Journal of Internet Computing and Services (인터넷정보학회논문지)

Korean Society for Internet Information (한국인터넷정보학회)
권호 표지
DOI QR코드

DOI QR Code

Performance Analysis of TCAM-based Jumping Window Algorithm for Snort 2.9.0

Snort 2.9.0 환경을 위한 TCAM 기반 점핑 윈도우 알고리즘의 성능 분석

  • 이성윤 (퓨쳐시스템 정보통신연구소) ;
  • 류기열 (아주대학교 정보컴퓨터공학부)
  • Received : 2011.07.01
  • Accepted : 2011.12.05
  • Published : 2012.04.30
Download PDF
⟨ Previous Next ⟩

Abstract

Wireless network support and extended mobile network environment with exponential growth of smart phone users allow us to utilize the network anytime or anywhere. Malicious attacks such as distributed DOS, internet worm, e-mail virus and so on through high-speed networks increase and the number of patterns is dramatically increasing accordingly by increasing network traffic due to this internet technology development. To detect the patterns in intrusion detection systems, an existing research proposed an efficient algorithm called the jumping window algorithm and analyzed approximately 2,000 patterns in Snort 2.1.0, the most famous intrusion detection system. using the algorithm. However, it is inappropriate from the number of TCAM lookups and TCAM memory efficiency to use the result proposed in the research in current environment (Snort 2.9.0) that has longer patterns and a lot of patterns because the jumping window algorithm is affected by the number of patterns and pattern length. In this paper, we simulate the number of TCAM lookups and the required TCAM size in the jumping window with approximately 8,100 patterns from Snort-2.9.0 rules, and then analyse the simulation result. While Snort 2.1.0 requires 16-byte window and 9Mb TCAM size to show the most effective performance as proposed in the previous research, in this paper we suggest 16-byte window and 4 18Mb-TCAMs which are cascaded in Snort 2.9.0 environment.

스마트 폰 이용자의 급격한 증가에 따른 무선 네트워크의 지원 및 모바일 환경은 언제 어디서나 네트워크를 이용할 수 있게 되었다. 이러한 인터넷 망의 발달로 인해 네트워크 트래픽이 급증함으로써 네트워크를 통한 분산서비스 공격, 인터넷 웜, 이메일 바이러스 등의 다양한 악의적인 공격이 증가되고 이에 따른 패턴이 급격하게 증가하는 추세이다. 기존 연구에서 침입탐지시스템인 Snort 2.1.0 룰의 약 2,000개 패턴으로 M-바이트 점핑 윈도우 알고리즘을 적용한 결과를 분석하였다. 하지만 점핑 윈도우 알고리즘은 패턴의 길이와 수에 큰 영향을 받기 때문에 더 긴 패턴과 더 많은 패턴을 갖는 새로운 환경(Snort 2.9.0)에서 TCAM 룩업 횟수와 TCAM 메모리 크기에 대한 새로운 분석이 필요하다. 이 논문에서는 Snort-2.9.0 룰에서 약 8,100개의 패턴을 이용하여 윈도우 크기별 TCAM 룩업 횟수와 TCAM의 크기를 시뮬레이션 했고 그 결과를 분석하였다. Snort 2.1.0에서는 16-바이트 윈도우에서 9Mb의 TCAM이 최적을 효과를 낼 수 있는 반면, Snort 2.9.0에서는 16-바이트 윈도우에서 18Mb TCAM 4개를 캐스케이딩으로 연결할 경우 최적의 효과를 낼 수 있다.

Keywords

References

  1. SNORT network intrusion detection system, http://www.snort.org
  2. Martin Roesch, Chris Green, Sourcefire, Inc, "SNORT Users Manual", 2.9.0 The Snort Project December 2, 2010
  3. 해킹/바이러스 통계 , "2010년 10월 인터넷침해사고 동향 및 분석 월보 ", Korea Internet & Security Agency 2010년
  4. Fang Yu, "High Speed Deep Packet Inspection with Hardware Support" Computer Science in the GRADUATE DIVISION of the UNIVERSITY OF CALIFORNIA, BERKELEY 2006
  5. F. Yu, R. H. Katz and T. V. Lakshman, "Gigabit Rate Packet Pattern-Matching Using TCAM," Proceedings of the 12th IEEE International Conference on Network Protocols, pp.174-183, 2004
  6. M.Gao, K. Zhang and J.Lu, "Efficient Packet Matching for Gigabit Network Intrusion Detection using TCAMS," Proceedings of the 20th International Conference on Advanced Information Networking and Applications -Volume1, 2006
  7. 성정식, 강석민, 이영석, 권택근, 김봉태, "TCAM을 이용한 고성능 패턴 매치 알고리즘" 정보처리학회논문지© 제12-C권, 제4호, pp.503-510, 2005년 8월
  8. False attack generator IDSwakeup, http://www.hsc.fr
  9. Security Onion LiveCD, Doug Burks, http://securityonion.blogspot.com/
  10. NetworkAnalysisTools http://www.wireshark.com international Conference on advanced information system engineering, January 2006.
  11. 한국정보보호진흥원, "Snort를 이용한 IDS구축", 2005
  12. Ubuntu Server Guide, "http://www.ubuntu.com/", Canonical Ltd. and members of the Ubuntu Documentation Project3 2008