Abstract
We have tried to compare two different IDSs which are widespread over the network administrator, Snort and Suricata, in functional and performance aspects. Specifically, we focused on analyzing upon what functions for detecting threat were added newly and what Multi-Threading introduced newly for Suricata has influenced in a performance aspect. As a result, we could discover that there are some features in Suricata which has never existed in Snort such as Protocol Identification, HTTP Normalizer & Parser, and File Identification. Also, It was proved that the gap of PPS(Packets Per Second) becomes wider, as the number of CPU Cores which are working increase. Therefore, we could conclude that Suricata can be an efficient alternative for Snort considering the result that Suricata is more effective quantitatively as well as qualitatively.
본 논문에서는 널리 사용되는 침입 탐지 시스템인 Snort와 Suricata에 대해서 탐지 기능 측면과 성능 측면을 비교해 보고자 하였다. 구체적으로 Snort와 비교해보았을 때 Suricata에는 추가된 탐지 기능과 새로 도입된 멀티 스레딩이 패킷 처리 속도에 가져다 준 변화에 대해 분석해보고자 하였다. 그 결과, Suricata에는 기존의 Snort에서는 존재하지 않았던 Protocol Identification과 HTTP Normalizer & Parser, 그리고 File Identification 기능이 추가되었다는 점을 발견할 수 있었다. 또한, 양적 처리 성능 측면에서도 Suricata의 경우 작동하는 CPU Core의 개수가 늘어날수록 Snort와의 처리성능(PPS, Packets Per Second)의 차이가 벌어지는 것으로 나타났다. 따라서 이러한 점을 볼 때, Suricata는 양적/질적측면에서 모두 Snort보다 개선된 것으로 나타났기 때문에 Snort의 대안으로 사용되기에 적절하다는 결론을 내릴 수 있었다.