Machine Translated by Google

Universitas
Universitas
Arkansas,
Arkansas, Fayetteville

ScholarWorks@UARK

Ilmu Komputer dan Teknik Komputer

Ilmu Komputer dan Teknik Komputer
Tesis Kehormatan Sarjana

5-2022

Studi Banding Snort 3 dan Deteksi Intrusi Suricata

Sistem
Cole Hoover

Ikuti ini dan karya tambahan di: https://scholarworks.uark.edu/csceuht

Bagian dari Commons Arsitektur Komputer dan Sistem, Komunikasi Digital dan Jaringan
Umum, Commons Keamanan Informasi, Rekayasa Perangkat Lunak Umum, dan Sistem
Arsitektur Umum

Kutipan
Hoover, C. (2022). Studi Banding Snort 3 dan Sistem Deteksi Intrusi Suricata. Komputer
Sains Dan Tesis Kehormatan Sarjana Teknik Komputer Diterima dari
https://scholarworks.uark.edu/csceuht/105

Tesis ini dipersembahkan untuk Anda secara gratis dan akses terbuka oleh Ilmu Komputer dan Teknik
Komputer di ScholarWorks@UARK. Itu telah diterima untuk dimasukkan dalam Tesis Kehormatan Sarjana
Ilmu Komputer dan Teknik Komputer oleh administrator resmi ScholarWorks@UARK. Untuk informasi lebih
lanjut, silakan hubungi scholar@uark.edu.
Machine Translated by Google

