Дослідження впливу існуючих алгоритмів оптимізації обробки правил на швидкодію системи виявлення мережевих вторгнень Snort 3
Loading...
Date
2024
Journal Title
Journal ISSN
Volume Title
Publisher
Український державний університет науки і технологій, ННІ ≪Інститут промислових та бізнес технологій≫, ІВК ≪Системні технології≫, Дніпро
Abstract
UKR: Системи виявлення вторгнень у мережу (NIDS) є ключовим компонентом кібербезпеки, працюючи на попередженні, виявленні та реагуванні на потенційні загрози в мережі. Вони аналізують мережевий трафік для виявлення аномальних або зловмисних дій, таких як спроби несанкціонованого доступу, віруси, експлуатація програмного забезпечення та інше. Для високої ефективності системи виявлення вторгнень мають виконувати інспекцію пакетів на швидкості кабелю або близько до неї. Швидкість роботи систем виявлення вторгнень має вирішальне значення, оскільки вона дозволяє вчасно виявити потенційні кіберзагрози, забезпечуючи безперервну роботу бізнес-процесів. Snort 3 є розвитком однієї з найпопулярніших систем виявлення вторгнень - Snort, і є відкритою багатопотоковою системою виявлення вторгнень, яка працює в операційних системах подібних до UNIX. У цьому дослідженні розглянута архітектура системи Snort 3, а також основні алгоритми оптимізації обробки правил та їх вплив на швидкодію системи в різних сценаріях. Швидкодія системи вимірювалася за часом обробки запису мережевого трафіку, який містить як звичайні робочі пакети, так і шкідливі, на двох різних конфігураціях.
ENG: Network intrusion detection systems (NIDS) are a key component of cybersecurity, working to warn, detect, and respond to potential network threats. They analyze network traffic to detect anomalous or malicious activity such as breach attempts, viruses, use of software exploits, and more. Intrusion detection systems should perform packet inspection at or near cable speed to be highly effective. The speed of intrusion detection systems is critical because it allows timely mitigation of potential cyber threats, ensuring uninterrupted operation of business processes. One of the most common and recognized tools in the field of NIDS is the intrusion detection system Snort, which has already proven itself as a powerful means of protecting networks. Snort 3 is an updated version of this system, and has multithreading, increased speed compared to Snort, greater modularity and other advantages [2], so we will concentrate on it in the context of this article. The task of optimizing the operation of NIDS is very acute. Due to the variability and multifunctionality of existing systems, there is a wide field for analyzing and improving the efficiency of NIDS both for specific tasks and for tasks of a broad profile. So many works look at the performance of Snort 3 compared to other intrusion detection systems [3] in different types of infrastructures, which will help the user to find the best option for himself. The purpose of the study is to consider the three main rule processing optimization algorithms used in the Snort 3 system, namely Fast Pattern, port-based and protocol-based clustering. For them, the basic implementation, modifications of the source code, which are necessary to disable the algorithm, as well as the impact of the algorithm on the overall speed of the system, will be described. Some results have shown a slight performance improvement when the optimization algorithms are disabled, this is on configurations with a small number of rules. In most cases, a clear drop in performance of 10% or more is noticeable. The biggest deterioration in performance occurs when Fast Pattern operations are disabled, without this algorithm the deterioration can reach 20 times.
ENG: Network intrusion detection systems (NIDS) are a key component of cybersecurity, working to warn, detect, and respond to potential network threats. They analyze network traffic to detect anomalous or malicious activity such as breach attempts, viruses, use of software exploits, and more. Intrusion detection systems should perform packet inspection at or near cable speed to be highly effective. The speed of intrusion detection systems is critical because it allows timely mitigation of potential cyber threats, ensuring uninterrupted operation of business processes. One of the most common and recognized tools in the field of NIDS is the intrusion detection system Snort, which has already proven itself as a powerful means of protecting networks. Snort 3 is an updated version of this system, and has multithreading, increased speed compared to Snort, greater modularity and other advantages [2], so we will concentrate on it in the context of this article. The task of optimizing the operation of NIDS is very acute. Due to the variability and multifunctionality of existing systems, there is a wide field for analyzing and improving the efficiency of NIDS both for specific tasks and for tasks of a broad profile. So many works look at the performance of Snort 3 compared to other intrusion detection systems [3] in different types of infrastructures, which will help the user to find the best option for himself. The purpose of the study is to consider the three main rule processing optimization algorithms used in the Snort 3 system, namely Fast Pattern, port-based and protocol-based clustering. For them, the basic implementation, modifications of the source code, which are necessary to disable the algorithm, as well as the impact of the algorithm on the overall speed of the system, will be described. Some results have shown a slight performance improvement when the optimization algorithms are disabled, this is on configurations with a small number of rules. In most cases, a clear drop in performance of 10% or more is noticeable. The biggest deterioration in performance occurs when Fast Pattern operations are disabled, without this algorithm the deterioration can reach 20 times.
Description
А. Журба: ORCID 0000-0002-9983-3971
Keywords
Snort 3, NIDS, швидкодія, Fast Pattern, виявлення атак, правило, сигнатура, оптимізація, алгоритм, протокол, performance, attack detection, rule, signature, optimization, algorithm, protocol, КІТС
Citation
Горбатов В. С., Журба А. О. Дослідження впливу існуючих алгоритмів оптимізації обробки правил на швидкодію системи виявлення мережевих вторгнень Snort 3. Системні технології. Дніпро, 2024. Т. 3, № 152. С. 30–43. DOI: 10.34185/1562-9945-3-152-2024-04.