Hiện thực hệ thống phát hiện xâm nhập mạng dựa trên sự bất thường sử dụng FPGA & GPU

Trong đó hệ thống IDS có hai kĩ thuật chính để phát hiện tấn công đó là: Hệ thống phát hiện xâm nhập dựa vào các dấu hiệu đã biết Signature - based Inttusion Detection System - SIDS và h

ĐẠI HỌC QUỐC GIA TP Hồ CHÍ MINH TRƯỜNG ĐẠI HỌC BÁCH KHOA

TRẦN NGUYÊN VÕ

HIỆN THỰC HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG DỰA TRÊN SỰ BẤT THƯỜNG SỬ DỤNG FPGA & GPU

CHUYÊN NGÀNH: KHOA HỌC MẤY TÍNH

MÃ SỐ: 60.48.01

LUẶN VÃN THẠC SĨ

TR HỒ CHÍ MINH, tháng 12 năm 2017

ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC BẤCH KHOA

CÔNG TRÌNH ĐƯỢC HOÀN THÀNH TẠI TRƯỜNG ĐẠI HỌC BÁCH KHOA - ĐHQG - HCM

Chữ ký Cán bộ hưống dẫn khoa học : PGS TS Trần Ngọc Thịnh,

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VỆT NAM Độc lập - Tit do - Hạnh phúc

NHIỆM VỤ LUẬN VĂN THẠC SĨ

Họ tên học viên: Trần Nguyên Võ MSHV: 7140844

Ngày, tháng, năm sinh: 01 - 11 - 1981 Nơi sinh: Phú Yên

Ngành: Khoa học máy tính Mã số: 60.48.01

I TÊN ĐỀ TÀI: Hiện thực hệ thống phát hiện xâm nhập mạng dựa trên sự bất

thường sử dụng FPGA & GPU

II NHIỆM VỤ VÀ NỘI DUNG: Hiện thực bài toán Anomaly-Based IDS kết hợp 2

nền tảng phần cứng FPGA và GPU Cụ thể, xây dựng hệ thống rút trích đặc trưng dưới FPGA và hệ thống tính toán song song mô hình Neural Network (NN) ttên GPU Sau

đó hiện thực cơ chế giao tiếp giữa 2 nền tảng này để phục vụ cho việc thống kê phát hiện tấn công xâm nhập của hệ thống

III NGÀY GIAO NHIỆM VỤ: 04-07-2016

IV NGÀY HOÀN THÀNH NHIỆM VỤ: 28-12-2017

Tp HCM, ngày tháng năm 20

PGS.TS Trần Ngọc Thịnh

ĐẠI HỌC QUỐC GIA TP.HCM

TRƯỜNG ĐẠI HỌC BÁCH KHOA

i

LỜI CẢM ƠN

Trong suốt thời gian học tập và nghiên cứu tại trường trong khóa học thạc sĩ vừa qua Bản thân Tôi nhận được nhiều tti thức, khoa học từ những người Thầy, Cô của Trường Đại học Bách Khoa Tp.HCM Đặc biệt là các Thầy, Cô của Khoa Khoa học và Kĩ thuật máy tính Khoa KH&KTMT đã tạo mọi điều kiện thuận lợi cho Tôi ttong quá ttình tham gia thực nghiệm, làm việc và tạo môi trường nghiên cứu chuyên nghiệp tại phòng Lab 201C5 Cùng với sự nỗ lực của bản thân, Tôi

đã hoàn thành luận văn thạc sĩ của mình

Từ những kết quả đạt được này, Tôi xin tỏ lòng biết ơn sâu sắc tới thầy PGS.TS Trần Ngọc Thịnh đã hướng dẫn Tôi ttong suốt quá trình thực hiện đề tài Cảm ơn thầy TS Phạm Quốc Cường, thầy Trần Thanh Bình và anh Hồ Quang Chi Bảo Họ là những người tham vấn và đóng góp những lời khuyên bổ ích cho Tôi

Tôi xin cám ơn em Trần Thị Thùy Châu và em Ngô Đức Minh Họ đã tạo nhiều điều kiện thuận lợi, cho tôi tiếp cận môi trường làm việc chuyên nghiệp, tinh thần làm việc nhóm hiệu quả

Tôi xin chân thành cảm ơn gia đình và đồng nghiệp của Tôi Họ là những người đồng hành thực sự của Tôi ttong suốt thời gian thực hiện đề tài

Tp.HCM, tháng 11 năm 2017

Trần Nguyên Võ

2

TÓM TẮT LUẬN VĂN THẠC SĨ

Sự ra đời và phát triển nhanh chóng của Internet đã góp phần to lớn cho sự phát triển của xã hội, trong nhiều lĩnh vực như: quân sự, thương mại, nghiên cứu, giáo dục Cũng từ đó, các dịch vụ trên Internet không ngừng phát triển, tạo ra cho nhân loại một thời kỳ mới, thời kỳ thương mại điện tử Internet không chỉ mang lại nhiều lợi ích cho cộng đồng mà còn ẩn chứa nhiều mối nguy hại của những kẻ tấn công nhằm vào mục đích riêng vì lợi ích của chúng

Kẻ tấn công khai thác các lỗ hổng của hệ thống để tiến hành xâm nhập Trong

đó, kẻ tấn công tập trung vào ba hướng tấn công chính sau Thứ nhất, lỗ hổng về các thiết bị, các phương tiện truyền thông Thứ hai, lỗ hổng về phương thức giao dịch và sau cùng là lỗ hổng các ứng dụng Vì vậy, hàng loạt các thách thức đặt ra

để giải quyết vấn đề bảo mật, bảo đảm an toàn an ninh thông tin của hệ thống cũng tập trung vào ba hướng đã nêu ở trên đó là bảo đảm an toàn thông tin tại hệ thống máy chủ, bảo đảm an toàn cho phía các máy trạm và bảo mật thông tin trên đường truyền

Một hệ thống tổng quan tiếp cận ba hướng tấn công trên đó là: Hệ thống phát hiện, phòng chống xâm nhập (Intrusion Detection Prevention System - IDPS) Hệ thống IDPS gồm có hai hệ thống chính đó là: Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) và Hệ thống phòng chống xâm nhập (Intrusion Prevention System - IPS) Trong đó hệ thống IDS có hai kĩ thuật chính

