การออพติไมซ์พารามิเตอร์ระบบป้องกันการบุกรุก Suricata สำหรับเครือข่ายความเร็วสูงแบบมัลติกิกะบิต

Main Article Content

วราฤทธิ์ หงษ์กำเนิด
พีรวัฒน์ วัฒนพงศ์
สุรศักดิ์ สงวนพงษ์

บทคัดย่อ

บทความนี้นำเสนอการศึกษาและปรับตั้งพารามิเตอร์ของ Suricata ซึ่งเป็นระบบป้องกันการบุกรุก (Intrusion Prevention Systsm: IPS) ที่ใช้แพร่หลาย   การวางแผนใช้งานไอพีเอสอย่างเช่น Suricata จำเป็นต้องคำนึงถึงการทำงานแบบหลายเธรดสำหรับหน่วยประมวผลแบบหลายแกน (Multi-Thread/Multi-Cores) ภายใต้เครื่องแม่ข่ายแบบ COTS (Commodity-Of -The-Shelf)เพื่อให้ได้สมรรถนะการทำงานในเครือข่ายความเร็วสูงระดับหลายกิกะบิต  เช่นในงานวิจัยนี้เน้นกรณีเครือข่ายระดับ 10 กิกะบิต งานวิจัยชิ้นนี้ทดลองและศึกษาเพื่อหาตัวแปรที่เหมาะสมสำหรับปรับแต่ง Suricata และเปรียบเทียบวิธีการรับแพ็กเก็ตจากอินเทอร์เฟสเครือข่าย 2 วิธีหลักคือ AF_PACKET และ NFQ โดยให้ทำงานแบบกระจายตัวในหลายแกนประมวลผลพร้อมกัน​ รวมทั้งศึกษาการจัดวางเธรดการประมวลผลเพื่อหารูปแบบที่ส่งผลให้ได้สมรรถนะการทำงานสูง ผลการศึกษาพบว่าวิธี AF_PACKET ให้สมรรถนะที่สูงกว่า NFQ นอกจากนี้ยังพบว่าควรจัดวางเธรดที่ใช้ทำงานของ Suricata โดยเลี่ยงการข้ามหน่วยประมวลผลเพื่อให้ได้สมรรถนะที่ดีกว่า

Article Details

บท
บทความวิจัย

References

M. Chiang, S. Tu, W. Su and C. Lin, "Enhancing Inter-Node Process Migration for Load Balancing on Linux-Based NUMA Multicore Systems," In 2018 IEEE 42nd Annual Computer Software and Applications Conference (COMPSAC), pp. 394-399, 2018.

D. Jonathan and B. Burns, “A Performance Analysis of Snort and Suricata Network Intrusion Detection and Prevention Engines,” In the 5th International Conference on Digital Society, pp. 187-192, 2011.

Q. Hu,S. Yu and M. R. Asghar, “Analysing performance issues of open-source intrusion detection systems in high-speed networks,” In J. of Information Security and Applications, vol.51, 2020.

B. Brumen and J. Legvart, "Performance analysis of two open source intrusion detection systems," In the 39th International Convention on Information and Communication Technology, pp. 1387-1392, 2016.

D. Fadhilah and M. I. Marzuki, "Performance Analysis of IDS Snort and IDS Suricata with Many-Core Processor in Virtual Machines Against Dos/DDoS Attacks," In the 2nd International Conference on Broadband Communications, pp. 157-162, 2020.

K. Jakimoski and N. V Singhai, “Improvement of Hardware Firewall’s Data Rates by Optimizing Suricata Performances,” In the 27th Telecommunica-tions forum TELFOR 2019, pp. 1-4, 2019.

W. Messer, Performance Testing Suricata: The Effect of Configuration Variables on Offline Suricata Performance, 2011. Available: https://redmine.openinfosecfoundation.org/attachments/download/706/Messer-Practicum-Final-v4.pdf [Accessed on: 13 May 2020].

A. K. Saxena, S. Sinha and P. Shukla, "General study of intrusion detection system and survey of agent-based intrusion detection system," In International Conference on Computing, pp. 471-421, 2017.

A. Garg and P. Maheshwari, "Performance analysis of Snort-based Intrusion Detection System," In the 3rd International Conference on Advanced Computing and Communication Systems, pp. 1-5, 2016.

E. Leblond and G. Longo. “Suricata IDPS and its interaction with Linux kernel,” In netdev 1.1, pp. 1-4, 2016.

Proofpoint, Proofpoint Emerging Threats Rules, 2021. Available: https://rules.emergingthreats.net/open/suricata-5.0/rules/ [Accessed on: 14 January 2021].