La fonctionnalité de recherche est en construction.
La fonctionnalité de recherche est en construction.

The original paper is in English. Non-English content has been machine-translated and may contain typographical errors or mistranslations. ex. Some numerals are expressed as "XNUMX".
Copyrights notice

The original paper is in English. Non-English content has been machine-translated and may contain typographical errors or mistranslations. Copyrights notice

Reducing Payload Inspection Cost Using Rule Classification for Fast Attack Signature Matching Réduire le coût d'inspection de la charge utile grâce à la classification des règles pour une correspondance rapide des signatures d'attaque

Sunghyun KIM, Heejo LEE

  • Vues en texte intégral

    0

  • Citer

Résumé:

Les systèmes de détection d'intrusion réseau s'appuient sur un moteur de détection basé sur les signatures. En cas d'attaque ou de trafic intense, les moteurs de détection doivent décider rapidement si un paquet ou une séquence de paquets est normal ou malveillant. Cependant, si les paquets ont une charge utile importante ou si le système présente de nombreux modèles d'attaque, le coût élevé de l'inspection de la charge utile diminue considérablement les performances de détection. Par conséquent, il serait préférable d’éviter les analyses inutiles de la charge utile en vérifiant les champs de protocole dans l’en-tête du paquet, avant d’exécuter leurs lourdes opérations d’inspection de la charge utile. Lorsqu’une inspection de la charge utile est nécessaire, il est préférable de comparer un nombre minimum de modèles d’attaque. Dans cet article, nous proposons de nouvelles méthodes pour classer les signatures d'attaque et créer des groupes multi-modèles pré-calculés. Sur la base de l'analyse des règles IDS, nous avons regroupé les signatures des règles d'attaque par une méthode de classification multidimensionnelle adaptée à un flux d'adresses simplifié. Les méthodes proposées réduisent les analyses de charge utile inutiles et permettent de vérifier des groupes de modèles de lumière. Bien que les améliorations des performances dépendent d'un environnement réseau donné, les résultats expérimentaux avec l'ensemble de données DARPA et le trafic universitaire montrent que les méthodes proposées surpassent jusqu'à 33 % le Snort le plus récent.

Publication
IEICE TRANSACTIONS on Information Vol.E92-D No.10 pp.1971-1978
Date de publication
2009/10/01
Publicisé
ISSN en ligne
1745-1361
DOI
10.1587/transinf.E92.D.1971
Type de manuscrit
Special Section PAPER (Special Section on New Technologies and their Applications of the Internet)
Catégories
DRM et sécurité

Auteurs

Mots-clés

Table des matières