để phát hiện tấn công đó là: Hệ thống phát hiện xâm nhập dựa vào các dấu hiệu

đã biết (Signature - based Inttusion Detection System - SIDS) và hệ thống phát hiện xâm nhập dựa vào các dấu hiệu bất thường (Anomaly - based Intrusion Detection System - AIDS) Trong đó, hệ thống SIDS dùng phương pháp phân tích thông tín của những gói tin dữ liệu so sánh với hệ thống cơ sở dữ liệu chứa các mẫu tấn công đã biết Trong khi đó, hệ thống AIDS dùng phương pháp huấn luyện mẫu dữ liệu dựa vào hành vi luồng dữ liệu (gói tin bình thường hoặc bất thường) để nhận diện hoặc phát hiện xâm nhập

Những công trình nghiên cứu trước đây, chỉ hiện thực bài toán AIDS ttên nền tảng CPU, hoặc kết hợp hai nền tảng CPU và FPGA, hoặc hai nền tảng CPU và GPU Nền tảng CPU cho bài toán AIDS với hiệu suất thấp, vì nó phân bổ tài nguyên và điều khiển cho các ứng dụng một cách công bằng Cho nên CPU không

3

có khả năng đáp ứng nhanh cho việc đưa ra tín hiệu phát hiện tấn công trong thời gian ngắn Với sự kết hợp hai nền tảng CPU và FPGA cho AIDS thì FPGA có thể đóng vai ttò xử lý dữ liệu tốc độ cao hơn nhưng không thể áp dụng mô hình tính toán song song ttên FPGA vì giới hạn về tài nguyên hệ thống Với sự kết hợp hai nền tảng CPU và GPU cho AIDS thì GPU có khả năng áp dụng mô hình tính toán song song tuy nhiên GPU không có lợi thế cho việc xử lý dữ liệu lớn cho hệ thống AIDS

Trong nghiên cứu này, một giải pháp kết hợp ba nền tảng FPGA, CPU và GPU cho bài toán AIDS nhằm mục tiêu cải tiến các giới hạn của các công trình nghiên cứu trước đây FPGA đảm nhiệm việc xây dựng, rút trích các thông tin header của gói tin GPU đảm nhiệm việc huấn luyện, phân lớp CPU đóng vai ttò bắt tay dữ liệu giữa FPGA và GPU Một thực nghiệm của kiến trúc AIDS được hiện thực ttên ba nền tảng FPGA, CPU và GPU FPGA - Xilinx Virtex-5 XC5VTX240T đảm nhiệm xây dựng, rút trích 10 thông tin header của gói tin, GPU - Gigabyte GeForce GTX 1080 đảm nhiệm xây dựng Neuron Network dùng giải thuật Back-Propagation (BP) CPU - Intel CoreTM Ĩ7 - 4770, 3.40 GHz X 8, đảm nhiệm vai ttò bắt tay dữ liệu Trong nghiên cứu này, CPU được xem như là

bộ nhớ đệm (First In Fừst Out - FIFO) Kết quả thực nghiệm đạt được: Xây dựng, rút ttích đặc trưng ttên FPGA đạt ngưỡng 5.329 Gbps Huấn luyện dữ liệu trên GPU với thời gian đáp ứng nhanh hơn CPU 12 lần và tỉ lệ độ chính xác của hệ thống hơn 80% khi tốc độ bắn gói tin vào hệ thống đáp ứng thời gian thực là 200Mbps

4

ABSTRACT

The evolution and rapid development of the Internet had significantly contributed

to the development of society, in many areas such as military, commerce, research, education, etc Since then, the services of the Internet are constantly evolving, giving society a new era, the e-commerce era The Internet not only brings many benefits to the community, but it also imposes many of the threats

of the attackers on their own for their own benefit

An attacker exploits vulnerabilities in the system to infiltrate In it, the tackers focus on three primary attacks: The first, the vulnerability of devices, media The second, transactional flaw and the final, application vulnerabilities Therefore, a series of challenges to address the security, information security and security issues of the system also focuses on the three directions mentioned above: Ensure information security at the server system, ensure security for workstations and information security on the transmission line

at-An overall system approach to solving three primary attacks is the Intru- sion Detection Prevention System (IDPS) The IDPS system consists of two chief systems: Intrusion Detection System (IDS) and Intrusion Prevention System (IPS) IDS systems have two main techniques for detecting attacks: Signature-based Intrusion Detection System (SIDS) and intrusion detection systems Anomaly-based Intrusion Detection System (AIDS) In particular, the SIDS system uses a method of analyzing the information of data packets compared to the database system containing known attack patterns Meanwhile, the AIDS system uses data-driven behavioral ttaining (normal or abnormal packets) to identify or detect intrusion

Previous studies have shown that the AIDS on a CPU, or a combination of two CPU and FPGA, or two CPU and GPU platforms CPU platform for low- performance AIDS problem, as it allocates resources and controls for applications fairly Therefore, the CPU cannot respond quickly time to short-range attack detection signals The combination of two CPU and FPGA platforms for AIDS, the FPGA can handle higher-speed data processing role but cannot apply the parallel computing model on FPGA because of limited system resources The combination of two CPU and GPU platforms for AIDS, the GPU

on three platforms: FPGA, CPU, and GPU FPGA - Xilinx Virtex-5 XC5VTX240T is responsible for building and extracting ten information from the header packets, the GPU - Gigabyte GeForce GTX 1080, which is responsible for building the Neuron Network using the Back- Propagation (BP) algorithm CPU - Intel CoreTM Ĩ7 - 4770, 3.40 GHz X 8, handles data shaking In this study, the CPU is such as a buffer memory First In First Out (FIFO) Experimental results achieved: Build, extract feature on the FPGA to the threshold of 5.329 Gbps Data training on the GPU with a response time of 12 times faster than the CPU and a system accuracy rate of more than 80% when the packet burst rate in the real-time system is 200Mbps.

vi

LỜI CAM ĐOAN

Tôi xin cam đoan rằng, công trình nghiên cứu này là của riêng tôi và được sự hướng dẫn khoa học của PGS.TS Trần Ngọc Thịnh

Những số liệu, bảng biểu, hình ảnh hoặc những quan sát, đánh giá, nhận xét của các tác giả khác đều được trích dẫn nguồn trong mục "TÀI LIỆU THAM KHẢO"

Toàn bộ nội dung tìm hiểu, nghiên cứu và các kết quả thực nghiệm của công trình đạt được hoàn toàn ttung thực, tuyệt nhiên không gian lận hoặc phóng đại Nếu có bất kỳ sự gian lận nào, tôi xin hoàn toàn chịu ttách nhiệm về công trình nghiên cứu này