Studi Banding Snort 3 dan Sistem Deteksi Intrusi Suricata

Tesis Perguruan Tinggi Kehormatan Sarjana

dalam

Departemen Ilmu Komputer dan Teknik Komputer

Sekolah Tinggi Teknik
Universitas Arkansas
Fayetteville, AR
April, 2022

oleh

Cole Hoover
Machine Translated by Google
Studi Banding Snort 3 dan Intrusi Suricata
Sistem Deteksi
Cole Hoover
Departemen Ilmu Komputer dan Teknik Komputer
Universitas Arkansas
Fayetteville, AR 72701, AS
cdhoover@uark.edu
Abstrak Network Intrusion Detection Systems (NIDS) merupakan salah
satu lapisan pertahanan yang dapat digunakan untuk melindungi jaringan
dari serangan cyber. Mereka memantau jaringan untuk aktivitas jahat apa
pun dan mengirimkan peringatan jika lalu lintas yang mencurigakan
terdeteksi. Dua dari NIDS sumber terbuka yang paling umum adalah Snort
dan Suricata. Snort pertama kali dirilis pada tahun 1999 dan menjadi
standar industri. Salah satu kelemahan utama Snort adalah arsitektur single-threaded-nya.
Karena itu, Suricata dirilis pada tahun 2009 dan menggunakan arsitektur
multithreaded. Snort merilis Snort 3 tahun lalu dengan peningkatan besar
dari versi sebelumnya, termasuk mengimplementasikan arsitektur
multithread baru seperti Suricata.
Makalah ini membandingkan Suricata dan Snort 3 yang baru dan lebih
baik berdasarkan kinerja dan perilaku peringatannya. Kedua NIDS diinstal
pada sistem yang sama, dikonfigurasikan dengan konfigurasi default yang
direkomendasikan, menggunakan kumpulan aturan default, dan
mengevaluasi lalu lintas berbahaya yang sama. Dalam analisis ini, kedua
NIDS memiliki kinerja yang sangat mirip dalam pemanfaatan sumber
dayanya, tetapi saat menganalisis lalu lintas berbahaya, Suricata
mendeteksi lebih banyak serangan daripada Snort 3 menggunakan kumpulan aturanAda beberapa
Kata kunciNIDS, Snort, Suricata, performa, aturan,
perbandingan
I. PENDAHULUAN
Sistem deteksi intrusi adalah perangkat lunak yang berada di
jaringan dan memantau lalu lintas untuk segala hal yang dianggap
berbahaya. Ada banyak variasi yang berbeda dari sistem deteksi intrusi.
Sistem deteksi intrusi yang sebenarnya hanya memantau lalu lintas dan
mengirimkan peringatan jika ada lalu lintas yang ditemukan tidak sah.
IDS dapat dikonfigurasi untuk memblokir atau menangguhkan lalu lintas
yang memicu peringatan, dan ini disebut sistem pencegahan intrusi. Di
dalam IDS, ada sistem deteksi intrusi jaringan (NIDS) dan sistem deteksi
intrusi berbasis host (HIDS). IDS berbasis host memantau perangkat
atau perangkat di jaringan sementara sistem deteksi intrusi jaringan
memantau lalu lintas di seluruh jaringan. Ada juga dua jenis IDS:
berbasis anomali dan berbasis tanda tangan. IDS berbasis anomali
membandingkan lalu lintas dengan garis dasar lalu lintas tepercaya dan
memberi peringatan jika lalu lintas baru menyimpang dari garis dasar.
IDS berbasis tanda tangan membandingkan lalu lintas dengan
sekumpulan tanda tangan atau aturan yang menentukan aktivitas
mencurigakan di jaringan dan memberi peringatan jika ada pola lalu
lintas yang cocok dengan tanda tangan. Dalam makalah ini, kami secara
khusus menangani sistem deteksi intrusi jaringan berbasis signature,
yaitu Snort dan Suricata. Ketika NIDS ditempatkan pada titik-titik strategis memungkinkan penskalaan dan pemrosesan beberapa paket,
di jaringan, mereka dapat memantau semua lalu lintas yang masuk dan keluarmenawarkan lebih dari 200 plugin untuk lebih banyak penyesuaian, dan sintaks aturan
Dale R. Thompson
Departemen Ilmu Komputer dan Teknik Komputer
Universitas Arkansas
Fayetteville, AR 72701, AS
