این سایت در حال حاضر پشتیبانی نمی شود و امکان دارد داده های نشریات بروز نباشند
پردازش علائم و داده ها، جلد ۱۸، شماره ۱، صفحات ۱۵۰-۱۳۵
عنوان فارسی بهبود و موازی‌سازی سازوکار تشخیص نفوذ شبکه Snort با استفاده از واحد پردازش گرافیکی
چکیده فارسی مقاله سامانه تشخیص نفوذ شبکه به‌منظور برقراری امنیت کامل در شبکه‌های رایانه‌ای به‌طور گسترده مورداستفاده قرار می‌گیرد. سامانه تشخیص نفوذ شبکه مبتنی بر امضا نسبت به نوع مبتنی بر ناهنجاری به‌دلیل نرخ هشدار اشتباه پایین‌تر، از عمومیت بالاتری برخوردار است. فرآیند تطبیق الگو در چنین دستگاهی نیازمند پردازش محاسباتی بالا است. از سوی دیگر توسعه سریع پهنای باند شبکه و سرعت‌های بالای پیوند که خود موجب از‌دست‌رفتن تعداد زیادی از بسته‌های ورودی در سامانه تشخیص نفوذ شبکه می‌‌شود، به‌عنوان عوامل کلیدی محدودکننده کارایی این نوع سامانه، آن را با چالش‌هایی روبه‌رو کرده است. Snort یک سامانه تشخیص نفوذ شبکه مبتنی بر امضا بوده که به‌دلیل متن‌باز، رایگان و سبک‌بودن بسیار پرکاربرد است. در این مقاله جهت بهبود کارایی سامانه تشخیص نفوذ شبکه snort، از ایده کلیدی فیلتر‌کردن بسته‌های غیرضروری شبکه بر اساس فهرست سیاه نشانی‌‌ها، به‌عنوان یک سازوکار پیش‌پردازش استفاده‌ شده است. یکی از چالش‌های مهم این سازوکار کاهش سرعت فیلتر‌کردن بسته‌ها، با افزایش حجم ترافیک شبکه است؛ بنابراین به‌عنوان بهبود دوم، جهت تسریع عملکرد این سامانه ارائه‌شده، نسخه موازی آن را روی بستر رمز جهت اجرا روی واحد پردازش گرافیکی ارائه کردیم. الگوریتم پیشنهادی را بر روی مجموعه‌داده DARPA در یک پردازنده گرافیکی آزمایش شد. نتایج ارزیابی نشان می‌دهد که روش پیشنهادی با تسریعی بیش از سی برابر نسبت به نسخه متوالی، باعث بهبود قابل‌توجهی در عملکرد فیلتر بسته مبتنی بر فهرست سیاه می‌‌شود. همچنین، بهره‌وری روش پیشنهادی در استفاده از منابع پردازنده گرافیکی برای اجرای موازی تشخیص نفوذ نسبت به بهترین روش موجود حدود 81 درصد بیشتر است.
کلیدواژه‌های فارسی مقاله سامانه تشخیص نفوذ شبکه، فیلتر بسته، فهرست سیاه، تطبیق الگو، واحد پردازش گرافیکی
عنوان انگلیسی Improvement and parallelization of Snort network intrusion detection mechanism using graphics processing unit
چکیده انگلیسی مقاله Nowadays, Network Intrusion Detection Systems (NIDS) are widely used to provide full security on computer networks. IDS are categorized into two primary types, including signature-based systems and anomaly-based systems. The former is more commonly used than the latter due to its lower error rate. The core of a signature-based IDS is the pattern matching. This process is inherently a computationally intensive task, and in the worst case, about 80% of the total processing time of an IDS is spent on it. On the other hand, the rapid development of network bandwidth and high link speeds, which in turn leads to a loss of a large number of inbound packets in the network intrusion detection system, has posed challenges as crucial factors limiting the performance of this type of system. Snort is a signature-based NIDS that is highly interested due to being open-source, free, and easy to use. To resolve the challenges mentioned above, we propose an enhanced version of Snort, which is enriched by exploiting two key ideas. The first idea is the filtering of unnecessary packets based on a blacklist of source IP addresses. This filter is used as a preprocessing mechanism to improve the efficiency of the Snort. However, the packet filtering speed is decreased by increasing the network traffic volumes. Therefore, to accelerate the function of this mechanism, we have proposed a second crucial idea. The data-parallel nature of snort functions lets us parallelize two main computationally intensive functions of it on the graphical processing unit. These functions include the lookup on the blacklist filter in the preprocessing stage and the signature matching of Snort, which completes the intrusion detection process. For parallelizing the preprocessing step of Snort, first, a blacklist is provided from the DARPA dataset. Next, this blacklist is transferred together with the Snort ruleset to the global memory of the GPU. Finally, each thread concurrently matches each packet against the blacklist filters. For parallelizing the signature matching step of Snort, the well-known pattern matching algorithm of Boyer-Moore is parallelized similarly. Evaluation results show that the proposed method, by up to 30 times faster than the sequential version, significantly improves the blacklist-based filtering performance. Also, the efficiency of the proposed method in using GPU resources for parallel intrusion detection is 81 percent higher than the best state-of-the-art method.
کلیدواژه‌های انگلیسی مقاله Network intrusion detection system, packet filter, black list, pattern matching, graphics processing unit
نویسندگان مقاله مهدی عباسی | Mahdi Abbasi
Bu-Ali SIna University
دانشگاه بوعلی سینا

مطهره افشاری حقدوست | Motahareh Afshari Haghdoost
Bu-Ali SIna University
دانشگاه بوعلی سینا

نشانی اینترنتی http://jsdp.rcisp.ac.ir/browse.php?a_code=A-10-537-2&slc_lang=fa&sid=1
فایل مقاله فایلی برای مقاله ذخیره نشده است
کد مقاله (doi)
زبان مقاله منتشر شده fa
موضوعات مقاله منتشر شده مقالات گروه امنیت اطلاعات
نوع مقاله منتشر شده پژوهشی
برگشت به: صفحه اول پایگاه   |   نسخه مرتبط   |   نشریه مرتبط   |   فهرست نشریات