Abstract
Anomaly-based methods of intrusion detection are gaining increasing interest among IT-security practitioners. Unlike the traditional intrusion detection systems (IDS) based on pattern matching they are capable of detecting previously unknown attacks without any knowledge about attack signatures. For practical deployment, not only accuracy but also the computational performance is crucial. A deployed IDS must be able to process traffic volumes of several Gbps, which is typical for network infrastructure nodes. Most of the previously proposed anomaly-based IDS have not specifically addressed performance issues. Moreover, it has been widely believed that no anomaly-based system with full analysis of packet payload can reach a “sound barrier” of 1 Gbps. In this contribution, we show that using a careful selection of algorithms and common parallelization techniques, the performance of well over 1 Gbps is possible for a wide range of methods based on a metric embedding of packet/connection payloads. After a brief introduction to the embedding techniques, we describe the specific algorithms and data structures for a high-performance implementation of such methods. We present experiments on large-scale traces of real network traffic that demonstrate that processing rates of over 4 Gbps can be attained by our methods on commodity multi-core processors.
Zusammenfassung
Anomalie-basierte Techniken von Angriffserkennung gewinnen zunehmend an Aufmerksamkeit unter IT-Sicherheitsexperten. Im Gegensatz zu den herkömmlichen, auf der Mustererkennung basierten Intrusion-Detection-Systemen (IDS), sind Anomalie-basierte Systeme in der Lage, neuartige Angriffe zu erkennen, ohne dass vorher spezifische Muster definiert werden müssen. Allerdings ist für den praktischen Einsatz solcher Systeme nicht nur die Erkennungsgenauigkeit sondern auch die rechnerische Leistungsfähigkeit von zentraler Bedeutung. Das IDS muss das Netzverkehrsvolumen von mehreren Gbps verarbeiten können, um in der Netzinfrastruktur eingesetzt werden zu können. Bei den meisten von früheren Anomalie-basierten IDS wurde die Leistungsfähigkeit nicht explizit berücksichtigt. Es galt als unwahrscheinlich, dass ein Anomalie-basiertes System mit der Verarbeitung kompletter Paketinhalte eine “Schallmauer” von 1 Gbps übertreffen kann. In diesem Beitrag wird gezeigt, dass für die auf einer metrischen Einbettung der Paketinhalte basierten Anomalieerkennungsmethoden eine Performanz von deutlich mehr als 1 Gbps durch eine sorgfältige Wahl der Algorithmen sowie die Anwendung von gängigen Parallelisierungstechniken durchaus möglich ist. Nach einer kurzen Einführung in die Technik von metrischer Einbettung, werden im Folgenden die für eine hochperformante Implementierung benötigten Algorithmen und Datenstrukturen dargestellt. Bei der experimentellen Auswertung der entwickelten Algorithmen auf einem über mehrere Tage aufgezeichneten Netzverkehr-Trace konnte die Leistungsfähigkeit von über 4 Gbps auf handelsüblichen Mehrkernprozessoren erreicht werden.
© by Oldenbourg Wissenschaftsverlag, Tübingen, Germany