drt@uark.edu
jaringan untuk setiap aktivitas berbahaya. Lalu lintas ini dianalisis dan
dibandingkan dengan daftar aturan, dan ketika sepotong lalu lintas
cocok dengan pola serangan, itu dicatat, dan peringatan dikirim.
Aturan adalah salah satu aspek terpenting dari IDS berbasis tanda
tangan. Aturan menentukan lalu lintas apa yang valid dan apa yang
tidak valid. Mereka adalah lalu lintas yang dibandingkan ketika dianalisis
untuk aktivitas yang mencurigakan. Aturan juga menentukan tindakan
yang akan diambil setelah aktivitas yang tidak biasa terdeteksi, seperti
peringatan, log, atau sandi. Ada beberapa organisasi yang mengeluarkan
aturan mereka sendiri yang dibuat oleh peneliti keamanan dan anggota
komunitas yang menganalisis serangan dan lalu lintas apa yang mereka
hasilkan, lalu membuat aturan yang mendeteksi lalu lintas ini. Aturan
khusus juga dapat dibuat oleh pengguna untuk mendeteksi hal-hal
tertentu di lingkungan mereka sendiri. Aturan dimaksudkan untuk
digabungkan, dipertukarkan, dan disetel untuk memungkinkan deteksi
terbaik di setiap lingkungan tertentu dan untuk mengurangi jumlah positif palsu.
standar metrik yang dapat digunakan untuk mengevaluasi
mereka.
sistem deteksi intrusi. Antonatos et al. menawarkan tingkat deteksi
serangan, positif palsu, dan kapasitas untuk menguji kinerja
[1]. Penelitian dari Mell menyarankan cakupan, kemungkinan alarm
palsu, kemungkinan deteksi, resistensi serangan, kemampuan untuk
menangani lalu lintas bandwidth tinggi, dan kapasitas untuk menguji akurasi [2].
Dalam karya dari Albin [3], mereka mengevaluasi kinerja dengan
mengukur penggunaan CPU, penggunaan memori, dan penggunaan
jaringan. Dalam makalah ini, metrik yang akan digunakan adalah
penggunaan CPU dan memori, serta jumlah peringatan yang dihasilkan
selama serangan.
Snort adalah salah satu NIDS open source yang paling populer
dan banyak digunakan. Ini awalnya dibuat oleh Martin Roesch pada
tahun 1999 sebagai sistem deteksi intrusi ringan [4] dan telah
berkembang menjadi IDS yang sangat kuat dengan banyak fitur. Ini
dapat digunakan sebagai packet sniffer, packet logger, atau IDS atau
IPS lengkap. Snort dikembangkan menggunakan arsitektur single
threaded dan tetap seperti itu meskipun tren prosesor multicore, sampai
saat ini. Tim Snort merilis Snort 3 pada tahun 2021 yang
mengimplementasikan arsitektur multithreaded di antara beberapa
pemutakhiran dan peningkatan lainnya. Menurut Snort, itu telah
meningkatkan kinerja, pemrosesan lebih cepat, dan meningkatkan
skalabilitas [5]. Snort 3 ditulis ulang dalam C++, membuatnya lebih
modular, memperkenalkan threading dan memori bersama untuk
Machine Translated by Google
diperbarui untuk pemahaman yang lebih mudah dan lebih ringkas untuk mengurangi
jumlah aturan dan memungkinkannya berjalan lebih cepat [5].
Suricata adalah NIDS open-source terkemuka lainnya yang dirilis oleh Open
Information Security Foundation pada tahun 2010. Ini terutama dimulai sebagai
tanggapan atas meningkatnya penggunaan multicore di komputer dan untuk menutupi
apa yang hilang dari Snort. Ini berbagi banyak fitur dengan Snort dan menawarkan fitur
tambahan termasuk deteksi protokol otomatis, ekstraksi file, permintaan HTTP logging,
kueri DNS, dan sertifikat TLS, dan memiliki mesin multithread [6]. Itu
mengimplementasikan skrip Lua untuk mendeteksi hal-hal yang tidak bisa dilakukan
aturan serta output lanjutan untuk memungkinkan integrasi yang mudah dengan banyak
alat logging.
Makalah ini merinci perbandingan IDS Snort 3 dan Suricata, mengamati perilaku
