《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 設計應用 > 高速網(wǎng)絡流量下實時入侵檢測系統(tǒng)研究與應用
高速網(wǎng)絡流量下實時入侵檢測系統(tǒng)研究與應用
網(wǎng)絡安全與數(shù)據(jù)治理 4期
宗學軍,劉歡歡,何戡,連蓮
(1.沈陽化工大學信息工程學院,遼寧沈陽110142; 2.遼寧省石油化工行業(yè)信息安全重點實驗室,遼寧沈陽110142)
摘要: 針對現(xiàn)有實時入侵檢測系統(tǒng)(Intrusion Detection System,IDS)面對超千兆每秒高速工業(yè)網(wǎng)絡流量時實時檢測性能與準確率不足,在傳統(tǒng)Suricata IDS的基礎上,引入數(shù)據(jù)平面開發(fā)套件(Data Plane Development Kit,DPDK)技術提升系統(tǒng)數(shù)據(jù)包捕獲處理能力,降低系統(tǒng)消耗。同時在規(guī)則匹配時采用高效規(guī)則匹配算法NEW_WM(NEW-Wu-Manber)提升系統(tǒng)實時檢測的效率與檢測準確率。系統(tǒng)測試與油氣集輸攻防演練平臺上的應用結果證明,系統(tǒng)面對高速網(wǎng)絡流量時在降低系統(tǒng)消耗的同時,提升了系統(tǒng)的實時檢測效率與檢測準確率。
中圖分類號:TP309
文獻標識碼:A
DOI:10.19358/j.issn.2097-1788.2023.04.010
引用格式:宗學軍,劉歡歡,何戡,等.高速網(wǎng)絡流量下實時入侵檢測系統(tǒng)研究與應用[J].網(wǎng)絡安全與數(shù)據(jù)治理,2023,42(4):56-61,84.
Research and application of real-time intrusion detection system under high-speed network traffic
Zong Xuejun1,2, Liu Huanhuan1,2, He Kan1,2, Lian Lian1,2
(1.School of Information Engineering, Shenyang University of Chemical Technology, Shenyang 110142, China; 2.Liaoning Provincial Key Laboratory of Information Security in Petrochemical Industry, Shenyang 110142, China)
Abstract: To tackle the shortages of realtime detection performance and accuracy of existing intrusion detection systems when confronted with highspeed industrial network traffic exceeding one gigabit per second, this study proposed the integration of DPDK technology into the conventional Suricata IDS. This integration aims to enhance the system’s packet capture processing capabilities and reduce its resource consumption. Furthermore, to improve the efficiency and accuracy of realtime detection it incorporated the NEW_WM algorithm, an efficient rule matching algorithm, for rule matching. The effectiveness of the proposed system was evaluated using the oil and gas gathering and transportation attack and defense drill platform. The system test and application results revealed that the proposed system reduces resource consumption and improves realtime detection efficiency and accuracy when dealing with highspeed network traffic.
Key words : DPDK; Suricata; NEW_WM; real time intrusion detection system; oil and gas gathering and transportation attack and defense drill platform

0    引言

受日益增長的數(shù)據(jù)傳輸需求的驅動,企業(yè)和研究機構正在部署100 Gb/s的工業(yè)網(wǎng)絡,這種高速網(wǎng)絡的普及,為工業(yè)安全防護帶來了重大的技術挑戰(zhàn)。如何在高速網(wǎng)絡流量下保證工業(yè)互聯(lián)網(wǎng)安全是亟須解決的問題。傳統(tǒng)Suricata IDS在面對高速網(wǎng)絡流量時,無法高效及時地處理網(wǎng)絡活動,由于數(shù)據(jù)處理不及時,造成數(shù)據(jù)包丟失,降低系統(tǒng)檢測的準確率,威脅工業(yè)系統(tǒng)安全。

文獻[3]研究了兩種流行的開源IDS:Snort和Suricata,在相同條件下平衡二者間的比較性能基準,證實了限制IDS在高速網(wǎng)絡適用性的關鍵因素為系統(tǒng)資源使用、包處理速度、包丟棄率和檢測精度。

文獻[4]利用單個DPDK工作線程,通過使用CPU親和力,分配專用lcore,從而加速Suricata工作線程的IDS處理。使用了兩個專用于Suricata DPDK的0和1端口對系統(tǒng)進行測試,證實了DPDK能夠提高Suricata IDS的工作性能。

文獻[5]在傳統(tǒng)Snort IDS的基礎上,引入DPDK對系統(tǒng)進行優(yōu)化,驗證了基于DPDK的入侵檢測系統(tǒng)在面對傳輸速率為10 Gb/s的網(wǎng)絡流量時,系統(tǒng)對報文的檢測性能遠遠優(yōu)于傳統(tǒng)Snort入侵檢測系統(tǒng)。

文獻[6]分析了Snort的架構,提出在高速網(wǎng)絡流量下降低系統(tǒng)誤報率的關鍵是提高Snort的數(shù)據(jù)包捕獲能力和檢測引擎模塊的性能。設計并實現(xiàn)了基于DPDK的Snort DAQ模塊,并搭載高性能正則引擎Hyperscan,提高Snort的抓包模塊的性能,優(yōu)化檢測引擎模塊。優(yōu)化后的Snort在高速網(wǎng)絡流量下的抓包能力和惡意流量檢測率都有了很大的提升。

綜上所述,解決傳統(tǒng)Suricata IDS在高速工業(yè)網(wǎng)絡流量下實時檢測性能與檢測準確率不足,降低系統(tǒng)消耗的關鍵在于提升系統(tǒng)的數(shù)據(jù)包捕獲與規(guī)則匹配的性能。針對這一問題,本文應用DPDK的大頁內存、CPU親和性、無鎖環(huán)形隊列與UIO輪詢模式等技術,將傳統(tǒng)Suricata IDS的數(shù)據(jù)包采集處理流程進行分解并與DPDK進行重組,對傳統(tǒng)Suricata IDS的數(shù)據(jù)包捕獲模塊進行優(yōu)化,提升系統(tǒng)的數(shù)據(jù)包實時捕獲能力。同時為解決傳統(tǒng)Suricata IDS在面對高速網(wǎng)絡流量時規(guī)則匹配效率與準確率低、誤報率高的問題,應用現(xiàn)有的高速規(guī)則匹配算法NEW_WM算法,優(yōu)化其數(shù)據(jù)包檢測與日志模塊,在不提升系統(tǒng)消耗的同時增加系統(tǒng)實時規(guī)則匹配效率與準確率,降低系統(tǒng)的誤報率。




本文詳細內容請下載:http://theprogrammingfactory.com/resource/share/2000005269




作者信息:

宗學軍1,2,劉歡歡1,2,何戡1,2,連蓮1,2 
(1.沈陽化工大學信息工程學院,遼寧沈陽110142;  2.遼寧省石油化工行業(yè)信息安全重點實驗室,遼寧沈陽110142)


微信圖片_20210517164139.jpg

此內容為AET網(wǎng)站原創(chuàng),未經(jīng)授權禁止轉載。