文獻(xiàn)標(biāo)識(shí)碼:A
DOI:10.19358/j.issn.2097-1788.2023.04.010
引用格式:宗學(xué)軍,,劉歡歡,何戡,等.高速網(wǎng)絡(luò)流量下實(shí)時(shí)入侵檢測(cè)系統(tǒng)研究與應(yīng)用[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,,2023,,42(4):56-61,84.
0 引言
受日益增長(zhǎng)的數(shù)據(jù)傳輸需求的驅(qū)動(dòng),,企業(yè)和研究機(jī)構(gòu)正在部署100 Gb/s的工業(yè)網(wǎng)絡(luò),,這種高速網(wǎng)絡(luò)的普及,為工業(yè)安全防護(hù)帶來(lái)了重大的技術(shù)挑戰(zhàn),。如何在高速網(wǎng)絡(luò)流量下保證工業(yè)互聯(lián)網(wǎng)安全是亟須解決的問(wèn)題,。傳統(tǒng)Suricata IDS在面對(duì)高速網(wǎng)絡(luò)流量時(shí),無(wú)法高效及時(shí)地處理網(wǎng)絡(luò)活動(dòng),,由于數(shù)據(jù)處理不及時(shí),,造成數(shù)據(jù)包丟失,降低系統(tǒng)檢測(cè)的準(zhǔn)確率,,威脅工業(yè)系統(tǒng)安全,。
文獻(xiàn)[3]研究了兩種流行的開(kāi)源IDS:Snort和Suricata,在相同條件下平衡二者間的比較性能基準(zhǔn),,證實(shí)了限制IDS在高速網(wǎng)絡(luò)適用性的關(guān)鍵因素為系統(tǒng)資源使用,、包處理速度、包丟棄率和檢測(cè)精度,。
文獻(xiàn)[4]利用單個(gè)DPDK工作線(xiàn)程,,通過(guò)使用CPU親和力,分配專(zhuān)用lcore,從而加速Suricata工作線(xiàn)程的IDS處理,。使用了兩個(gè)專(zhuān)用于Suricata DPDK的0和1端口對(duì)系統(tǒng)進(jìn)行測(cè)試,,證實(shí)了DPDK能夠提高Suricata IDS的工作性能。
文獻(xiàn)[5]在傳統(tǒng)Snort IDS的基礎(chǔ)上,,引入DPDK對(duì)系統(tǒng)進(jìn)行優(yōu)化,,驗(yàn)證了基于DPDK的入侵檢測(cè)系統(tǒng)在面對(duì)傳輸速率為10 Gb/s的網(wǎng)絡(luò)流量時(shí),系統(tǒng)對(duì)報(bào)文的檢測(cè)性能遠(yuǎn)遠(yuǎn)優(yōu)于傳統(tǒng)Snort入侵檢測(cè)系統(tǒng),。
文獻(xiàn)[6]分析了Snort的架構(gòu),,提出在高速網(wǎng)絡(luò)流量下降低系統(tǒng)誤報(bào)率的關(guān)鍵是提高Snort的數(shù)據(jù)包捕獲能力和檢測(cè)引擎模塊的性能。設(shè)計(jì)并實(shí)現(xiàn)了基于DPDK的Snort DAQ模塊,,并搭載高性能正則引擎Hyperscan,,提高Snort的抓包模塊的性能,優(yōu)化檢測(cè)引擎模塊,。優(yōu)化后的Snort在高速網(wǎng)絡(luò)流量下的抓包能力和惡意流量檢測(cè)率都有了很大的提升,。
綜上所述,,解決傳統(tǒng)Suricata IDS在高速工業(yè)網(wǎng)絡(luò)流量下實(shí)時(shí)檢測(cè)性能與檢測(cè)準(zhǔn)確率不足,降低系統(tǒng)消耗的關(guān)鍵在于提升系統(tǒng)的數(shù)據(jù)包捕獲與規(guī)則匹配的性能,。針對(duì)這一問(wèn)題,,本文應(yīng)用DPDK的大頁(yè)內(nèi)存、CPU親和性,、無(wú)鎖環(huán)形隊(duì)列與UIO輪詢(xún)模式等技術(shù),,將傳統(tǒng)Suricata IDS的數(shù)據(jù)包采集處理流程進(jìn)行分解并與DPDK進(jìn)行重組,對(duì)傳統(tǒng)Suricata IDS的數(shù)據(jù)包捕獲模塊進(jìn)行優(yōu)化,,提升系統(tǒng)的數(shù)據(jù)包實(shí)時(shí)捕獲能力,。同時(shí)為解決傳統(tǒng)Suricata IDS在面對(duì)高速網(wǎng)絡(luò)流量時(shí)規(guī)則匹配效率與準(zhǔn)確率低、誤報(bào)率高的問(wèn)題,,應(yīng)用現(xiàn)有的高速規(guī)則匹配算法NEW_WM算法,,優(yōu)化其數(shù)據(jù)包檢測(cè)與日志模塊,在不提升系統(tǒng)消耗的同時(shí)增加系統(tǒng)實(shí)時(shí)規(guī)則匹配效率與準(zhǔn)確率,,降低系統(tǒng)的誤報(bào)率,。
本文詳細(xì)內(nèi)容請(qǐng)下載:http://forexkbc.com/resource/share/2000005269
作者信息:
宗學(xué)軍1,2,劉歡歡1,2,,何戡1,2,,連蓮1,2
(1.沈陽(yáng)化工大學(xué)信息工程學(xué)院,遼寧沈陽(yáng)110142,; 2.遼寧省石油化工行業(yè)信息安全重點(diǎn)實(shí)驗(yàn)室,遼寧沈陽(yáng)110142)