peringatan mereka saat memeriksa lalu lintas berbahaya yang sama dan menggunakan
kumpulan aturan yang dirancang khusus untuk sistem mereka, serta memeriksa
kinerjanya saat menganalisis lalu lintas yang ditangkap yang disimpan dalam file pcap.
Bagian selanjutnya membahas pekerjaan terkait untuk membandingkan Snort dan
Suricata. Bagian III membahas arsitektur Snort 3 dan Suricata. Bagian IV
membandingkan aturan dan sintaks aturan yang digunakan Snort dan Suricata.
Evaluasi IDS dilakukan di Bagian V dan kesimpulan disajikan di Bagian VI.
II. PEKERJAAN TERKAIT
Ada banyak penelitian yang dilakukan yang membandingkan Snort dan Suricata
dengan sejumlah besar metrik. Sebagian besar pekerjaan telah dilakukan dengan
Snort 2, karena Snort 3 baru dirilis tahun lalu, meskipun beberapa penelitian terbaru
telah dilakukan untuk mengevaluasi Snort 3. Sebagian besar penelitian dilakukan
dengan membandingkan dua NIDS di lingkungan tertentu, seperti high- kecepatan
jaringan, lingkungan sumber daya terbatas, atau lingkungan dengan beberapa inti dan
kelebihan sumber daya untuk memeriksa kinerjanya, melihat pemanfaatan sumber
daya dan kecepatan pemrosesan paket. Studi lain membandingkan keakuratan
pendeteksian serangan, tingkat positif palsu, dan metrik lain yang berhubungan dengan
perbedaan aturan yang disediakan untuk Snort dan Suricata. Beberapa makalah
menggabungkan aspek kinerja dan deteksi. Makalah ini serupa dalam hal itu,
memeriksa perilaku peringatan IDS dengan aturannya masing-masing, sementara pada
saat yang sama mengukur kinerja dan pemanfaatan sumber dayanya, serta melanjutkan
penelitian yang diperlukan pada Snort 3, karena ini adalah produk yang lebih baru.
Salah satu karya sebelumnya yang melihat Snort dan Suricata
[3].
Suricata dirilis tahun sebelumnya dan masih dalam tahap awal. Dia menjalankan tiga
eksperimen untuk mengukur performa dan akurasi di lingkungan jaringan yang sibuk.
Eksperimen pertama menguji kinerja langsung kedua NIDS, mengukur penggunaan
sumber daya. Eksperimen kedua menguji Suricata pada superkomputer untuk
mengukur kecepatan pemrosesan. Eksperimen terakhir menguji keakuratan kedua
NIDS saat mengevaluasi lalu lintas berbahaya. Eksperimen menunjukkan bahwa
Suricata lebih intensif sumber daya daripada Snort, memiliki kemampuan untuk
dikonfigurasi dan diskalakan untuk meningkatkan kinerja dengan banyak inti, dan
bahwa penyetelan kumpulan aturan untuk menghindari positif palsu dan negatif palsu
diperlukan. Disimpulkan bahwa Snort masih merupakan NIDS yang kuat dan mumpuni,
tetapi Suricata dapat menangani volume lalu lintas yang lebih tinggi dan karena
throughput jaringan terus meningkat.
meningkat, Suricata dapat menskalakan untuk mencocokkannya. Pekerjaan dilakukan
oleh Day and Burns pada tahun 2011 [7] tetapi menguji keakuratan kedua NIDS di
bawah tekanan, kapasitas terukur, cakupan, tingkat positif palsu dan negatif palsu.
Hasilnya menunjukkan bahwa Suricata membutuhkan lebih banyak overhead daripada
Snort, tetapi ketika beberapa inti tersedia, itu lebih akurat. Penelitian yang dilakukan
oleh White et al. pada tahun 2013 [8] memperluas pekerjaan yang dilakukan oleh Day
and Burns dan menskalakan sumber daya yang tersedia untuk NIDS serta
memvariasikan konfigurasi, kumpulan aturan, dan beban kerja. Hasilnya menunjukkan
bahwa Suricata mengungguli Snort di seluruh pengujian dan menggunakan lebih
sedikit sumber daya daripada Snort.
Sistem Deteksi Tinggi 2017 [9] . di dalam
randon Murphy pada tahun 2019 [10],
berbasis open source