Công ttình đã được xuất bản hai bài báo khoa học trong hai hội nghị

NAFOSTED - NICS 2017 và RCCIE 2017 dưới đây

• Tran Nguyen Vo, Chau Tran and Tran Ngoe Thinh, "An FPGA - Based High Throughput Feature Consttuction Architecture for Network In-

struction Detection", in Proceedings ofAUN/SEED - Net Regional

Con-ference on Computer & Information Engineering RCCIE 2017, 30 NOV -1 DEC, 2017, Vietnam National University (VNU) - HCMC Press, HO CHI MINH CITY, VIETNAM, pp 37 - 41, 2017

• Chau Tran, Tran Nguyen Vo and Tran Ngoe Thinh, "HA-IDS: A

Het-erogeneous Anomaly-based Inttusion Detection System", in 2017 4th NA

FOSTED Conference on Information and Computer Science, NICS 2017, November 24-25, 2017, Hanoi, Vietnam, pp 156 - 161, 2017

Tp.HCM, tháng 11 năm 2017

Trần Nguyên Võ

vii

Mục lục

1.1 Tổng quan vấn đề 1

1.2 Động lực nghiên cứu 2

1.3 Đóng góp của đề tài 2

1.4 Cấu ttúc của luận văn 3

1.5 Tóm tắt Chương 4

2 KIẾN THỨC NỀN TẢNG 5 2.1 Tổng quan về bảo mật và phương pháp phòng chống xâm nhập 5 2.1.1 Tổng quan về bảo mật 5

2.1.2 Tổng quan về phương pháp phòng chống xâm nhập 6 2.2 Hệ thống phát hiện phòng chống xâm nhập - IDPS 6

2.3 Phân loại các kĩ thuật phát hiện cho hệ thống AIDS 8

2.4 Mạng nơron - Neural Network 9

2.5 Kĩ thuật xây dựng đặc trưng dữ liệu 10

2.5.1 Giới thiệu về xây dựng đặc trưng dữ liệu 10

2.5.2 Các Kĩ thuật xây dựng đặc trưng dữ liệu 12

2.6 Lựa chọn tập dữ liệu cho hệ thống AIDS 15

2.7 Nền tảng NetFPGA 10G 16

2.8 GPU&CUDA 18

viii

2.9 Tóm tắt Chương 21

3 CÁC CÔNG TRÌNH LIÊN QUAN 22 3.1 Các công ttình khảo sát AIDS 22

3.2 Các công ttình hiện thực hệ thống AIDS 23

3.3 Các công ttình hiện thực vấn đề giao tiếp giữa FPGA và GPU 27 3.4 Tóm tắt các công ttình nghiên cứu 27

3.5 Tóm tắt Chương 28

4 THIẾT KẾ HỆ THỐNG 29 4.1 Hệ thống tổng quan 29

4.2 Hệ thống F-FC 30

4.3 G-ANN 34

4.4 Tóm tắt Chương 36

5 HIỆN THỰC HỆ THỐNG 37 5.1 Thiết lập thực nghiệm ttên FPGA 37

5.2 Tài nguyên sử dụng ttên FPGA 38

5.3 Kiểm chứng tốc độ và độ chính xác ttên FPGA 38

5.4 Thiết lập thực nghiệm toàn hệ thống HA-IDS 39

5.5 Kiểm chứng Thời gian huấn luyệnvà độ tin cậy HA-IDS 39

5.6 Tóm tắt Chương 40

6 KẾT QUẢ THỰC NGHIỆM 41 6.1 So sánh giữa tốc độ thực nghiệm và tốc độ lý thuyết hệ thống F-FC 41

6.2 Độ chính xác của hệ thống F-FC 43

6.3 So sánh thời gian huấn luyện giữa CPU và GPU 44

6.4 Độ tin cậy của hệ thống HA-IDS 44

6.5 Tóm tắt Chương 45

7 KẾT LUẬN VÀ HƯỚNG PHÁT TRIEN 46 7.0.1 Kết luận 46

7.0.2 Hướng phát ttiển 46

IX

A.l RCCIE2017 52

A.2 NAFOSTED - NICS 2017 52

IX

DANH SÁCH CÁC TỪ VIẾT TẮT

ADR Attack Detection Rate

AIDS Anomaly-based Intrusion Detection System

ALU Arithmetic Logic Unit

ANN Artificial Neuron Network

ASIC Application-Specific Integrated Circuit

AXI Advanced extensible Interface

BBNN Block-based Neural Networks

BP Back-Propagation

CPU Central Processing Unit

CUDA Compute Unified Device Architecture

DDoS Distributed DoS

DMA Direct Memory Access

DoS Denial of Service

EDK Embedded Development Kit

FEM Feature Exttaction Module

F-FC FPGA-based Feature Construction

FIFO First In First Out

FN False Negative

FP False Positive

FPGA Field Programmable Gate Array

FPR False Positive Rate

G-ANN GPU-based Artificial Neuron Network

GPGPU General-Purpose Graphics Processing Units

GPU Graphics Processing Unit

HA-IDS Heterogeneous Anomaly-based Inttusion Detection System BIDS Host-based Intrusion Detection System

HIPS Host-based IPS

IDPS Inttusion Detection Prevention System

IDS Inttusion Detection System

IoT Internet of Thing

IPS Intrusion Prevention System

xi

ISTR Internet Security Threat Report

NIDS Network-based Inttusion Detection System NIPS Network-based IPS

NN Neural Network

OS Operating System

OSNT Open Source Network Tester

PCA Principal Component Analysis

PCI Peripheral Component Interface

PCIe PCI express

R2L Remote to User

SAD Spectrum-based Anomaly Detection

SFP+ Small Form-factor Pluggable Interface Plus SIDS Signature - based Intrusion Detection System SoC System on Chip

