آزمايش و مقايسه سامانه تشخيص نفوذ suricata در تعامل با سامانه هاي انتقال سريع بسته

سامانه هاي تشخيص نفوذي كه بر روي سيستم عامل همه منظوره نصب مي شوند، با تكيه بر مجموعه اي از زيربرنامه هاي كتابخانه اي (كه به آن سامانه انتقال بسته ميان برنامه كاربردي و سختافزار شبكه مي گويند) عمليات دريافت بسته را انجام مي دهند. هر يك از اين سامانه ها، با توجه به سرويس هاي مختلف سيستم عامل سرعت و كارايي متفاوتي دارند. تبادل بسته هاي دريافتي در بعضي سامانه هاي انتقال بسته، نياز به حافظه بسيار زياد، به كارگيري بخش عمدهاي از توان پردازنده و اشغال زياد گذرگاه هاي رايانه دارد. درنتيجه، سامانه تشخيص نفوذ در پهناي باند بالا با كمبود منابع و اتلاف بسته هاي دريافتي مواجه مي شود. تغيير الگوريتم هاي محاسباتي و بهبود سامانه تشخيص نفوذ منجر به كاهش مصرف حافظه و توان پردازشي (منابع) موردنياز مي شود، ولي با افزايش پهناي باند، افزايش پيچيدگي روزافزون حملات شبكه و پردازش هاي پيچيده و سنگين در سامانه تشخيص نفوذ، ميزان نياز سامانه تشخيص نفوذ به منابع مختلف افزايش خواهد يافت. لذا در آزمايش هاي انجام شده، با استفاده حداكثر از منابع پردازنده، مقدار حافظه و عدم مطابقت هر بسته با تمامي قوانين، سامانه تشخيص نفوذ در بدترين شرايط آزمايش شده است تا به شبكه واقعي با پهناي باند بالا شبيه باشد.انواع سامانه هاي انتقال سريع بسته در مقالات علمي مختلف مقايسه و آزمايش شده اند، ولي سامانه انتقال بسته در همجواري با يك سامانه سنگين پردازش بسته (مانند سامانه هاي تشخيص نفوذ) آزمايش نشده است. در اين مقاله، يك سامانه تشخيص نفوذ انتخاب شده است كه در تعامل با تعدادي از سامانه هاي انتقال سريع بسته (كه به ادعاي پژوهشگران در نوع خود سريعترين بوده اند) براي تعيين بالاترين كارايي، آزمايش شده اند. سامانه تشخيص نفوذ براي كار با هر يك از (سه نمونه) سامانه هاي انتقال بسته، به صورت مجزا تغيير داده شده است. نتايج آزمايش ها، افزايش ميانگين سرعت پردازش و كاهش تعداد بسته هاي پردازش نشده (در سامانه انتقال سريع بسته و سامانه تشخيص نفوذ) را نشان مي دهد و در يكي از نمونه هاي سامانه تشخيص نفوذ پياده سازي شده علاوه بر بهبود سرعت انتقال بسته، منابع كمتري صرف انتقال بسته ها شده كه اين امر منابع پردازشي بيشتري، براي سامانه تشخيص نفوذ فراهم مي آورد.