[11]. Hu dkk. memeriksa Snort, Suricata, dan Bro, IDS open-source populer lainnya.
Mereka menyelidiki penggunaan sumber daya, kecepatan pemrosesan paket, dan
kecepatan penurunan paket NIDS saat berada di jaringan berkecepatan tinggi dan
membandingkan kinerja dengan konfigurasi dan volume lalu lintas yang berbeda.
Mereka menyimpulkan Suricata berkinerja lebih baik karena arsitektur multithreadednya,
tetapi Snort dan Bro dapat dikonfigurasi untuk mencapai peningkatan kinerja. Dalam
disertasi oleh Brandon Murphy
[10], studi menyeluruh dilakukan untuk mengukur akurasi, efisiensi, dan ketahanan
Snort dan Suricata. Suricata terbukti lebih akurat, tetapi Snort menggunakan lebih
sedikit memori, dan tidak ada perbedaan yang signifikan secara statistik pada paket
yang dijatuhkan oleh Snort dan Suricata. Terakhir, dalam pekerjaan yang dilakukan
oleh Asad dan Gashi [11], Snort dan Suricata dibandingkan berdasarkan keragaman
konfigurasi dan fungsionalnya. Untuk membandingkan keragaman konfigurasi,
kumpulan aturan dan daftar Alamat IP Daftar Hitam diselidiki. Untuk membandingkan
keragaman fungsional, perilaku peringatan NIDS dipelajari saat menganalisis lalu lintas
jaringan. Disimpulkan bahwa ada keragaman yang signifikan baik dalam kumpulan
aturan maupun daftar Alamat IP Daftar Hitam yang menyebabkan perbedaan signifikan
dalam perilaku peringatan.
AKU AKU AKU. ARSITEKTUR IDS
Snort pada awalnya dibangun agar sesuai dengan komputer dan jaringan pada
masanya. Ini dimulai sebagai paket sniffer ringan, berjalan pada komputer inti tunggal,
dan menangani lalu lintas jaringan jauh lebih kecil ketika dirilis. Itu memiliki startup
berulir tunggal dan satu utas paket per proses. Itu menghabiskan lebih banyak memori,
menggunakan memori untuk menyimpan informasi duplikat untuk setiap proses.
Sekarang komputer multi-core adalah norma baru dan
karena arsitektur multithreadednya, Snort memutuskan untuk menulis ulang mesinnya
di C++ dari C untuk mendukung multithreading serta sejumlah fitur baru dan peningkatan
fitur lama yang menghasilkan kinerja yang lebih baik dan lebih cepat. Ini memiliki
startup multithreaded untuk inisialisasi yang lebih cepat, mendukung banyak utas
paket, mengurangi penggunaan memori dengan berbagi informasi dengan setiap
proses, memungkinkan lebih banyak memori untuk paket, mendukung lebih dari 200
plugin, meningkatkan akuisisi data dan kecepatan baca kembali pcap, memungkinkan
konfigurasi lebih banyak fitur tertentu, memiliki konfigurasi default yang lebih
disederhanakan yang membutuhkan lebih sedikit penyetelan, dan menyempurnakan
penulisan aturan [5].
Machine Translated by Google
Arsitektur lama lebih linier dan tidak dioptimalkan seperti Snort 3 yang baru
[5]. Pertama, lalu lintas diperoleh dari jaringan langsung atau file pcap. Paket-
paket tersebut kemudian dikirim melalui rutinitas dekoder paket yang
mengidentifikasi struktur paket untuk protokol tingkat tautan serta port. Paket
kemudian dikirim melalui satu set preprosesor. Setiap preprosesor memeriksa
untuk melihat jenis paket apa yang telah dikumpulkannya dan bagaimana
perilakunya. Kemudian, paket dikirim melalui mesin pendeteksi, di mana ia
memeriksa setiap paket terhadap aturan dan kemudian dicatat dan ditangani.
Pemrosesan didesain ulang agar lebih fleksibel menggunakan pendekatan
berbasis kejadian [5], dan diagramnya ditunjukkan pada Gambar. format standar.
Alih-alih menggunakan preprosesor dan mengulangi daftar untuk menguji masing-
masing, ia menggunakan apa yang mereka sebut inspektur.
Inspektur membuat kejadian inspektur yang dapat memasok data ke inspektur
