pointer ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ Address Data ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ Next Pointer > ・ ・ if (Pointer == Null) then “Search Failed” 自動収集した 34,000エントリー のリストを使用 (大規模でも問題なし) Next Pointer < Next Pointer > Database Entry ・ ・ ・ ・ ・ → 256 Bパケットで 40メガパケット/s のエンジン性能 有害サイトの遮断 (URLフィルタリング:デモ) URLフィルタリング試験装置: 60ギガbpsのフルレートで有害サイトを 含んだデータを送信 URLフィルタリング結果表示: 6チャンネルの処理パケット数、 ヒットパケット数(有害サイト)、 ヒット率、スループットを随時表示 → 60ギガbps達成! URLフィルタリング装置: 有害サイトのみを漏れなく遮断 拡張可能60ギガ bps光通信ボード 消費電力40W!(ボードのみ) フィルタリングリスト自動生成 外部ネットワーク (1) 組織内の パケットを キャプチャ パケット キャプチャ (2) ヘッダと 外部信頼情報から 自動生成 クライアント タップ 有害サイト パケット リスト ヘッダ フィルタリングリスト 自動生成 タップ 組織内LAN 有害サイト 遮断 (3) 生成された フィルタリングリストを 定期読込 フィルタリングリスト自動生成 12 sec サイト 5 sec 7 sec リンク 15 sec 10 sec 3 sec • 時間を考慮したリンク解析 – – – – HTTPヘッダからユーザのサイト滞在時間を推定 サイト間のリンク関係を表すグラフを構築 滞在時間とリンク関係から有害サイトを判定する ユーザ情報を収集するWebバグサイトに対して未知のサイトを 含む73.0%以上の検知率を達成 – 公開されているブラックリストの検知率は約15.5から70.5%程度 フィルタリングリスト自動生成 4文字 done ebay info aspx data hdfc bofa free http vndv 5文字 login index logon files lycos poste cache media olobi abbey 6文字 paypal online update images access aecure signin lloyds action webscr 7文字 halifax account banking confirm updates catalog modules uploads content natwest 8文字 customer security includes wachovia axisbank dispatch citibank language onlineid register • 文字列の頻度解析 – HTTPヘッダおよび外部信頼サイトURLを収集 – URLに含まれる文字列をNグラムによる頻度解析する – ユーザのアカウント情報を詐取するフィッシングサイト検知 のための文字列を抽出 パケットキャプチャー • SATA 8ポートを用いてパケ ットキャプチャーが可能 • 通信レコーダーやデータベー スマシンとして活用可能 • SATAにはHDDの他、RAIDや シリコンディスクも接続可能 データレコーディング性能 SSD: サムソン MMDOE56G5MXP0VB (256GB) 2 台で 235MB/sを実測 ( 1024B/block , 1台117.5MB/s) 8台/ボード 940MB/s 性能と機能の強力な拡張性 ネットワーク侵入 ウイスル 遮断 遮断 全ての機能を3枚で 有害サイト 30ギガbpsで処理可能! 遮断 (デスクトップPC 1台) 有害サイト 遮断(60ギガbps/40W) 有害サイト遮断は 17枚で1テラbps! (デスクトップPC 3台~) ... 従来の製品の性能を大幅に向上! (Force10社のPシリーズは、 10ギガbpsでパケット監視を行う) 応用例 1. 2. 3. 4. 5. 60Gbps(双方向)ネットワークカード、クラスター構築 ネットワークストレージ、データベースマシン CPUとの接続 GPGPUとの接続 Cell との接続 まとめ 1. 60Gbps(双方向)の光通信機能を持ったPCI-Express 付きFPGAカードが利用可能(SATA 8本、8GBメモリ、 他) 2. 回路IP(10GbE、PCI-Express、DRAM IF、SATA、応 用回路)が自分で変更可能 3. 装置の制御系、データ収集系・処理系などへの応用 ご清聴ありがとうございました
© Copyright 2024 ExpyDoc
