بهبود و موازی‌سازی سازوکار تشخیص نفوذ شبکه snort با استفاده از واحد پردازش گرافیکی

سامانه تشخیص نفوذ شبکه به‌منظور برقراری امنیت کامل در شبکه‌های رایانه‌ای به‌طور گسترده مورداستفاده قرار می‌گیرد. سامانه تشخیص نفوذ شبکه مبتنی بر امضا نسبت به نوع مبتنی بر ناهنجاری به‌دلیل نرخ هشدار اشتباه پایین‌تر، از عمومیت بالاتری برخوردار است. فرآیند تطبیق الگو در چنین دستگاهی نیازمند پردازش محاسباتی بالا است. از سوی دیگر توسعه سریع پهنای باند شبکه و سرعت‌های بالای پیوند که خود موجب از‌دست‌رفتن تعداد زیادی از بسته‌های ورودی در سامانه تشخیص نفوذ شبکه می‌‌شود، به‌عنوان عوامل کلیدی محدودکننده کارایی این نوع سامانه، آن را با چالش‌هایی روبه‌رو کرده است. snort یک سامانه تشخیص نفوذ شبکه مبتنی بر امضا بوده که به‌دلیل متن‌باز، رایگان و سبک‌بودن بسیار پرکاربرد است. در این مقاله جهت بهبود کارایی سامانه تشخیص نفوذ شبکه snort، از ایده کلیدی فیلتر‌کردن بسته‌های غیرضروری شبکه بر اساس فهرست سیاه نشانی‌‌ها، به‌عنوان یک سازوکار پیش‌پردازش استفاده‌ شده است. یکی از چالش‌های مهم این سازوکار کاهش سرعت فیلتر‌کردن بسته‌ها، با افزایش حجم ترافیک شبکه است؛ بنابراین به‌عنوان بهبود دوم، جهت تسریع عملکرد این سامانه ارائه‌شده، نسخه موازی آن را روی بستر رمز جهت اجرا روی واحد پردازش گرافیکی ارائه کردیم. الگوریتم پیشنهادی را بر روی مجموعه‌داده darpa در یک پردازنده گرافیکی آزمایش شد. نتایج ارزیابی نشان می‌دهد که روش پیشنهادی با تسریعی بیش از سی برابر نسبت به نسخه متوالی، باعث بهبود قابل‌توجهی در عملکرد فیلتر بسته مبتنی بر فهرست سیاه می‌‌شود. همچنین، بهره‌وری روش پیشنهادی در استفاده از منابع پردازنده گرافیکی برای اجرای موازی تشخیص نفوذ نسبت به بهترین روش موجود حدود 81 درصد بیشتر است.

Improvement and parallelization of Snort network intrusion detection mechanism using graphics processing unit

Nowadays, Network Intrusion Detection Systems (NIDS) are widely used to provide full security on computer networks. IDS are categorized into two primary types, including signaturebased systems and anomalybased systems. The former is more commonly used than the latter due to its lower error rate. The core of a signaturebased IDS is the pattern matching. This process is inherently a computationally intensive task, and in the worst case, about 80% of the total processing time of an IDS is spent on it. On the other hand, the rapid development of network bandwidth and high link speeds, which in turn leads to a loss of a large number of inbound packets in the network intrusion detection system, has posed challenges as crucial factors limiting the performance of this type of system. Snort is a signaturebased NIDS that is highly interested due to being opensource, free, and easy to use. To resolve the challenges mentioned above, we propose an enhanced version of Snort, which is enriched by exploiting two key ideas. The first idea is the filtering of unnecessary packets based on a blacklist of source IP addresses. This filter is used as a preprocessing mechanism to improve the efficiency of the Snort. However, the packet filtering speed is decreased by increasing the network traffic volumes. Therefore, to accelerate the function of this mechanism, we have proposed a second crucial idea. The dataparallel nature of snort functions lets us parallelize two main computationally intensive functions of it on the graphical processing unit. These functions include the lookup on the blacklist filter in the preprocessing stage and the signature matching of Snort, which completes the intrusion detection process. For parallelizing the preprocessing step of Snort, first, a blacklist is provided from the DARPA dataset. Next, this blacklist is transferred together with the Snort ruleset to the global memory of the GPU. Finally, each thread concurrently matches each packet against the blacklist filters. For parallelizing the signature matching step of Snort, the wellknown pattern matching algorithm of BoyerMoore is parallelized similarly.Evaluation results show that the proposed method, by up to 30 times faster than the sequential version, significantly improves the blacklistbased filtering performance. Also, the efficiency of the proposed method in using GPU resources for parallel intrusion detection is 81 percent higher than the best stateoftheart method.