今天为大家介绍清华大学吴建平院士团队一篇发表于USENIX NSDI 2024的工作,共同第一作者为博士生闫金柱和许澔天,通讯作者为刘卓涛老师,作者还包括李琦老师,徐恪老师和徐明伟老师。
文章主要目标是在可编程数据平面上,实现神经网络模型驱动的网络流量智能线速分析。这是团队在智能网络数据平面系列工作的最新成果,之前的工作NetBeacon获得Usenix Security 2023杰出论文奖。
Jinzhu Yan, Haotian Xu, Zhuotao Liu, Qi Li, Ke Xu, Mingwei Xu, Jianping Wu. Brain-on-Switch: Towards Advanced Intelligent Network Data Plane via NN-Driven Traffic Analysis at Line-Speed. USENIX NSDI 2024.
01
背景
可编程交换机、智能网卡等可编程网络硬件的发展大大推动了智能网络数据面(Intelligent Network Data Plane,INDP)的研究,即在网络数据面部署机器学习模型以进行流量分析等网络任务。相比于将模型部署于终端主机或网络控制面的传统流量分析架构,智能网络数据面能够在对网络流量进行转发的同时,线速地完成机器学习模型推理以支持不同的网络任务。
然而,由于可编程网络硬件在计算与存储能力上的限制,基于其实现机器学习模型的推理存在着许多困难。例如,P4可编程交换机中不支持浮点数与乘法等运算,而这些运算对于神经网络等先进机器学习模型的推理来说是不可或缺的。
02
已有工作
作为智能网络数据面最初的探索,相关工作借助可编程网络设备在数据面收集细粒度的流信息,以支持控制面完成隐蔽信道检测、流量分类等应用(NetWarden、FlowLens),但这些工作需要依赖控制面,并不能在数据面及时根据分类结果处理数据包。
随后,许多工作尝试直接在数据面上部署完整的机器学习模型推理流程,并聚焦于决策过程与可编程数据面的match-action机制较为接近的树结构模型(Planter、Mousika、NetBeacon)。然而,树结构模型的推理需要计算大量统计特征,消耗大量存储资源,并且在较复杂任务上准确率低于神经网络。更重要的是,由于数据面支持的运算十分有限,许多复杂的流量统计特征无法完成计算(如流内包长度的方差、频率分布等特征),严重制约着树结构模型的后续发展。
近年来,部分工作开始研究如何在数据面部署神经网络模型。其中,N3IC通过二值化压缩将最基础的神经网络模型多层感知机(Multi-Layer Perceptron,MLP)部署在了智能网卡上,但智能网卡能够处理的流量规模与操作延迟相比于可编程交换机具有很大差距,同时对网络权重及激活值的全部二值化、对复杂流量统计特征的依赖限制着多层感知机的准确率表现。
03
BoS介绍
Brain-on-Switch(BoS)拓展了智能网络数据面,在可编程交换机器上部署了循环神经网络(Recurrent Neural Network,RNN)模型。BoS以原始流量序列作为输入,避免了特征工程的设计与数据面计算。
BoS设计了升级分析机制,在保证绝大部分流量于数据面进行线速分析的同时,能够准确捕获小部分低置信度流量,将其转发至交换机外的Transformer模型进行更精确的分析。
为了达成上述目标,主要挑战如下:
-
RNN的循环计算模式与数据面的Match-Action机制差异很大,使得在交换机上进行RNN推理更加困难。
-
利用Transformer进行流量分析的现有工作仅仅是把流量当作一种输入数据形式,而缺乏对流量进行在线分析的考虑。
-
需要做到对低置信度流量的准确捕获,从而保证在提高整体分析准确率的同时限制升级分析的流量比例。
RNN模型结构
BoS使用一种新的二值RNN,保留全精度的权重,仅对激活函数二值化。将前向传播的输入与输出对应关系编码为Match-Action表,通过查表进行推理。
滑动窗口机制
BoS采用了滑动窗口机制,在可编程交换机有限的stage上不断执行RNN推理时间步,并设计了数据面上很多实现细节,例如环形队列的读写,类argmax操作实现各滑动窗口推理中间结果的聚合等等。
升级分析机制
BoS的每个滑动窗口的输出是分类概率向量,并以累积分类概率最大的分类作为最终分类。BoS通过比较分类信心(定义为累积分类概率除以滑动窗口数量)与阈值,判断对一条流中当前数据包的分析结果是否模糊;当某条流量中的模糊数据包数量超过一定阈值时,BoS将对这条流进行升级分析。通过对模型训练时损失函数的针对性设计,BoS能够尽可能降低错误分类数据包的分类信心,从而基于阈值将其准确过滤出来。
集成推理系统
