ДОСЛІДЖЕННЯ ВПЛИВУ ІСНУЮЧИХ АЛГОРИТМІВ ОПТИМІЗАЦІЇ ОБРОБКИ ПРАВИЛ НА ШВИДКОДІЮ СИСТЕМИ ВИЯВЛЕННЯ МЕРЕЖЕВИХ ВТОРГНЕНЬ SNORT 3

Автор(и)

  • Gorbatov V.S.
  • Zhurba A.O.

DOI:

https://doi.org/10.34185/1562-9945-3-152-2024-04

Ключові слова:

Snort 3, NIDS, швидкодія, Fast Pattern, Виявлення атак, Правило, Сигнатура, Оптимізація, Алгоритм, Протокол.

Анотація

Системи виявлення вторгнень у мережу (NIDS) є ключовим компонентом кібербезпеки, працюючи на попередженні, виявленні та реагуванні на потенційні загрози в мережі. Вони аналізують мережевий трафік для виявлення аномальних або зловмисних дій, таких як спроби несанкціонованого доступу, віруси, експлуатація програмного забез-печення та інше. Для високої ефективності системи виявлення вторгнень мають виконувати інспекцію пакетів на швидкості кабелю або близько до неї. Швидкість роботи систем виявлення вторгнень має вирішальне значення, оскільки вона дозволяє вчасно виявити потенційні кіберзагрози, забезпечуючи безперервну роботу бізнес-процесів. Snort 3 є розвитком однієї з найпопулярніших систем виявлення вторгнень - Snort, і є відкритою багатопотоковою системою виявлення вторгнень, яка працює в операційних системах подібних до UNIX. У цьому дослідженні розглянута архітектура системи Snort 3, а також основні алго-ритми оптимізації обробки правил та їх вплив на швидкодію системи в різних сценарі-ях. Швидкодія системи вимірювалася за часом обробки запису мережевого трафіку, який містить як звичайні робочі пакети, так і шкідливі, на двох різних конфігураціях.

Посилання

Martin Roesch, “Snort: Lightweight intrusion detection for networks”, Lisa 99, vol. 1, 229–238, 1999.

Comparing Snort 2 and Snort 3 on Firepower Threat Defense – Cisco. URL: https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/217617-comparing-snort-2-and-snort-3-on-firepow.html.

C. Thorarensen, “A Performance Analysis of Intrusion Detection with Snort and Security Information Management”, Independent thesis Advanced level, Linköping University-Department of Computer and Information Science, 2021.

Granberg, N.: "Evaluating the effectiveness of free rule sets for Snort". Independent thesis Advanced level, Linköping University-Department of Computer and Information Science, 2022.

N. Khamphakdee, N. Benjamas and S. Saiyod, “Improving intrusion detection system based on snort rules for network probe attacks detection with association rules technique of data mining”, Journal of ICTResearch & Applications, vol. 8, no. 3, pp. 11–21, 2015.

Salah, K.; Kahtani, A., “Improving Snort performance under Linux”, IET Communications, vol. 3, no. 12, p. 1883-1895, 2009.

H. M. Elshafie, T. M. Mahmoud, A. A. Ali, "Improving the Performance of the Snort Intrusion Detection Using Clonal Selection", 2019 International Conference on Innovative Trends in Computer Engineering (ITCE), Aswan, Egypt, 2019, pp. 104-110, 2019.

P. Singh, S. Behal and K. Kumar, "Performance enhancement of a Malware Detection System using score based prioritization of snort rules", 2015 International Conference on Green Computing and Internet of Things (ICGCIoT), Greater Noida, India, 2015, pp. 1150-1155, 2015.

Snort 3 User Manual.

URL: https://usermanual.wiki/Document/snortmanual.760997111/view

Snort++ Developers Guide.

URL: https://www.snort.org/downloads/snortplus/snort_devel.html#_detection.

Gorbatov V. S., Zhurba A. O. The method of pre-filtering signatures to speed up the search for attacks by the network intrusion detection system. Modern informa-tion and communication technologies in transport, industry and education: materi-als of the international science conference, Dnipro, December 13–14. 2023. Dnipro, 2023. P. 136–137.

Munshaw J. Soft Release: lightSPD, the new rules package for Snort 3. Snort Blog. URL: https://blog.snort.org/2020/12/soft-release-lightspd-new-rules-package.html.

C. Park, M. Han, H. Lee, M. Cho, S. W. Kim, “Performance Comparison between LLVM and GCC Compilers for the AE32000 Embedded Processor,” IEIE Transactions on Smart Processing and Computing, vol. 3, no. 2. The Institute of Electronics Engineers of Korea, 96–102, 2014.

2000 DARPA Intrusion Detection Scenario Specific Datasets | MIT Lincoln Labo-ratory. URL: https://www.ll.mit.edu/r-d/datasets/2000-darpa-intrusion-detection-scenario-specific-datasets

2012 MACCDC – MACCDC. URL: https://maccdc.org/maccdc-2012/

IDS 2017 | Datasets | Research | Canadian Institute for Cybersecurity | UNB. URL: https://www.unb.ca/cic/datasets/ids-2017.html

Завантаження

Опубліковано

2024-04-17

Номер

Том 3 № 152 (2024): Системні технології

Розділ

Статьи

Ліцензія

Авторське право (c) 2024 Системні технології

Creative Commons License

Ця робота ліцензується відповідно до ліцензії Creative Commons Attribution 4.0 International License.