Optimalizace IDS/IPS systému Suricata

Optimization of the Suricata IDS/IPS

Thumbnail
View/Open
Author
Advisor
Korček, Pavol
Referee
Fukač, Tomáš
Grade
A
Altmetrics
Metadata
Show full item record
Abstract
V dnešnom svete zrýchľujúcej sa sieťovej prevádzky je potrebné držať krok v jej monitorovaní . Dostatočný prehľad o dianí v sieti dokáže zabrániť rozličným útokom na ciele nachádzajúce sa v nej . S tým nám pomáhajú systémy IDS, ktoré upozorňujú na udalosti nájdené v analyzovanej prevádzke . Pre túto prácu bol vybraný systém Suricata . Cieľom práce je vyladiť nastavenia systému Suricata s rozhraním AF_PACKET pre optimálnu výkonnosť a následne navrhnúť a implementovať optimalizáciu Suricaty . Výsledky z meraní AF_PACKET majú slúžiť ako základ pre porovnanie s navrhnutým vylepšením . Navrhovaná optimalizácia implementuje nové rozhranie založené na projekte Data Plane Development Kit ( DPDK ). DPDK je schopné akcelerovať príjem paketov a preto sa predpokladá , že zvýši výkon Suricaty . Zhodnotenie výsledkov a porovnanie rozhraní AF_PACKET a DPDK je možné nájsť na konci diplomovej práce .
 
The recent rapid increase of network traffic bandwidth has sprung new challenges in securing the network. It is vital to keep monitoring the traffic to securely identify threats in the network. Systems like IDS (intrusion detection systems) alert us about events in the analyzed traffic. Suricata , as one of the available IDS, was chosen for this thesis. The ultimate goal of the thesis is to tune settings of AF_PACKET capture interface to reach the best performance possible and then suggest and implement an optimization for Suricata . Results of the AF_PACKET should be used as a baseline for comparison with future improvements. Optimization is based on implementing a new capture interface to Suricata that is based on Data Plane Development Kit ( DPDK ). DPDK helps to accelerate packet capture and this implies that it might improve the performance of Suricata . Results that compare AF_PACKET and DPDK performance are evaluated at the end of this master thesis.
 
Keywords
Suricata, XDP, Hyperscan, Flow shunting, Bypass, AF_PACKET, PF_RING, DPDK, PCAP, Monitorovanie siete, IDS, IPS, Detekce síťového provozu, Optimalizace Suricaty, DPDK runmód, Suricata, XDP, Hyperscan, Flow shunting, Bypass, AF_PACKET, PF_RING, DPDK, PCAP, Network monitoring, IDS, IPS, Network traffic detection, Suricata optimization, DPDK runmode
Language
angličtina (English)
Study brunch
Vývoj aplikací
Composition of Committee
prof. Dr. Ing. Pavel Zemčík (předseda) doc. RNDr. Jitka Kreslíková, CSc. (místopředseda) Ing. Vladimír Bartík, Ph.D. (člen) doc. Mgr. Lukáš Holík, Ph.D. (člen) Ing. Filip Orság, Ph.D. (člen) Ing. Libor Polčák, Ph.D. (člen)
Date of defence
2021-06-23
Process of defence
Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm A. Otázky u obhajoby: V grafu na obrázku 3.12 je drop rate pro některé testy od určité rychlosti konstantní, přesto že je očekáván neustálý nárůst (např. varianty se dvěma replikacemi bez shuntingu od rychlosti cca 16 Gb/s). Čím je to způsobeno?
Result of the defence
práce byla úspěšně obhájena
Persistent identifier
http://hdl.handle.net/11012/200127
Source
ŠIŠMIŠ, L. Optimalizace IDS/IPS systému Suricata [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2021.
Collections
Citace PRO