SVM Support Vector Machine

Text2Num Text to Number

U2R User to Root

VHDL VHSIC Hardware Description Language VPN Virtual Private Network

12

DANH SÁCH CÁC HÌNH ẢNH

Danh sách hình vẽ

1 Các cuộc tấn công vào Symantec honeypot từ tháng 1-12 năm

2016 2

2 Mô hình tổng quan hệ thống phát hiện, phòng chống xâm nhập IDPS 7

3 Framework tổng quan AIDS [1] 8

4 Phân loại các kĩ thuật của ANIDS [1] 9

5 Mô phỏng một node (Perceptton) 10

6 Tổng quan tiến trình xử lý dữ liệu thô vào hệ thống [2] 12

7 Quy trình hoạt động kĩ thuật lọc 13

8 Quy trình hoạt động của kĩ thuật bao bọc 13

9 Quy trình hoạt động của kĩ thuật trộn 14

10 Quy trình hoạt động của kĩ thuật kết hợp 15

11 Board NetFPGA-10G 17

12 Sơ đồ Board NetFPGA-10G virtex 5 17

13 Thành phần một chương trình của một ứng dụng GPU 19

14 Phân cấp bộ nhớ CUDA 20

15 Phân loại các nhóm tấn công mạng bất thường [3] 22

16 Kiến trúc của hệ thống HA-IDS 29

17 Kiến trúc của hệ thống F-FC 31

18 Kiến trúc của module FEM 32

19 Module chuẩn hóa Normalization 33

20 Bảy giai đoạn của quá trình Pipeline 33

21 Kiến trúc G-ANN với thuật toán BP 36

22 Mô hình kiểm tra trên FPGA 37

23 Mô hình thực nghiệm hệ thống HA-IDS 39

24 Kiểm nghiệm thông lượng với 1 kết nối 42

25 Kiểm nghiệm thông lượng với 1024 kết nối 43

26 Độ chính xác của hệ thống F-FC 43

27 Thời gian huấn luyện offline trên CPU và GPU 44

28 Thuyết trình tại hội nghị Nafosted - NICS 2017 và RCCIE 2017 52

13

DANH SÁCH CÁC BẢNG BIỂU

Danh sách bảng

1 Danh sách những tập dữ liệu có sẵn và các diễn tả 16

2 Chi tiết về chip XC5VTX240T 18

3 Đánh giá các kĩ thuật của AIDS [1] 23

4 Phân lớp Platform cho bài toán NIDS [4] 26

5 Độ ttễ khi dịch chuyển 4 byte dữ liệu [5] 27

6 Module Text2Num 34

7 Giải thuật Back-Propagation 35

8 Tài nguyên sử dụng khi hiện thực hệ thống F-FC 38

9 Kết quả tốc độ trên lý thuyết 41

10 Kết quả độ tin cậy của hệ thống HA-IDS 45

1 GIỚI THIỆU ĐỀ TÀI

1.1 Tổng quan vấn đề

Vào giữa thập niên 1980, sự ra đời Internet đã góp phần to lớn cho sự phát triển của xã hội, trong nhiều lĩnh vực như: quân sự, thương mại, nghiên cứu, giáo dục Cũng từ đó, các dịch vụ trên Internet không ngừng phát triển, tạo ra cho nhân loại một thời kỳ mới, thời kỳ thương mại điện tử Tuy nhiên, Internet cũng mang nhiều mối đe dọa, nguy hại cho các tổ chức, doanh nghiệp thậm chí là vận mệnh của một quốc gia

Với xu hướng tự động hóa và trao đổi dữ liệu trong công nghiệp sản xuất đang dần chuyển bước Nền công nghiệp 4.0 tạo ra những nhà máy thông minh, điện toán đám mây (Cloud), Big Data và Internet of Thing (IoT) phát triển nhanh chóng và mạnh mẽ Tuy nhiên, cũng đặt ra những vấn đề mới, thách thức mới, trong việc phát hiện, phòng chống tấn công của các tổ chức hackers

Theo [10] trong năm 2016, các tổ chức tội phạm đã tấn công vào các ngân hàng lớn của các quốc gia Bangladesh, Vietnam, Ecuador và Poland Chúng đã đánh cắp ít nhất là 94 triệu đô la

Với xu thế thời đại mới, tổ chức Symantec [6], đã thành lập một IoT honeypot trong năm 2015 để quan sát các cuộc tấn công vào những thiết bị IoT

Theo phân tích, thống kê của tổ chức này trong báo cáo thường niên ISTR (Internet Security Threat Report) tháng 4 năm 2017 Từ giữa tháng 1 đến tháng

12 năm 2016, số lượng tấn công và những địa chỉ IP mục tiêu của Symantec honeypot tăng gần gấp đôi từ 4.6 lần/giờ ttong tháng 1 năm 2016 đến hơn 8.8 lần/giờ ttong tháng 12 năm 2016 Được thống kê ttong Hình 1, phần lớn các cuộc tấn công nhằm vào các thiết bị IoT Mức độ các cuộc tấn công ngày càng tăng, tinh vi và khó lường Hơn bao giờ hết, cần tăng cường hệ thống bảo mật, bảo đảm

an toàn an ninh thông tin của tổ chức, doanh nghiệp, quốc gia

Các công ttình nghiên cứu cũng từ đó đang dần cố gắng từng bước xây dựng

hệ thống phòng chống tấn công, phát hiện xâm nhập mạng bất hợp pháp của các

kẻ tấn công

2

JAN NB UAJT AM MMY JUN J III Alir Sip IXĨ NljV tlF«:

Hình 1: Các cuộc tấn công vào Symantec honeypot từ tháng 1-12 năm 2016

1.2 Động lực nghiên cứu

Internet phát triển mạnh mẽ, nền công nghiệp 4.0 đang đến gần hơn bao giờ hết Tội phạm tấn công mạng ngày càng tăng, tinh vi, có tổ chức Nhiều cuộc tấn công phức tạp, phương pháp hoàn toàn mới mẻ so với các cuộc tấn công trước đây Việc nhận diện tấn công loại này mang nhiều thách thức Các hệ thống phát hiện hay phòng chống xâm nhập mạng dựa vào dấu hiệu bất thường còn chậm trễ cao trong khoảng thời gian nhận dữ liệu và phát tín hiệu phát hiện xâm nhập để đưa

ra quyết định cuối cùng Bởi vì, các công trình nghiên cứu trước đây phần lốn xây dựng phân lớp bài toán phát hiện bất thường mạng ttên CPU, hoặc kết hợp hai nền tảng CPU và FPGA, hoặc CPU và GPU Những công trình này chưa phát huy triệt để lợi thế của FPGA và GPU Một sự kết hợp hai nền FPGA và GPU vào hệ thống nhằm cải thiện hiệu suất, tốc độ cho lổp bài toán loại này

