DWT in P4 : periodicity detection in the data plane

Abstract

This dissertation presents an extended implementation of the (1-D) Discrete Wavelet Transform (DWT) method in the P4 programming language, enabling efficient and real time analysis of periodic behavior in network traffic. The DWT is a mathematical tool widely used for signal analysis, allowing the division of a given signal into different frequency components and analyzing each component with a resolution tailored to its scale. By addressing the limitations of existing P4-programmable data plane devices, we develop an efficient online algorithm that performs the DWT decomposition entirely in the data plane, overcoming constraints and complexities associated with offloading computations to external devices or relying solely on centralized controllers. Our eval uation focuses on a hardware implementation of the algorithm, utilizing the Netronome NFP-4000 SmartNIC, and demonstrates minimal throughput overhead, with less than 1% impact on average-sized packets, while operating within the constraints of limited data plane resources. In addition to the implementation, we showcase a practical application of our lightweight P4 implementation by introducing a novel threshold-based approach for real-time detection of periodic behavior in signals, enabling efficient and timely iden tification of periodic patterns at line rate in the data plane (40 Gbps). Various examples of synthetic and real-world packet-level traffic traces, exhibiting periodic patterns of both benign and malicious origins, illustrate the effectiveness of our approach. The contribu tions of this dissertation extend to both the field of network traffic analysis and the practi cal implementation of the DWT in programmable data planes, offering opportunities for real-time analysis and detection of periodic behaviors directly in the network fabric. Our approach demonstrates scalability, efficiency, and accuracy, making it a valuable tool for applications such as anomaly detection, congestion control, and network security. This dissertation contributes to the advancement of in-network traffic analysis and provides a foundation for future research in the domain, showcasing the viability and potential of performing the DWT entirely in the data plane with minimal overhead and constraints, and highlighting the benefits of in-network traffic analysis for network management and security.

Esta dissertação apresenta uma implementação estendida do método da Transformada Discreta de Wavelet (DWT, na sigla em inglês) de uma dimensão na linguagem de programação P4, permitindo uma análise eficiente e em tempo real do comportamento periódico no tráfego de rede. A DWT é uma ferramenta matemática amplamente utilizada para análise de sinais, permitindo a divisão de um sinal dado em diferentes componentes de frequência e analisando cada componente com uma resolução adaptada à sua escala. Ao abordar as limitações dos dispositivos de plano de dados programáveis em P4 exis tentes, desenvolvemos um algoritmo online eficiente que realiza a decomposição DWT inteiramente no plano de dados, superando as restrições e complexidades associadas ao deslocamento de cálculos para dispositivos externos ou dependendo exclusivamente de controladores centralizados. Nossa avaliação concentra-se em uma implementação de hardware do algoritmo, utilizando o Netronome NFP-4000 SmartNIC, e demonstra um mínimo impacto na taxa de transferência, com menos de 1% de impacto em pacotes de tamanho médio, operando dentro das restrições dos recursos limitados do plano de dados. Além da implementação, demonstramos uma aplicação prática de nossa implementação leve em P4, introduzindo uma abordagem baseada em limiar para a detecção em tempo real do comportamento periódico em sinais, permitindo a identificação eficiente e opor tuna de padrões periódicos na taxa de linha do plano de dados (40 Gbps). Vários exemplos de traços de tráfego de nível de pacote sintéticos e do mundo real, exibindo padrões pe riódicos de origens benignas e maliciosas, ilustram a eficácia de nossa abordagem. As contribuições desta dissertação se estendem tanto ao campo da análise de tráfego de rede quanto à implementação prática da DWT em planos de dados programáveis, oferecendo oportunidades para análise em tempo real e detecção de comportamentos periódicos di retamente no tecido da rede. Nossa abordagem demonstra escalabilidade, eficiência e precisão, tornando-se uma ferramenta valiosa para aplicações como detecção de anoma lias, controle de congestionamento e segurança de rede. Esta dissertação contribui para o avanço da análise de tráfego em rede e oferece uma base para pesquisas futuras no domí nio, demonstrando a viabilidade e o potencial de realizar a DWT inteiramente no plano de dados com um impacto mínimo e restrições, e destacando os benefícios da análise de tráfego em rede para o gerenciamento e a segurança da rede.