Distributed Data Parallel Thchniques For Content-Matching Intrusion Detection Systems

1. Distributed Data Parallel Thchniques For Content-Matching Intrusion Detection Systems Christopher V. Kopek Errin W. Fulp Patrick S. Wheeler

2. Outline 前言 使用SNORT做網路入侵偵測 平行簽章比對技術 新的資料平分平行簽章比對方法 實驗與結果 結論

3. 前言 • 何謂Intrusion Detection Systems(IDS) 。 • 常見的IDS如Linux上的Snort。 • IDS嚴重的缺點－封包檢查耗時太久。 • 應用於IDS的字串搜尋演算法： • Aho-Corasick • Boyer-Moore • Wu-Manber

4. 前言 • 本研究使用一個新的平行方法，稱為Divided Data Parallel(DDP) 。

5. 取得 封包 預處理 內容 正規化 簽章 比對 警告 狀態 資訊 使用SNORT做網路入侵偵測 • Snort是一個開放軟體。 • Snort的處理步驟可分為五大部分。 • Snort的處理包含三的單元： • action • primary match • rule options

6. packet packet 切割 複製 packet fragment0 packet packet fragment1 packet packet fragment2 packet packet fragment3 packet packet fragment4 packet processor0 signature0 processor0 signature0 processor1 signature0 processor1 signature1 processor2 signature0 processor2 signature2 processor3 signature0 processor3 signature3 processor4 signature4 processor4 signature0 平行簽章比對技術 • 快速的搜尋演算法已不足夠應付未來的發展趨勢。 • 將平行的觀念加入IDS。 • 常見的平行IDS有兩種形式： • 功能平行 • 資料平行

7. packet divider packet3 match bit packet2 match bit packet2 fragment0 packet2 fragment1 packet3 fragment0 packet1 match bit packet1 fragment0 packet1 fragment1 packet1 fragment2 packet0 match bit packet0 fragment0 packet0 fragment1 packet0 fragment2 processor0 processor1 processor2 新的資料平分平行簽章比對方法 • 所提出的方法使用了overlap與match bit。 • 封包的切割方法不須依照以往的平均分配。 • 可達到類似管線排程的功效。

8. 實驗與結果 • 實驗環境： • 八核心 • 分享記憶體 • Linux作業系統 • Snort版本2.6.0 • 採用344條規則 • 最長的樣本長度為80Bytes • 封包的取得為國外某主要的研究大學三天的封包量。

9. 實驗與結果 • 比較無overlap、有overlap與本文所提出的方法。

10. 實驗與結果 • 比較各演算法在DDP與DP之間的差異。

11. 結論 • 本文所提出的方法，確實改善了IDS在搜尋比對時的耗時。 • 由實驗的結果可以看出，本文提出的方法可使效能提升至1.25n倍(n為processor的個數)。先前的方法卻只能提升0.75n倍。

12. Thank You !