《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信与网络 > 设计应用 > 高速网络流量下实时入侵检测系统研究与应用
高速网络流量下实时入侵检测系统研究与应用
网络安全与数据治理 4期
宗学军,刘欢欢,何戡,连莲
(1.沈阳化工大学信息工程学院,辽宁沈阳110142; 2.辽宁省石油化工行业信息安全重点实验室,辽宁沈阳110142)
摘要: 针对现有实时入侵检测系统(Intrusion Detection System,IDS)面对超千兆每秒高速工业网络流量时实时检测性能与准确率不足,在传统Suricata IDS的基础上,引入数据平面开发套件(Data Plane Development Kit,DPDK)技术提升系统数据包捕获处理能力,降低系统消耗。同时在规则匹配时采用高效规则匹配算法NEW_WM(NEW-Wu-Manber)提升系统实时检测的效率与检测准确率。系统测试与油气集输攻防演练平台上的应用结果证明,系统面对高速网络流量时在降低系统消耗的同时,提升了系统的实时检测效率与检测准确率。
中圖分類號:TP309
文獻(xiàn)標(biāo)識碼:A
DOI:10.19358/j.issn.2097-1788.2023.04.010
引用格式:宗學(xué)軍,劉歡歡,何戡,等.高速網(wǎng)絡(luò)流量下實時入侵檢測系統(tǒng)研究與應(yīng)用[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2023,42(4):56-61,84.
Research and application of real-time intrusion detection system under high-speed network traffic
Zong Xuejun1,2, Liu Huanhuan1,2, He Kan1,2, Lian Lian1,2
(1.School of Information Engineering, Shenyang University of Chemical Technology, Shenyang 110142, China; 2.Liaoning Provincial Key Laboratory of Information Security in Petrochemical Industry, Shenyang 110142, China)
Abstract: To tackle the shortages of realtime detection performance and accuracy of existing intrusion detection systems when confronted with highspeed industrial network traffic exceeding one gigabit per second, this study proposed the integration of DPDK technology into the conventional Suricata IDS. This integration aims to enhance the system’s packet capture processing capabilities and reduce its resource consumption. Furthermore, to improve the efficiency and accuracy of realtime detection it incorporated the NEW_WM algorithm, an efficient rule matching algorithm, for rule matching. The effectiveness of the proposed system was evaluated using the oil and gas gathering and transportation attack and defense drill platform. The system test and application results revealed that the proposed system reduces resource consumption and improves realtime detection efficiency and accuracy when dealing with highspeed network traffic.
Key words : DPDK; Suricata; NEW_WM; real time intrusion detection system; oil and gas gathering and transportation attack and defense drill platform

0    引言

受日益增長的數(shù)據(jù)傳輸需求的驅(qū)動,企業(yè)和研究機(jī)構(gòu)正在部署100 Gb/s的工業(yè)網(wǎng)絡(luò),這種高速網(wǎng)絡(luò)的普及,為工業(yè)安全防護(hù)帶來了重大的技術(shù)挑戰(zhàn)。如何在高速網(wǎng)絡(luò)流量下保證工業(yè)互聯(lián)網(wǎng)安全是亟須解決的問題。傳統(tǒng)Suricata IDS在面對高速網(wǎng)絡(luò)流量時,無法高效及時地處理網(wǎng)絡(luò)活動,由于數(shù)據(jù)處理不及時,造成數(shù)據(jù)包丟失,降低系統(tǒng)檢測的準(zhǔn)確率,威脅工業(yè)系統(tǒng)安全。

文獻(xiàn)[3]研究了兩種流行的開源IDS:Snort和Suricata,在相同條件下平衡二者間的比較性能基準(zhǔn),證實了限制IDS在高速網(wǎng)絡(luò)適用性的關(guān)鍵因素為系統(tǒng)資源使用、包處理速度、包丟棄率和檢測精度。

文獻(xiàn)[4]利用單個DPDK工作線程,通過使用CPU親和力,分配專用lcore,從而加速Suricata工作線程的IDS處理。使用了兩個專用于Suricata DPDK的0和1端口對系統(tǒng)進(jìn)行測試,證實了DPDK能夠提高Suricata IDS的工作性能。

文獻(xiàn)[5]在傳統(tǒng)Snort IDS的基礎(chǔ)上,引入DPDK對系統(tǒng)進(jìn)行優(yōu)化,驗證了基于DPDK的入侵檢測系統(tǒng)在面對傳輸速率為10 Gb/s的網(wǎng)絡(luò)流量時,系統(tǒng)對報文的檢測性能遠(yuǎn)遠(yuǎn)優(yōu)于傳統(tǒng)Snort入侵檢測系統(tǒng)。

文獻(xiàn)[6]分析了Snort的架構(gòu),提出在高速網(wǎng)絡(luò)流量下降低系統(tǒng)誤報率的關(guān)鍵是提高Snort的數(shù)據(jù)包捕獲能力和檢測引擎模塊的性能。設(shè)計并實現(xiàn)了基于DPDK的Snort DAQ模塊,并搭載高性能正則引擎Hyperscan,提高Snort的抓包模塊的性能,優(yōu)化檢測引擎模塊。優(yōu)化后的Snort在高速網(wǎng)絡(luò)流量下的抓包能力和惡意流量檢測率都有了很大的提升。

綜上所述,解決傳統(tǒng)Suricata IDS在高速工業(yè)網(wǎng)絡(luò)流量下實時檢測性能與檢測準(zhǔn)確率不足,降低系統(tǒng)消耗的關(guān)鍵在于提升系統(tǒng)的數(shù)據(jù)包捕獲與規(guī)則匹配的性能。針對這一問題,本文應(yīng)用DPDK的大頁內(nèi)存、CPU親和性、無鎖環(huán)形隊列與UIO輪詢模式等技術(shù),將傳統(tǒng)Suricata IDS的數(shù)據(jù)包采集處理流程進(jìn)行分解并與DPDK進(jìn)行重組,對傳統(tǒng)Suricata IDS的數(shù)據(jù)包捕獲模塊進(jìn)行優(yōu)化,提升系統(tǒng)的數(shù)據(jù)包實時捕獲能力。同時為解決傳統(tǒng)Suricata IDS在面對高速網(wǎng)絡(luò)流量時規(guī)則匹配效率與準(zhǔn)確率低、誤報率高的問題,應(yīng)用現(xiàn)有的高速規(guī)則匹配算法NEW_WM算法,優(yōu)化其數(shù)據(jù)包檢測與日志模塊,在不提升系統(tǒng)消耗的同時增加系統(tǒng)實時規(guī)則匹配效率與準(zhǔn)確率,降低系統(tǒng)的誤報率。




本文詳細(xì)內(nèi)容請下載:http://ihrv.cn/resource/share/2000005269




作者信息:

宗學(xué)軍1,2,劉歡歡1,2,何戡1,2,連蓮1,2 
(1.沈陽化工大學(xué)信息工程學(xué)院,遼寧沈陽110142;  2.遼寧省石油化工行業(yè)信息安全重點實驗室,遼寧沈陽110142)


微信圖片_20210517164139.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。