BoS利用DPDK在服务器端实现了集成推理系统(Integrated Model Inference System,IMIS),通过多个单线程部件的组合,对需要升级分析的少部分流量进行基于Transformer模型的快速在线推理。
04
实验验证
端到端实验结果:我们在加密流量分类,僵尸网络流量分类,物联网流量行为分析,以及P2P应用指纹识别四个任务上进行了实验。实验结果表明,相比于基于树结构模型和多层感知机的最先进方案,BoS在准确率分别实现了最高19%和40%的整体准确率提升。
存储资源开销:在存储资源开销上,BoS平均使用了Tofino1可编程交换机约20%的SRAM资源与1%的TCAM资源,整体的存储资源开销很小,为兼容可编程交换机基础的网络功能留有充足的存储空间。
IMIS性能表现:我们对IMIS的推理延迟与吞吐进行了实验测量,在并行8组推理模组、并发4096条升级流量下,IMIS能够以低于2秒的推理延迟完成每秒对1千万个数据包的处理(在平均包大小为512字节时,相当于41Gbps的吞吐)。
05
结语
BoS拓展了可编程网络数据面,是第一个能在可编程交换机上利用神经网络进行线速流量分析的设计,同时通过精心设计的升级分析机制整合了交换机外的基于Transformer的流量分析模块。我们期待未来的智能数据面可以容纳更先进、更大规模的神经网络模型,也期待数据面与控制面能够碰撞出更多类似升级分析机制的火花!
论文相关代码地址如下,欢迎大家提出意见https://github.com/InspiringGroup-Lab/Brain-on-Switch
06
Remark
值得一提的是,Broadcom也在近期宣布了他们处于产品早期阶段的支持新型神经网络推理的新型交换机芯片,侧面印证了神经网络驱动的智能网络数据面具有重要意义。
参考文献:
1.Jiarong Xing, Kang Qiao, Chen Ang. NetWarden: Mitigating Network Covert Channels while Preserving Performance. USENIX Security, 2020.
2.Diogo Barradas, Nuno Santos, Luis Rodrigues, Salvatore Signorello, Fernando MV Ramos, and Andre Madeira. FlowLens: Enabling Efficient Flow Classification for ML-based Network Security Applications. NDSS, 2021.
3.Changgang Zheng, Noa Zilberman. Planter: seeding trees within switches. SIGCOMM 2021 Poster.
4.Guorui Xie, Qing Li, Yutao Dong, Guanglin Duan, Yong Jiang, Jingpu Duan. Mousika: Enable General In-Network Intelligence in Programmable Switches by Knowledge Distillation. INFOCOM, 2022.
5.Guangmeng Zhou, Zhuotao Liu, Chuanpu Fu, Qi Li, Ke Xu. An Efficient Design of Intelligent Network Data Plane. USENIX Security, 2023.
6.Giuseppe Siracusano, Salvator Galea, Davide Sanvito, Mohammad Malekzadeh, Gianni Antichi, Paolo Costa, Hamed Haddadi, Roberto Bifulco. Re-architecting Traffic Analysis with Neural Network Interface Cards. NSDI, 2022.
7.Broadcom. Trident 5 Programmable Ethernet Switch Series. https://www.broadcom.com/products/ethernet-connectivity/switching/strataxgs/bcm78800.
原文始发于微信公众号(赛博新经济):Brain-on-Switch:智能网络数据面之神经网络驱动的线速流量分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论