3

phần phụ lục của luận văn

1.4 Cấu trúc của luận văn

Luận văn được chia thành 9 phần

1 Giới thiệu tổng quan vấn đề về bảo mật, động lực nghiên cứu, đóng góp của đề tài và ttình bày cấu ttúc của luận văn

2 Các kiến thức nền tảng về bảo mật, hệ thống IDPS, IDS, AIDS, mạng nơron, các kĩ thuật, quy ttình xây dựng cấu trúc đặc trưng dữ liệu, kiến thức nền tảng NetFPGA 10G, GPU và CUDA

3 lìm hiểu các công ttình liên quan tới đề tài, quan sát và nhận định các công ttình đó

4 Trình bày thiết kế hệ thống HA-IDS, chi tiết các hệ thống con F-FC và ANN

G-5 Trình bày từng bước hiện thực hệ thống bằng thực nghiệm, diễn tả các mô hình thực nghiệm

6 Các thông tin về kết quả đạt được khi chạy thực nghiệm Đánh giá dựa vào các kết quả đó

7 Trình bày về kết luận vấn đề, các hạng mục đóng góp của đề tài, các giới hạn và công việc tiếp theo của đề tài ttong tương lai

8 Tài liệu tham khảo

9 Phần phụ lục, toàn bộ chi tiết hai bài báo đã được xuất bản tại hội nghị RCCIE 2017 và Nafosted-NICS 2017 cùng với phần lý lịch trích ngang của tác giả

1.5 Tóm tắt Chương

Chương này trình bày về những vấn đề, thách thức ttong việc bảo mật Internet Những mục tiêu, động lực để nghiên cứu, các đóng góp chính của đề tài và trình bày cấu trúc của luận văn

Các cuộc tấn công đều tập trung vào ba hướng tấn công chính sau

1 Lỗ hổng về các thiết bị, các phương tiện ttuyền thông (Máy tính, Hub, Router, Switch )

2 Lỗ hổng về phương thức giao dịch (Thông tin không được mã hoá, password quá đơn giản )

3 Lỗ hổng các ứng dụng (Hệ điều hành, Web Server, Mail Server )

Các giải pháp bảo mật ttuyền thống như tường lửa (Firewall) thì không phát hiện ra các tấn công và ngăn chặn tấn công, với mật khẩu (Password) có thể thị mất, bị hack, hoặc bị thay đổi, với trình duyệt virus Antivirus thì chỉ hoạt động tốt với các virus đã biết, với mạng riêng ảo (Virtual Private Network - VPN) thì vẫn có thể bị can thiệp giữa đường ttuyền (tấn công Main The Middle) Hiện nay, theo [7], xu hướng tấn công lỗ hổng về phương thức giao dịch và lỗ hổng các ứng dụng giảm kể từ năm 2009 đến 2015 Bởi vì, việc tìm kiếm các công cụ (tool) để hacking và cracking thuộc 2 loại này có rất nhiều ttên các trang web chẳng hạn như [11], các tool hỗ ttợ cracking password Còn tuỳ thuộc vào các mục tiêu tấn công mà các tội phạm tấn công có thể linh động và kết hợp các phương pháp khác, các tool khác cho việc tìm kiếm, tấn công mục tiêu của mình Hơn nữa, ttên cơ chế sử dụng các tool có sẵn chỉ dành cho các hacker nghiệp dư, với một hệ thống phòng thủ kiên cố, việc sử dụng các tool có sẵn này không mấy tác dụng Bởi vì,

hệ thống luôn luôn cập nhật các mẫu vừus mới trước khi công khai Các phương thức tấn công thông qua hệ thống mạng ngày càng tinh vi, phức tạp với luồng packet hoàn toàn mới, không có ttong cơ sở dữ liệu của hệ thống Điều này gây khó khăn rất lớn cho việc nhận dạng và xử lý các luồng packet mới này Có thể dẫn đến mất mát thông tin, thậm chí có thể làm sụp đổ hoàn toàn hệ thống thông tin Vì vậy, an toàn và bảo mật thông tin là nhiệm vụ rất nặng nề và khó đoán trước được

5

2.1.2 Tổng quan về phương pháp phòng chống xâm nhập

Dựa vào các cuộc tấn công tập trung vào ba hướng ttên Hệ thống phòng chống đảm bảo an toàn gồm ba hướng chính sau

1 Bảo đảm an toàn thông tin tại hệ thống máy chủ

2 Bảo đảm an toàn cho phía các máy trạm

3 Bảo mật thông tin ttên đường ttuyền

2.2 Hệ thống phát hỉện phòng chống xâm nhập - IDPS

Các kĩ thuật phòng chống, phát hiện tấn công xâm nhập tổng quan cũng dựa trên

ba hướng chính này đó là hệ thống phòng chống phát hiện xâm nhập (Inttusion Detection Prevention System - IDPS), được mô tả ttong Hình 2 Hệ thống IDPS được chia thành hai nhánh chính đó là hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) và hệ thống phòng chống xâm nhập (Intrusion Prevention System - IPS) Trong đó hệ thống IDS gồm có hai nhánh chính là hệ thống phát hiện xâm nhập trên Host (Host-based Inttu- sion Detection System - HIDS) và hệ thống phát hiện xâm nhập ttên đường truyền mạng (Network-based Intrusion Detection System - NIDS) Tương tự, hệ thống IPS gồm có hai nhánh chính đó là hệ thống phòng chống xâm nhập ttên Host (Host-based IPS - HIPS)

và hệ thống phòng chống xâm nhập ttên mạng (Network-based IPS - NIPS) Theo [12], đối với hướng bảo đảm an toàn thông tin tại hệ thống máy chủ và máy ttạm, lợi thế của HIDS và HIPS đó là: Khi có tấn công ta xác định được User nào bị tấn công, có thể phân tách được dữ liệu mã hoá và cung cấp các thông tin liên quan

về Host bị tấn công Điểm bất lợi của HIDS và HIPS đó là: Thông tin đã mất đi tính toàn vẹn (Integrity), Với hệ thống lớn có nhiều Host thì việc thiết lập phòng thủ trên từng Host cụ thể sẽ tiêu tốn nhiều thời gian và chi phí (Agent), không có khả năng phát hiện các cuộc dò quét mạng như Nmap, Netcap và đặc biệt hơn

là không hiệu quả cho các cuộc tấn công Denial of Service - DoS, Disttibuted DoS - DDoS

