آزمایش و مقایسه سامانه تشخیص نفوذ suricata در تعامل با سامانه‌های انتقال سریع بسته

سامانه‌های تشخیص نفوذی که بر روی سیستم‌عامل همه‌منظوره نصب می‌شوند، با تکیه‌بر مجموعه‌ای از زیربرنامه‌های کتابخانه‌ای (که به آن سامانه انتقال بسته میان برنامه کاربردی و سخت‌افزار شبکه می‌گویند) عملیات دریافت بسته را انجام می‌دهند. هر یک از این سامانه‌ها، با توجه به سرویس‌های مختلف سیستم‌عامل سرعت و کارایی متفاوتی دارند. تبادل بسته‌های دریافتی در بعضی سامانه‌های انتقال بسته، نیاز به حافظه بسیار زیاد، به‌کارگیری بخش عمده‌ای از توان پردازنده و اشغال زیاد گذرگاه‌های رایانه دارد. درنتیجه، سامانه تشخیص نفوذ در پهنای باند بالا با کمبود منابع و اتلاف بسته‌های دریافتی مواجه می‌شود. تغییر الگوریتم‌های محاسباتی و بهبود سامانه تشخیص نفوذ منجر به کاهش مصرف حافظه و توان پردازشی (منابع) موردنیاز می‌شود، ولی با افزایش پهنای باند، افزایش پیچیدگی روزافزون حملات شبکه و پردازش‌های پیچیده و سنگین در سامانه تشخیص نفوذ، میزان نیاز سامانه تشخیص نفوذ به منابع مختلف افزایش خواهد یافت. لذا در آزمایش‌های انجام شده، با استفاده حداکثر از منابع پردازنده، مقدار حافظه و عدم مطابقت هر بسته با تمامی قوانین، سامانه تشخیص نفوذ در بدترین شرایط آزمایش شده است تا به شبکه‌ واقعی با پهنای باند بالا شبیه باشد.انواع سامانه‌های انتقال سریع بسته در مقالات علمی مختلف مقایسه و آزمایش شده‌اند، ولی سامانه انتقال بسته در هم‌جواری با یک سامانه سنگین پردازش بسته (مانند سامانه‌های تشخیص نفوذ) آزمایش نشده است. در این مقاله، یک سامانه‌ تشخیص نفوذ انتخاب شده است که در تعامل با تعدادی از سامانه‌های انتقال سریع بسته (که به ادعای پژوهشگران در نوع خود سریع‌ترین بوده‌اند) برای تعیین بالاترین کارایی، آزمایش شده‌اند. سامانه تشخیص نفوذ برای کار با هر یک از (سه نمونه) سامانه‌های انتقال بسته، به‌صورت مجزا تغییر داده شده است. نتایج آزمایش‌ها، افزایش میانگین سرعت پردازش و کاهش تعداد بسته‌های پردازش‌نشده (در سامانه انتقال سریع بسته و سامانه تشخیص نفوذ) را نشان می‌دهد و در یکی از نمونه‌های سامانه تشخیص نفوذ پیاده‌سازی شده علاوه بر بهبود سرعت انتقال بسته، منابع کمتری صرف انتقال بسته‌ها شده که این امر منابع پردازشی بیشتری، برای سامانه تشخیص نفوذ فراهم می‌آورد.