lain. Data ini tidak dipublikasikan, hanya akses ke data sehingga data hanya
perlu dinormalisasi satu kali pada akses pertama, menghasilkan pemrosesan
just-in-time. Peristiwa inspeksi ini bersama dengan berbagai inspektur plug-in
(diwakili oleh yang lain dalam diagram) memungkinkan sistem pemrosesan paket
yang jauh lebih fleksibel dan efisien.
Gambar 1.
Suricata sebagian dibuat sebagai tanggapan atas kebutuhan akan IDS
multithreaded. Itu meminjam banyak fungsi dari Snort, dan serupa dalam
beberapa aspek, tetapi juga mengimplementasikan beberapa fungsi yang hilang
dari Snort. Dapat berfungsi sebagai NIDS, NIPS, network security monitor, dan
pcap logger [6]. Ini memiliki mesin aliran yang dapat diskalakan, mesin aliran
TCP, dan mesin IP Defrag. Itu dapat mem-parsing protokol pada lapisan tautan
dan lapisan aplikasi dan memiliki pengurai HTTP stateful yang mencatat transaksi
dan dapat mengekstrak file. Mesin pendeteksinya sangat kuat, sangat dapat
dikonfigurasi, dan dapat disesuaikan dengan kebutuhan yang tepat.
Salah satu fitur terpenting adalah kemampuan multithreading-nya. Ini
memiliki threading yang sepenuhnya dapat dikonfigurasi dan dapat dijalankan di
mana saja dari satu utas hingga lusinan. Ini juga memiliki pengaturan afinitas
CPU opsional di mana Suricata menunjuk utas ke CPU yang ditetapkan atau di
banyak CPU yang dimiliki sistem. Suricata memiliki empat modul thread untuk
memproses paket [12] yang ditunjukkan pada Gambar 2. Pertama adalah modul
akuisisi paket yang mengumpulkan paket dari jaringan atau dari file pcap.
Berikutnya adalah modul decode dan stream application layer. Itu menerjemahkan
paket berdasarkan protokol dan port mereka, melakukan pelacakan aliran di
mana ia memeriksa apakah koneksi jaringan yang benar dibuat, merekonstruksi
aliran paket asli, dan akhirnya memeriksa lapisan aplikasi. Kemudian, modul
deteksi, yang dapat menjalankan beberapa utas deteksi secara bersamaan,
membandingkan lalu lintas dengan aturan. Akhirnya, tindakan diambil berdasarkan
aturan yang ditentukan, dan peristiwa akan dicatat. Prosesnya sangat mirip
dengan Snort tetapi memiliki kualitas uniknya sendiri.
Gambar 2. Arsitektur Deteksi Multithreaded
IV. ATURAN IDS
Aturan adalah bagian integral agar IDS berbasis tanda tangan berfungsi.
Mereka menambahkan keunggulan deteksi zero-day, tidak seperti tanda tangan,
yang ditulis setelah serangan terjadi. Saat menulis aturan, fokusnya adalah
mendeteksi kerentanan, bukan exploit atau data unik [5]. Sintaks aturan ini,
jumlah aturan, dan caranya
parsing aturan serta sintaks aturan yang mirip dengan Snort 2, tetapi dengan
perbaikan untuk membuatnya lebih mudah untuk ditulis dan dipahami. sebagai
Mendengus tetapi menawarkan berbeda
Kegunaan. Keduanya akan dibahas di bawah ini.
Aturan snort 2 memiliki header aturan dan opsi aturan [5]. Header terdiri dari
tindakan yang akan diambil, protokol atau jenis lalu lintas, seperti TCP, UDP,
ICMP, atau IP, alamat IP sumber, port sumber, operator arah yang menunjukkan
ke arah mana lalu lintas mengalir, alamat IP tujuan dan port tujuan. Setelah
header adalah opsi aturan, yang menambah kekuatan dan fleksibilitas aturan.
Ada opsi aturan umum serta opsi deteksi. Opsi aturan umum termasuk pesan,
untuk memasukkan apa yang dideteksi oleh aturan, aliran, untuk membantu
memfilter aturan yang hanya berlaku untuk arah lalu lintas tertentu, referensi,
untuk menyertakan referensi untuk aturan, tipe kelas, yang memberi tahu apa
efek dari serangan yang terdeteksi adalah, dan ID tanda tangan, yang membantu
