آزمایش و مقایسه سامانه تشخیص نفوذ suricata در تعامل با سامانه های انتقال سریع بسته

سامانه های تشخیص نفوذی که بر روی سیستم عامل همه منظوره نصب میشوند، با تکیه بر مجموعه ای از زیربرنامه های کتابخانه ای (که به آن سامانه انتقال بسته میان برنامه کاربردی و سختافزار شبکه میگویند) عملیات دریافت بسته را انجام میدهند. هر یک از این سامانه ها، با توجه به سرویسهای مختلف سیستم عامل سرعت و کارایی متفاوتی دارند. تبادل بسته های دریافتی در بعضی سامانه های انتقال بسته، نیاز به حافظه بسیار زیاد، به کارگیری بخش عمدهای از توان پردازنده و اشغال زیاد گذرگاه های رایانه دارد. درنتیجه، سامانه تشخیص نفوذ در پهنای باند بالا با کمبود منابع و اتلاف بسته های دریافتی مواجه میشود. تغییر الگوریتمهای محاسباتی و بهبود سامانه تشخیص نفوذ منجر به کاهش مصرف حافظه و توان پردازشی (منابع) موردنیاز میشود، ولی با افزایش پهنای باند، افزایش پیچیدگی روزافزون حملات شبکه و پردازشهای پیچیده و سنگین در سامانه تشخیص نفوذ، میزان نیاز سامانه تشخیص نفوذ به منابع مختلف افزایش خواهد یافت. لذا در آزمایشهای انجام شده، با استفاده حداکثر از منابع پردازنده، مقدار حافظه و عدم مطابقت هر بسته با تمامی قوانین، سامانه تشخیص نفوذ در بدترین شرایط آزمایش شده است تا به شبکه واقعی با پهنای باند بالا شبیه باشد.انواع سامانه های انتقال سریع بسته در مقالات علمی مختلف مقایسه و آزمایش شدهاند، ولی سامانه انتقال بسته در همجواری با یک سامانه سنگین پردازش بسته (مانند سامانه های تشخیص نفوذ) آزمایش نشده است. در این مقاله، یک سامانه تشخیص نفوذ انتخاب شده است که در تعامل با تعدادی از سامانه های انتقال سریع بسته (که به ادعای پژوهشگران در نوع خود سریعترین بوده اند) برای تعیین بالاترین کارایی، آزمایش شدهاند. سامانه تشخیص نفوذ برای کار با هر یک از (سه نمونه) سامانه های انتقال بسته، بهصورت مجزا تغییر داده شده است. نتایج آزمایشها، افزایش میانگین سرعت پردازش و کاهش تعداد بسته های پردازش نشده (در سامانه انتقال سریع بسته و سامانه تشخیص نفوذ) را نشان میدهد و در یکی از نمونه های سامانه تشخیص نفوذ پیاده سازی شده علاوه بر بهبود سرعت انتقال بسته، منابع کمتری صرف انتقال بسته ها شده که این امر منابع پردازشی بیشتری، برای سامانه تشخیص نفوذ فراهم میآورد.