0    引言

受日益增長的數據傳輸需求的驅動，企業和研究機構正在部署100 Gb/s的工業網絡，這種高速網絡的普及，為工業安全防護帶來了重大的技術挑戰。如何在高速網絡流量下保證工業互聯網安全是亟須解決的問題。傳統Suricata IDS在面對高速網絡流量時，無法高效及時地處理網絡活動，由于數據處理不及時，造成數據包丟失，降低系統檢測的準確率，威脅工業系統安全。

文獻［3］研究了兩種流行的開源IDS:Snort和Suricata，在相同條件下平衡二者間的比較性能基準，證實了限制IDS在高速網絡適用性的關鍵因素為系統資源使用、包處理速度、包丟棄率和檢測精度。

文獻［4］利用單個DPDK工作線程，通過使用CPU親和力,分配專用lcore，從而加速Suricata工作線程的IDS處理。使用了兩個專用于Suricata DPDK的0和1端口對系統進行測試，證實了DPDK能夠提高Suricata IDS的工作性能。

文獻［5］在傳統Snort IDS的基礎上，引入DPDK對系統進行優化，驗證了基于DPDK的入侵檢測系統在面對傳輸速率為10 Gb/s的網絡流量時，系統對報文的檢測性能遠遠優于傳統Snort入侵檢測系統。

文獻［6］分析了Snort的架構，提出在高速網絡流量下降低系統誤報率的關鍵是提高Snort的數據包捕獲能力和檢測引擎模塊的性能。設計并實現了基于DPDK的Snort DAQ模塊，并搭載高性能正則引擎Hyperscan，提高Snort的抓包模塊的性能，優化檢測引擎模塊。優化后的Snort在高速網絡流量下的抓包能力和惡意流量檢測率都有了很大的提升。

綜上所述，解決傳統Suricata IDS在高速工業網絡流量下實時檢測性能與檢測準確率不足，降低系統消耗的關鍵在于提升系統的數據包捕獲與規則匹配的性能。針對這一問題，本文應用DPDK的大頁內存、CPU親和性、無鎖環形隊列與UIO輪詢模式等技術，將傳統Suricata IDS的數據包采集處理流程進行分解并與DPDK進行重組，對傳統Suricata IDS的數據包捕獲模塊進行優化，提升系統的數據包實時捕獲能力。同時為解決傳統Suricata IDS在面對高速網絡流量時規則匹配效率與準確率低、誤報率高的問題，應用現有的高速規則匹配算法NEW_WM算法，優化其數據包檢測與日志模塊，在不提升系統消耗的同時增加系統實時規則匹配效率與準確率，降低系統的誤報率。

本文詳細內容請下載：http://www.viuna.cn/resource/share/2000005269

作者信息：

宗學軍1,2，劉歡歡1,2，何戡1,2，連蓮1,2 
（1.沈陽化工大學信息工程學院，遼寧沈陽110142；  2.遼寧省石油化工行業信息安全重點實驗室,遼寧沈陽110142）