mengidentifikasi aturan. Opsi deteksi adalah konten, yang memberi tahu aturan
apa yang harus dicari dalam muatan paket, PCRE, yang memungkinkan aturan
ditulis dalam PCRE untuk membantu pencocokan yang lebih kompleks, dan uji
byte untuk memeriksa sejumlah byte. Sementara sintaks ini bekerja dengan baik,
itu agak tidak konsisten dan dapat diperbaiki di Snort 3 [5]. Dalam sintaks baru,
protokol elemen, jaringan, port, dan operator arah sekarang bersifat opsional,
memungkinkan aturan yang lebih pendek dan tidak berlebihan, padahal
sebelumnya, elemen ini diperlukan. Kata kunci protokol baru http ditambahkan di
Snort 3 yang memungkinkan deteksi HTTP yang lebih baik, sedangkan di Snort
2, deteksi HTTP ditentukan dalam konten
opsi dan membutuhkan detail lebih lanjut. Snort 3 juga menambahkan penyeleksi
buffer baru yang lengket dan dinamis yang membantu mengurangi redundansi
dalam aturan. Selain itu, kata kunci file ditambahkan sebagai opsi setelah
tindakan aturan yang membantu mengurangi jumlah aturan yang ditulis untuk
mendeteksi lalu lintas yang sama melalui protokol dan arah yang berbeda.
Terakhir, metadata aturan sekarang menjadi metadata yang benar di Snort 3,
tidak memengaruhi deteksi.
Machine Translated by Google
Snort juga meningkatkan penggunaan aturan shared object (SO).
Ini ditulis dalam bahasa aturan Objek Bersama, yang mirip dengan C, dan harus
dikompilasi untuk menggunakannya. Aturan-aturan ini memungkinkan untuk
deteksi tidak mungkin dengan bahasa aturan Snort. Mereka dapat dikonfigurasi
untuk mendeteksi lebih banyak kondisi daripada aturan biasa. Aturan-aturan ini
juga memungkinkan untuk kebingungan yang tepat
deteksi dalam bahasa aturan normal [5].
Aturan Suricata juga memiliki aksi yang menentukan apa yang harus
dilakukan ketika aturan cocok, header aturan yang mendefinisikan protokol,
alamat IP, port, dan arah lalu lintas, dan opsi aturan yang mendefinisikan hal-hal
yang lebih spesifik dalam aturan. Suricata menambahkan beberapa kata kunci
tindakan ekstra, serta beberapa kata kunci protokol layer aplikasi atau layer tujuh
yang tidak didukung oleh Snort [12]. Ada beberapa nuansa lain dalam konfigurasi
yang berbeda antara Snort dan Suricata dalam hal aturan dan penulisan aturan
tetapi bersifat teknis dan berada di luar cakupan pembahasan ini. Suricata ditulis
sedemikian rupa sehingga kumpulan aturan Snort didukung tetapi
memerlukan beberapa penyesuaian untuk memperbaiki beberapa aturan yang
menggunakan kata kunci berbeda dan perbedaan kecil lainnya. Sekarang Snort
3 memiliki sintaks aturan yang lebih baru, aturan Snort 3 tidak kompatibel di Suricata.
V. EVALUASI
Bagian ini merinci semua aspek pengaturan dan desain eksperimental.
Tujuan dari percobaan ini adalah untuk mengevaluasi kinerja dua sistem deteksi
intrusi multithreaded dan perilaku peringatan mereka ketika menganalisis lalu
lintas berbahaya yang sama terhadap aturan masing-masing. Untuk mengukur
kinerja, statistik penggunaan CPU dan penggunaan memori dikumpulkan, dan
untuk menyelidiki perilaku peringatan, ekstra
logging dikonfigurasi untuk setiap IDS.
A. Penyiapan Eksperimental
Lingkungan yang digunakan adalah mesin virtual yang menjalankan Ubuntu
18.04.6 LTS sebagai sistem operasinya. Mesin virtual menggunakan 4 inti dan
memiliki RAM 4 GB dan ruang disk 50 GB. Suricata dan Snort diinstal pada mesin
virtual dan diuji secara individual. Suricata versi 6.0.4 digunakan dan merupakan
rilis stabil terbaru. Snort versi 3.1.6.0 digunakan untuk percobaan, tetapi