Đối vối hệ thống NIDS và NIPS thì lợi thế của NIDS và NIPS là quản lý được các phân khúc mạng (network segment), hệ thống frong suốt vối người sử dụng

và kẻ tấn công, tránh được tấn công DoS ảnh hưởng tối một Host cụ thể (Server

6

hoặc Client) và hệ thống độc lập vói hệ điều hành (Operating System) Điểm bất lợi của NIDS và NIPS đó là: Hệ thống nhận dạng sai dữ liệu cụ thể trong [13,14], luồng dữ liệu vào là bình thường nhưng hệ thống nhận diện là tấn công (False Positive) và luồng dữ liệu vào là tấn công nhưng hệ thống nhận diện là bình thường (False Negative), hệ thống không thể phân tích được các dữ liệu được mã hoá, luôn luôn cần phải cập nhật mẫu dữ liệu thường xuyên, độ trễ giữa thời gian nhận dạng dữ liệu và phát tín hiệu cao, ngoài ra hệ thống không biết rằng cuộc tấn công đó có thành công hay không và giới hạn thông lượng của hệ thống (bottlenecked) Theo công trình [15],

HIDS N1DS HIPS NIPS

Hình 2: Mô hình tổng quan hệ thống phát hiện, phòng chống xâm nhập IDPS

IDS có 2 kĩ thuật chính để phát hiện xâm nhập vào hệ thống đố là: Hệ thống phát hiện xâm nhập dựa vào các dấu hiệu đã biết (Signature-based Intrusion Detection System - SIDS) và hệ thống phát hiện xâm nhập dựa vào các dấu hiệu bất thường (Anomaly-based Intrusion Detection System - AIDS) Điểm bất lợi của SIDS là không phát hiện hoặc nhận biết được các luồng packet mối vào hệ thống cũng như những luồng packet bình thường nhưng có sự kết hợp nhiều dấu hiệu bình thường khác Điều này được cải thiện thông qua hệ thống AIDS

Hiện nay, Cơ sỗ dữ liệu khổng lồ cùng với các thiết bị và cơ sỗ hạ tầng mạng ngày càng phát triển, cũng vì đó mà việc nghiên cứu AIDS cũng gặp nhiều trô ngại không kém Các công trình nghiên cứu AIDS cố gắng cải thiện, kết hợp nhiều phương pháp (giám sát, không giám sát) để có kết quả mà tỉ lệ dữ liệu lỗi là thấp nhất Theo công trình khảo sát [1], tác giả đưa ra một framework tổng quan cho AIDS như Hình 3, dữ liệu đầu vào có nhiều loại khác nhau (Input) Do đó, phải thông qua quá trình xử lý (Data Processing) như chuẩn hoá, rút trích các đặc trưng của dữ liệu , sau đó kết quả đưa vào module xử lý phát hiện bất thường (Anomaly

7

Detection), tại module này dùng các kĩ thuật phát hiện bất thường của dữ liệu, tuỳ

thuộc vào lã thuật được áp dụng phù hợp với mục tiêu của framework Có 2 nhóm

kĩ thuật phát hiện xâm nhập bất thường đố là: kĩ thuật giám sát (Supervised) như

gán nhãn, kiểm soát đầu vào, đầu ra và kĩ thuật không giám sát (Unsupervised)

như không gán nhãn, đầu vào là ngẫu nhiên Việc xử lý đầu ra sử dụng 2 phương

pháp gán nhãn (Label) và phương pháp tính trị (Score) để đánh giá (Evaluation)

và đưa ra kết quả của việc xử lý dữ liệu đầu vào có bất thường hay bình thường

Input

Data

Processing

Arũmaỉy Detection

1

Supervised un supervised

1 r Output

1 1 J

Evaluation

Hình 3: Framework tổng quan AIDS [1]

2.3 Phân loại các kĩ thuật phát hiện cho hệ thống AIDS

Trong đề tài này, tác giả chỉ tập trung vào hệ thống AIDS

Các kĩ thuật phát hiện của hệ thống AIDS được miêu tả trong Hình 4, gồm có

bốn loại đó là; lã thuật phân lớp (Classification), kĩ thuật thống kê

8

(Statistical), kĩ thuật gom cụm (Clustering) và lã thuật lý thuyết thông tin (Information Theory) Trong đó kĩ thuật phân lớp có bốn phương pháp đó là; Support Vector Machine (SVM) [16,17], Bayesian Network [18-20], Rule- Based [21,22] và Neural Network [23,24] Với lđ thuật thống kê [25,26] có ba phương pháp đó là; Mixture Model [27], Signal Processing [28] và Principal Component Analysis (PCA) [29,30] Vổi kĩ thuật gom cụm [31] có hai phương pháp đó là; Regular Clustering (gom cụm có quy luật) và Co- Clustering (gom cụm không quy luật); sau cùng là kĩ thuật lý thuyết thông tin (Information Theory) [1] được

sử dụng các độ đo như Entropy, Conditional Entropy, Relative Entropy, Relative Conditional Entropy và Information Gain Dựa vào các độ đo này để đưa ra kết quả của việc xử lý dữ liệu có bất thường hay không

Hình 4: Phân loại các kĩ thuật của ANIDS [1]

2.4 Mạng nơron - Neural Network

Mạng Nơron (Neural Network - NN) là một mạng có nhiều nodes (các nodes này hay còn gọi là những đơn vị xử lý percepttons) Mỗi node nhận những dữ liệu đầu vào sau đó xử lý những dữ liệu này và giao cho một đầu ra đơn Các nodes được liên kết với nhau Mỗi kết nối có 1 trọng số (weight) tương ứng Cấu trúc của một node được diễn tả trong Hình 5 Inputs là dữ liệu X Ì ( XQ =

1, i = 1, 2, , n) hoặc Outputs (fQ2 WiXi, (i = 0, l, ,n)) của các nodes khác Từng cặp nodes có trọng số (weight) tương ứng Wi, trong đó Wo được gọi là ưọng số

bias khi Zo = 1 The outputs được đưa đến hàm kích hoạt (activation function)

Ahrilriif

Infwmatiori ĨTiửũrỶ

9

nhằm mục đích phân loại hoặc lọc kết quả Giá trị (-Wo) được xem như là giá tậ

ngưổng (threshold), nếu fQ2 WiXị 9 (i = 0, l, ,n) > 0 thì giá trị đầu ra out(a?i, ,

Xn) được gán mẫu dương (+), giá trị khác được gán mẫu âm (-)

Hình 5: Mô phỏng một node (Perceptron)

