文献标识码:A
DOI:10.19358/j.issn.2097-1788.2023.04.010
引用格式:宗学军,刘欢欢,何戡,等.高速网络流量下实时入侵检测系统研究与应用[J].网络安全与数据治理,2023,42(4):56-61,84.
0 引言
受日益增长的数据传输需求的驱动,企业和研究机构正在部署100 Gb/s的工业网络,这种高速网络的普及,为工业安全防护带来了重大的技术挑战。如何在高速网络流量下保证工业互联网安全是亟须解决的问题。传统SuricataIDS在面对高速网络流量时,无法高效及时地处理网络活动,由于数据处理不及时,造成数据包丢失,降低系统检测的准确率,威胁工业系统安全。
文献[3]研究了两种流行的开源IDS:Snort和Suricata,在相同条件下平衡二者间的比较性能基准,证实了限制IDS在高速网络适用性的关键因素为系统资源使用、包处理速度、包丢弃率和检测精度。
文献[4]利用单个DPDK工作线程,通过使用CPU亲和力,分配专用lcore,从而加速Suricata工作线程的IDS处理。使用了两个专用于Suricata DPDK的0和1端口对系统进行测试,证实了DPDK能够提高Suricata IDS的工作性能。
文献[5]在传统Snort IDS的基础上,引入DPDK对系统进行优化,验证了基于DPDK的入侵检测系统在面对传输速率为10 Gb/s的网络流量时,系统对报文的检测性能远远优于传统Snort入侵检测系统。
文献[6]分析了Snort的架构,提出在高速网络流量下降低系统误报率的关键是提高Snort的数据包捕获能力和检测引擎模块的性能。设计并实现了基于DPDK的Snort DAQ模块,并搭载高性能正则引擎Hyperscan,提高Snort的抓包模块的性能,优化检测引擎模块。优化后的Snort在高速网络流量下的抓包能力和恶意流量检测率都有了很大的提升。
综上所述,解决传统Suricata IDS在高速工业网络流量下实时检测性能与检测准确率不足,降低系统消耗的关键在于提升系统的数据包捕获与规则匹配的性能。针对这一问题,本文应用DPDK的大页内存、CPU亲和性、无锁环形队列与UIO轮询模式等技术,将传统Suricata IDS的数据包采集处理流程进行分解并与DPDK进行重组,对传统Suricata IDS的数据包捕获模块进行优化,提升系统的数据包实时捕获能力。同时为解决传统Suricata IDS在面对高速网络流量时规则匹配效率与准确率低、误报率高的问题,应用现有的高速规则匹配算法NEW_WM算法,优化其数据包检测与日志模块,在不提升系统消耗的同时增加系统实时规则匹配效率与准确率,降低系统的误报率。
本文详细内容请下载:https://www.chinaaet.com/resource/share/2000005269
作者信息:
宗学军1,2,刘欢欢1,2,何戡1,2,连莲1,2
(1.沈阳化工大学信息工程学院,辽宁沈阳110142; 2.辽宁省石油化工行业信息安全重点实验室,辽宁沈阳110142)
