A Comparative Study on Function and Performance of Snort and Suricata

Snort와 Suricata의 탐지 기능과 성능에 대한 비교 연구

  • 정명기 (성균관대학교 컴퓨터교육과) ;
  • 안성진 (성균관대학교 컴퓨터교육과) ;
  • 박원형 (극동대학교 사이버안보학과)
  • Received : 2014.06.27
  • Accepted : 2014.09.28
  • Published : 2014.09.30

Abstract

We have tried to compare two different IDSs which are widespread over the network administrator, Snort and Suricata, in functional and performance aspects. Specifically, we focused on analyzing upon what functions for detecting threat were added newly and what Multi-Threading introduced newly for Suricata has influenced in a performance aspect. As a result, we could discover that there are some features in Suricata which has never existed in Snort such as Protocol Identification, HTTP Normalizer & Parser, and File Identification. Also, It was proved that the gap of PPS(Packets Per Second) becomes wider, as the number of CPU Cores which are working increase. Therefore, we could conclude that Suricata can be an efficient alternative for Snort considering the result that Suricata is more effective quantitatively as well as qualitatively.

본 논문에서는 널리 사용되는 침입 탐지 시스템인 Snort와 Suricata에 대해서 탐지 기능 측면과 성능 측면을 비교해 보고자 하였다. 구체적으로 Snort와 비교해보았을 때 Suricata에는 추가된 탐지 기능과 새로 도입된 멀티 스레딩이 패킷 처리 속도에 가져다 준 변화에 대해 분석해보고자 하였다. 그 결과, Suricata에는 기존의 Snort에서는 존재하지 않았던 Protocol Identification과 HTTP Normalizer & Parser, 그리고 File Identification 기능이 추가되었다는 점을 발견할 수 있었다. 또한, 양적 처리 성능 측면에서도 Suricata의 경우 작동하는 CPU Core의 개수가 늘어날수록 Snort와의 처리성능(PPS, Packets Per Second)의 차이가 벌어지는 것으로 나타났다. 따라서 이러한 점을 볼 때, Suricata는 양적/질적측면에서 모두 Snort보다 개선된 것으로 나타났기 때문에 Snort의 대안으로 사용되기에 적절하다는 결론을 내릴 수 있었다.

Keywords

References

  1. Jay Beale, James C. Foster, Jeffrey Posluns, Brian Caswell, '스노트 2.0 마술상자', 에이콘, 2003.
  2. Albin Eugene, "A comparative analysis of the Snort and Suricata intrusion-detection systems", Master's thesis, NAVAL POSTGRADUATE SCHOOL, 2011.
  3. Joshua S. White, Thomas T. Fitzsimmons, Jeanna N. Matthews, "Quantitive Anaylsis of Intrusion Detection Systems: Snortand Suricata", PROCEEDINGS - SPIE THE INTERNATIONAL SOCIETY FOR O, Vol. 8757, 2013.
  4. 김윤정, "2계층 구조의 탐지 규칙을 사용하는 탐지 기법 및 SNORT에의 구현", 정보기술논문지, Vol. 5, pp. 79-85, 2007.
  5. 김윤정, 박유미, "침입탐지시스템의 탐지모듈 성능개선 방안에 대한 연구", 정보기술논문지, Vol. 1, pp. 1-8, 2003.
  6. 손형서, 이성운, 김현성, "Rule Protecting Scheme for Snort", 한국정보기술응용학회학술대회, Vol. 2005, No. 1, pp. 259-262, 2005.