Akcelerace systému Suricata prostřednictvím vyhledávacích metadat
Loading...
Date
Authors
Tobolík, David
Advisor
Referee
Mark
A
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta informačních technologií
ORCID
Abstract
Suricata je aplikace pro monitorování sítí, která prohledává pakety pomocí sady pravidel pro rozpoznání vzorů v síťovém provozu a v případě, že detekuje podezřelou aktivitu, vyvolá upozornění. Pro porovnávání vzorů Suricata využívá pattern-matching, což je proces náročný na výpočetní zdroje a tvoří většinu času běhu aplikace. Tato práce se zaměřuje na návrh nové komponenty, která si klade za cíl snížit množství porovnávaných vzorů v systému Suricata pomocí přibližného vyhledávání vzorů v aplikaci zvané DPDK Prefilter, která slouží k simulaci specializovaného hardware pomocí softwarové implementace. Nová komponenta přidává vyhledávací metadata k paketům, která jsou v Suricatě použita k potenciálnímu přeskočení pattern-matchingu v případě, že byl paket zkontrolován v DPDK Prefilteru a nebyly nalezeny žádné vzory. Implementace využívá DPDK pro meziprocesovou komunikaci a sdílení dat, pro pattern-matching byl použit Hyperscan. V rámci práce byly navrženy a implementovány různé typy vyhledávacích metadat a některé z nich dokázaly vylepšit výkon Suricaty díky snížení množství pattern-matchingu.
Suricata is a network monitoring application inspecting packets using a set of rules to detect malicious activity. One of the main detection mechanisms is pattern-matching, however, it is a resource-intensive process taking up most of the application processing time. This thesis focuses on designing a new component to help reduce the amount of pattern-matching in Suricata. The new component was implemented in an application called DPDK Prefilter used to simulate specialized hardware components using software implementation. It adds detection metadata to packets, which are used in Suricata to potentially skip patterns matching if the packet was checked and no patterns were found. The implementation utilizes DPDK for inter-process communication and sharing data, and Hyperscan was used as a pattern-matching engine. Different types of detection metadata were designed and implemented and some of them have shown improvements in the performance of Suricataby reducing the amount of pattern-matching.
Suricata is a network monitoring application inspecting packets using a set of rules to detect malicious activity. One of the main detection mechanisms is pattern-matching, however, it is a resource-intensive process taking up most of the application processing time. This thesis focuses on designing a new component to help reduce the amount of pattern-matching in Suricata. The new component was implemented in an application called DPDK Prefilter used to simulate specialized hardware components using software implementation. It adds detection metadata to packets, which are used in Suricata to potentially skip patterns matching if the packet was checked and no patterns were found. The implementation utilizes DPDK for inter-process communication and sharing data, and Hyperscan was used as a pattern-matching engine. Different types of detection metadata were designed and implemented and some of them have shown improvements in the performance of Suricataby reducing the amount of pattern-matching.
Description
Keywords
Suricata , IDS , IPS , Hyperscan , metadata , DPDK , DPDK Prefilter , vyhledávání vzorů , monitorování sítí , detekční modul , Suricata , IDS , IPS , Hyperscan , metadata , DPDK , DPDK Prefilter , pattern-matching , network monitoring , detection module
Citation
TOBOLÍK, D. Akcelerace systému Suricata prostřednictvím vyhledávacích metadat [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2024.
Document type
Document version
Date of access to the full text
Language of document
en
Study field
Informační technologie
Comittee
doc. Ing. Petr Matoušek, Ph.D., M.A. (předseda)
Dr. Ing. Petr Peringer (člen)
Ing. Matěj Grégr, Ph.D. (člen)
doc. Ing. Michal Španěl, Ph.D. (člen)
Ing. Lukáš Kekely, Ph.D. (člen)
Date of acceptance
2024-06-11
Defence
Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm A.
Result of defence
práce byla úspěšně obhájena