pembaruan yang lebih kecil terjadi selama percobaan, dan versi terbaru adalah
3.1.21.0. Untuk menjaga kesinambungan percobaan, Snort tidak diperbarui ke
rilis terbaru. PulledPork adalah alat manajemen aturan yang digunakan untuk
Snort. Ini mengunduh yang terbaru
PulledPork juga ditulis ulang dari Perl ke Python 3 dan disebut PulledPork3.
Kedua alat diinstal pada sistem dan diuji, tetapi PulledPork3 pada akhirnya
digunakan sebagai alat manajemen aturan karena fiturnya yang ditingkatkan dan
kompatibilitas yang lebih baik dengan Snort 3. Versi 3.0.0.4 dari PulledPork3
adalah -Update [13].
Mulai dari Suricata versi 4 sudah dibundel dengan Suricata, jadi tidak harus
diinstal secara terpisah. Itu digunakan untuk mengatur aturan Suricata. Alat baris
perintah htop dan nmon digunakan untuk mengukur penggunaan CPU dan memori.
Dua ru yang berbeda
Talos LightSPD mendaftarkan ruleset dan Emerging Threats ET Open ruleset
untuk Suricata. Talos adalah sekelompok pakar keamanan jaringan yang bekerja
untuk memelihara dan menulis aturan untuk Snort. Mendengus
menawarkan 3 kumpulan aturan yang berbeda: kumpulan aturan komunitas,
kumpulan aturan pengguna terdaftar, dan kumpulan aturan langganan. Kumpulan
aturan komunitas disediakan oleh komunitas besar pengguna Snort, dan bebas
digunakan oleh siapa saja. Itu diperbarui setiap hari dan merupakan bagian dari
kumpulan aturan langganan. Kumpulan aturan terdaftar adalah 30 hari di belakang
kumpulan aturan pelanggan. Anda harus mendaftarkan akun dengan Snort untuk
menggunakan aturan ini. Kumpulan aturan pelanggan adalah kumpulan aturan
yang paling mutakhir dan komprehensif dan dibayar oleh langganan. Kumpulan
aturan ini dikembangkan, diuji, dan disetujui oleh tim Talos, dan secara khusus
ditulis untuk Snort. Emerging Threats adalah divisi dari Proofpoint dan
mengeluarkan Rulesets Emerging Threats [14]. Mereka menawarkan aturan ET
Open dan ET Pro. Kumpulan aturan ET Open gratis dan dikelola oleh anggota
komunitas keamanan. Aturan ET Pro dikelola oleh tim peneliti Ancaman yang
Muncul. Aturan ini umumnya ditulis untuk bekerja paling baik dengan Suricata
tetapi juga dapat digunakan di Snort 2. Aturan tersebut tidak didukung di Snort 3
seperti sekarang. Rincian aturan dan jumlah aturan yang digunakan dalam
pengujian ditunjukkan pada Tabel I.
TABEL I. DETAIL PERATURAN
Kumpulan aturan Jumlah Aturan
Talos LightSPD 20.359
ET Terbuka 24.956
Lalu lintas berbahaya yang dianalisis dalam percobaan ini berasal dari karya
White et al. [8]. Mereka memposting file pcap dari lalu lintas Pytbull yang ditangkap
yang digunakan dalam percobaan mereka.
Pytbull adalah kerangka kerja sumber terbuka yang digunakan untuk menguji IDS.
Ada dua jejak berbeda yang digunakan dalam percobaan ini. Salah satunya
adalah serangan denial of service tunggal, dan yang lainnya adalah jejak
gabungan dari semua 8 tes yang dijalankan di Pytbull. Delapan pengujian
tersebut adalah serangan pengunduhan sisi klien, pengujian kumpulan aturan
dasar, paket yang tidak sesuai dengan RFC, muatan terfragmentasi, beberapa
login gagal, teknik penghindaran, kode shell, dan serangan DoS yang disebutkan sebelumnya.
File pcap dibaca langsung oleh NIDS selama pengujian.
Dalam percobaan ini, Snort dan Suricata diinstal pada mesin virtual yang
sama yang menjalankan Ubuntu menggunakan konfigurasi dasar yang
direkomendasikan. Untuk memfasilitasi pengumpulan perilaku peringatan,
beberapa pencatatan tambahan diaktifkan di kedua sistem.
Menggunakan PulledPork3 dan Suricata-Update, kumpulan aturan Snort dan
Suricata diperbarui ke versi terbaru. