Selective flow distribution for network-based intrusion detection clusters
No Thumbnail Available
URL
Journal Title
Journal ISSN
Volume Title
School of Science |
Master's thesis
Checking the digitized thesis and permission for publishing
Instructions for the author
Instructions for the author
Authors
Date
2012
Department
Major/Subject
Tietokoneverkot
Mcode
T-110
Degree programme
Language
en
Pages
x + 59
Series
Abstract
Computer and telecom network users face many threats including malware, port scanning, and outright attacks to gain root access or crack other user accounts. Intrusion detection systems (IDS) monitor network traffic or operating system activities to detect signs of attacks. For network-based intrusion detection systems (NIDS) performance becomes a critical issue when traffic rates rise to ten Gbps and above. One way to tackle the increasing computational demands is the use of a cluster of commodity hardware. Balancing the load between the cluster nodes then becomes a major issue. Traditionally in network-based intrusion detection clusters load balancing has been done in round robin fashion. In this thesis we present a selective flow distribution method for network-based intrusion detection clusters. We build a network-based intrusion detection cluster prototype that uses Snort for the packet analysis on the cluster nodes and Linux Netfilter for the selective flow distribution. We find homogenous flows from sample traffic and distribute these homogenous flows for separate cluster nodes. The cluster nodes running Snort perform 10-15% faster in our experiments compared to the round robin load balancing. The factors affecting the performance benefit should be studied further, and the cluster prototype can be improved by modifying the Linux Netfilter code to enable truly flow-based routing and load balancing based on related flows, and by adding support for GPRS Tunnelling Protocol routing.Tietokone- ja tietoliikenneverkkojen käyttäjiin kohdistuu useita uhkia kuten haittaohjelmat, porttiskannaukset ja suoranaiset hyökkäykset, joilla pyritään pääsemään järjestelmän pääkäyttäjäksi tai murtamaan muita käyttäjätunnuksia. Tunkeutumisten havaitsemisjärjestelmät tutkivat verkkoliikennettä tai käyttöjärjestelmän toimia havaitakseen merkkejä hyökkäyksistä. Tietoverkkopohjaisille tunkeutumistenhavaitsemisjärjestelmille suorituskyky on kriittinen asia varsinkin, jos verkkoliikenteen nopeus nousee kymmeneen gigabittiin sekunnissa ja sen yli. Yksi tapa parantaa laskentatehoa on käyttää edullisista tietokoneista koostuvaa ryvästä. Silloin on tärkeää päättää, kuinka analysointikuorma jaetaan ryppään koneiden kesken. Perinteisesti verkkopohjaisissa tunkeutumistenhavaitsemisjärjestelmissä on käytetty kiertovuorotteluperiaatteella toimivaa kuorman jakoa. Tässä työssä esitämme valikoivan verkkoliikennevirtojen jakamisen menetelmän verkkopohjaisille tunkeutumistenhavaitsemisjärjestelmille. Rakennamme verkkopohjaisen tunkeutumisten havaitsemisjärjestelmäryppään prototyypin, joka käyttää Snort-ohjelmistoa liikenteen analysointiin ja Linux Netfilteriä verkkoliikennevirtojen valikoivaan jakamiseen. Etsimme verkkoliikenteestä homogeenisia virtoja ja jaamme ne omille ryppääseen kuuluville koneilleen. Kokeemme osoittavat, että ryppään koneet suoriutuvat laskennasta 10 - 15 % nopeammin kuin kiertovuorottelupohjaisella kuorman jaolla. Suorituskyvyn paranemiseen vaikuttavia tekijöitä tulisi tutkia vielä tarkemmin. Ryväsprototyyppiä voisi parantaa muokkaamalla Linux Netfilterin koodia niin, että saisimme todella käyttöön liikennevirtoihin pohjautuvan reitityksen ja mahdollisuuden käyttää kuorman jaossa myös yhteenkuuluvia liikennevirtoja. Siihen tulisi myös lisätä tuki GPRS-tunnelointiyhteyskäytännön reititykselle.Description
Supervisor
Aura, TuomasThesis advisor
Hätönen, KimmoHalonen, Perttu
Keywords
IDS, IDS, NIDS, NIDS, performance, suorituskyky, load balancing, kuorman jako, cluster, ryväs