Coordinating Configurations of Network Intrusion Detection Systems for Performance and Fault-tolerance

IPSJ Web Site

Bibliographic Information

Other Title
  • ネットワーク侵入検知システムの協調による性能と耐障害性の向上
  • ネットワーク シンニュウ ケンチ システム ノ キョウチョウ ニ ヨル セイノウ ト タイショウガイセイ ノ コウジョウ

Search this article

Description

ネットワーク経由の攻撃の検知および防御に,ネットワーク侵入検知・防御システム(NIDS/NIPS)が広く用いられている.しかし,汎用PCを用いたNIDSが多い中,ネットワークの高速化や攻撃の巧妙化にともなう性能低下や,NIDS障害によって攻撃を見逃す耐障害性の問題がある.本論文では,組織内に複数設置されたNIDSを相互に協調させることで,性能および耐障害性を向上させる手法を提案する.1カ所に高価なマシンや並列に動作する複数のマシンを置くのではなく,他のNIDSの負荷やルール設定をもとに,通常時は過負荷のマシンや冗長なルール設定を減らすように再設定をすることで性能向上を,障害時は他のNIDSが検査を肩代わりすることで耐障害性向上を目指す.実験では,冗長なルール設定が除去され負荷が分散されることで10%以上の性能向上を,障害時に攻撃検知を他のNIDSが行うことで耐障害性向上ができることを確認した.

Network intrusion detection/prevention systems (NIDS/NIPS) are widely used for detecting or preventing network-based attacks. However, there are two issues of current NIDS implementation: performance degradation because of today's increased traffic volume and sophisticated attacks, and fault-tolerance, which means a NIDS failure causes some packets to be unchecked. In this paper, we propose Brownie, a system for performance improvement and fault-tolerant via collaboration between already-existing NIDSs in an organization, instead of installing one expensive hardware or parallel NIDS at a vantage point. Through exchanging their load status and configurations, Brownie improves performance by offloading overloaded NIDS and eliminating redundant rules, and improves fault-tolerance by enabling rules once checked by the failed NIDS so that the other NIDS(s) takes over the failed NIDS. The experimental results with a web server benchmark suggest that Brownie increases the benchmark throughput by more than 10%. They also suggest that detection by a failed NIDS are took over by other NIDSs with Brownie.

Journal

Keywords

Details 詳細情報について

Report a problem

Back to top