2.5 Kĩ thuật xây dựng đặc trưng dữ liệu

2.5.1 Giới thỉệu về xây dựng đặc trưng dữ liệu

Các nghiên cứu thường tập trung vào việc đưa ra thuật toán để khả năng phát hiện bất thường là hiệu quả nhất, giai đoạn xây dựng dựng Model là rất quan trọng Phân tích các đặc trưng phù hợp nhất cho hệ thống cần được quan tâm - thường gọi là giai đoạn tiền xử lý dữ liệu hay là Feature construction Xây dựng đặc trưng cho từng bài toán anomaly-based IDS là thành phần không thể thiếu trong mô hình học máy và thống kê mạng, giúp cho hệ thống giảm được chi phí cũng như xây dựng những phương pháp học máy một cách hiệu quả Bằng cách này, việc làm giảm kích thước các đặc trưng không liên quan hoặc ít ảnh hưởng tới hệ thống làm cho hệ thống tối ưu hơn, rõ ràng hơn và hiệu suất cao hơn Ngoài ra, việc lựa chọn đặc trưng này còn giúp ta thu được giá trị thông tin của dữ liệu, giá ttị này quan trọng ttong việc đánh giá, khảo sát cho các bài toán thống kê hoặc các bài toán liên quan tập dữ liệu đó Những thông số của việc lựa chọn này đóng vai trò quan ttọng cho việc quyết định cuối cùng đó là rút ttích đặc trưng Đích đến cuối

lý dữ liệu thô phải qua hệ thống xây dựng đặc trưng, được miêu tả từng bước ttong Hình 6 Sau khi xây dựng đặc trưng tổng quát của bài toán hệ thống qua các

kĩ thuật lựa chọn đặc trưng hoặc rút trích đặc trưng cho từng bài toán cụ thể, sau khi qua hệ thống này, chúng sẽ qua hệ thống phân lớp, tùy thuộc vào kĩ thuật học máy để phân lớp chúng và cuối cùng đưa ra quyết định phân loại lựa chọn được kiểm soát bởi người dùng Chúng có nhiều kĩ thuật được áp dụng như lọc (Filter), gói (wrapper), thống kê, lý thuyết thông tin và các công cụ, phần mềm hỗ ttợ như Weka, Matlab Cơ bản, một hệ thống rút trích đặc trưng tối líu cần phải xây dựng kết hợp các kĩ thuật một cách phù hợp Trong đề tài này chỉ tập ttung các kĩ thuật cho phân lớp bài toán bảo mật mạng cụ thể là bài toán phát hiện bất thường mạng (anomaly-based NIDS), dựa trên rút trích đặc trưng ttên tập dữ liệu có sẵn để đánh giá hệ thống như: KDDcup99, NSL-KDD, ISCX-UNB

Feature Conslruction

Feature Selection And Extraction

Hình 6: Tổng quan tiến trình xử lý dữ liệu thô vào hệ thống [2]

2.5.2 Các Kĩ thuật xây dựng đặc trưng dữ lỉệu

11

Để đảm bào cho việc xây dựng đặc trưng tối ưu cho từng bài toán cụ thể vái mong muốn hiệu suất cao cho bất là mô hình lã thuật học máy nào thực tế không mang tính khả thi Với một bài toán cụ thể như anomaly-based IDS, tùy thuộc vào mô hình học máy lựa chọn trước để xây dựng cấu trúc dữ liệu đặc trưng cho phù hợp Trong đó các kĩ thuật xây dựng đặc trưng góp phần không nhỏ cho việc xây dựng tối ưu hệ thống Các kĩ thuật xây dựng đặc trưng khi được áp dụng vào hệ thống luôn đảm bảo hai mục tiêu, đó là giảm kích thước (số chiều) dữ liệu và dự đoán trong việc cải thiện hiệu suất Có ba khía cạnh quan trọng trong việc lựa chọn kĩ thuật đó là; (a) Phương pháp chuyển đổi đặc trưng, (b) phương pháp lựa chọn đặc trưng con trong tập nguồn dữ liệu, (c) tiêu chí đánh giá cho việc lựa chọn đặc trưng tập con này Dưới đây là các kĩ thuật xây dựng đặc trưng hệ thống Theo công trình [32], có bốn kĩ thuật đó là kĩ thuật lọc (filter), kĩ thuật bao bọc (warpper), kĩ thuật trộn (embedded) và kĩ thuật kết hợp (hybừd)

1 Kĩ thuật lọc: Kĩ thuật này dựa ttên việc phân cấp (rank) các đặc trưng dựa

vào các độ đo liên quan và thêm hoặc bốt các đặc trưng vào tập các đặc trưng của tập con để tính điểm (scores) cao hay thấp để đạt được tập con chứa các đặc trưng tối ứu Quy trình được trình bày trong Hình 7

2 Kĩ thuật bao bọc: Kĩ thuật này tạo ra những tập con các chứa các đặc

trưng tương đương tuy nhiên việc đánh giá được thực hiện theo tiêu chí phủ định vối kết quả mong muốn bằng việc phân lớp Quy trình được

Hình 9: Quy trình hoạt động của kĩ thuật trộn

4 Kĩ thuật kết hợp: Kĩ thuật này nhằm khai thác các lợi thế của hai kĩ thuật

lọc và kĩ thuật bao bọc để quyết định tốt các đặc trưng của tập con hoặc để nhận diện tối ưu và những đặc trưng của tập con liên quan Quy trình được trình bày trong Hình 10

14

Tập con đặc trưng tối ưu

Hình 10: Quy trình hoạt động của kĩ thuật kết hợp

2.6 Lựa chọn tập dữ liệu cho hệ thống AIDS

Mỗi tập dữ liệu đều cố ưu và nhược điểm riêng, tùy thuộc vào bài toán áp dụng thực

tế hoặc nghiên cứu mà sử dụng các dataset này cho phù hợp Trong công trình [33], tác giả đưa ra phân loại từng tập dữ liệu, từng tính năng của mỗi tập dữ liệu được trình bày frong Bảng 1

Trong các tập dữ liệu ttên, chứng tôi xem xét và sử dụng 2 tập dữ liệu: KD- DCup99 và ISCX-UNB KDD Cup 99 được coi là bộ dữ liệu để thử nghiệm và so sánh các thuật toán xâm nhập mạng được nhiều nhà nghiên cứu lựa chọn Tuy nhiên,

nó cũng có hạn chế là dữ liệu quá cũ so vối các dữ liệu mạng hiện tại Còn ƯNB là tập dữ liệu khá mới - năm 2012 nhưng các loại tấn công không phong phú như KDDCup99 Do đó chúng tôi kết hợp dùng cả hai tập dữ liệu này cho các kịch bản thử nghiệm khác nhau trong việc xây dựng hệ thống anomaly-based IDS

ISCX-Bảng 1: Danh sách những tập dữ liệu có sẵn và các diễn tả

Daiaseỉ u V w No of instances No of attributes K z

Syntheiic No No Yes user user Not known any user

15

KDDcupiW Ycs No Yes ÍÍŨ5ÍÍ50 41 Bcrw p Cl

NSL-KDD Yes Nu Yes 1483E7 41 BCTW p Cl

DARPA 2 Yts No No H UBC \n: k ID'A 1 p Raw Cj

DEFCON Nơ Nữ No Huge Not known Raw p C:

CAIDA Yes Ycs No Huge Not known Raw p Cl

LBNL Yes Yes No Huge Not known Raw p Ci

TU IDS Ycs Yts Ycs JHJ1760 5Cự4 BCTW PJ 7 Cl

u-nalislic Tilwfel: iijníỈẬUFỉliơfl

V Lrdiciics realistic I raill c

w.dwcnhcsihe Ikhíl infarmitirfl

x-typc* features C.ur2£ittl la bttóc KZIKÍ1113Y ũũoucm-tíxsed features ii-’h lunc-biMid features Õ j and window -rtiítìl ắeaores Ị W) y-c\phins Ihr lyr'-'-'-'Tdtaia Bỉ packv-bawd (Pl w Íkm-hiíttl IF) ‘T hybrid Ị H í nr Olhfrt <Oỉ

E-Kprf*enl» Ihv iillwk 'Ha/jfrry <~l :jjl iKlTtfei -denial?trv~Kr co pgybii C^FW’ icrcxM <3 ||J Iffgri

2.7 Nền tảng NetFPGA 10G

Nền tảng NetFPGA-lOG [34] được phát triển dựa trên phần mềm Xilinx Embedded Development Kit (EDK) và AXI4 interface của kiến trúc ARM Dựa vào EDK và một số chuẩn thiết kế trước của Xilinx như AXI4 interface đã tạo điều kiện tốt để thiết kế hệ thống Các module ưong hệ thống kết nối vối nhau theo một theo giao thức chuẩn (AXI bus), chuẩn này rất đơn giản và tiện lợi cho người dùng, giúp đạt được hiệu năng tốt nhất của việc truyền tín hiệu Trước đây, EDK chủ yếu được sử dụng frong những thiết kế System on Chip (SoC) Nhưng từ phiên bản 12 trỗ đỉ, với việc chính thức hỗ ượ chuẩn AXI4 interface, EDK thực sự là một công cụ hữu hiệu cho những thiết kế mới kể cả những thiết kế không phải SoC để tiết kiệm tài nguyên đối vối các hệ thống lổn Việc sử dụng EDK, thay thế gần như hoàn toàn ISE, giúp cho người dùng có thể thiết kế hệ thống của mình một cách toàn diện hơn, dễ dàng hơn, trực quan hơn khỉ EDK hỗ trợ người dùng giao diện đồ họa kèm theo hệ thống IPCores lớn, đa dạng Hình 11 nhìn từ mặt trưốc của Board Hình 12 miêu tả sơ đồ Board NetFPGA-10G virtex5 Board NetFPGA-10G là một thiết bị phần cứng được kết hợp với hệ thống mã nguồn mở Phần cứng chính của board là PCI Express với 4 cổng 10 Gigabit Ethernet và một chip FPGA là Xilinx Virtex-5 Chip Virtex-5 có tốc độ trung bình cao hơn khoảng 30% so vối dòng chip trước đó

là Virtex-4 và cao hơn gấp đôi so vổi Virtex II pro (được dùng trên board lG) Ngoài tốc độ cao, Virtex-5 còn có thể

NetFPGA-16

Hình 11: Board NetFPGA-lOG

Hình 12: Sơ đồ Board NetFPGA-10G vứtex 5

đáp ứng các thiết kế lớn do có trcn 300,000 logic cells, cao gấp 6 lần dòng chip Vừtex n pro

Vối 8 lane PCI Express, mỗi lane có tốc độ 5Gbps, NetFPGA-10G cho tổng băng thông lên đến 40Gbps, giúp cho việc truyền nhận dữ liệu rất nhanh chóng Ngoài

ra băng thông dữ liệu nằm trong khoảng rất rộng từ 622 Mbps đến 6.5Gbps, hỗ trợ cho hầu hết các chuẩn giao tiếp khác nhau Kết hợp vái bộ nhổ tốc độ cao 3x36bit QDRn SRAM (3x27MB) và 2x64bit RLDRAMn (2x288MB), board NetFPGA-10G cung cấp một giải pháp bộ nhổ lý tưỗng cho các ứng dụng mạng

Board NetFPGA -10G trên gồm có các thành phần sau

• Xilinx Virtex-5 XC5VTX240T-2FFG1759C FPGA

• Bốn interface SFP+ (hỗ trợ cả 2 chế độ lGbps và lOGbps)

17

• X8 PCI Express Gen 2 (5Gbps/lane)

• Bax36 Cypress QDR n(CY7C 1515 J VI8)

• Bốn x36 Micron RLDRAMII (MT49H16M36HT-25)

• Hai Xilinx Platform XL Flash (2xl28mb)

Bảng 2, miêu tả chi tiết về các đặc tính của chip Vừtex 5 TX240T FPGA

Bảng 2: Chi tiết về chip XC5VTX240T

XC5VTX240T

Maximum Distributed RAM (Kbits) 2,400

Maximum DIITrri'iilial I/O Pairs 340

Rocket! ID’ w GTX High-Speed Transceivers 48

2.8 GPU&CUDA

1 Graphics Processing Unit - GPU: Một bộ vi xử lý chuyên dụng, đảm nhận

nhiệm vụ tăng tốc, xử lý đồ họa cho CPU Các GPU hiện nay có khả năng xử lý cao trong xử lý đồ họa máy tính

2 Compute Unified Device Architecture - CUDA: Một nền tảng có khả năng

tính toán song song và lập trình được phát triển bồi NVIDIA vào tháng 11 năm

2006 nhằm mục đích tăng cường mạnh mẽ các khối tính toán song song trong các GPU và giúp cho các nhà phát triển thuận lợi hơn ưong việc triển khai các ứng dụng non graphic [35], CUDA hỗ trợ một số ngôn ngữ lập trình như c và Fortran, và nó

có một thư viện lân CUDA cung cấp môi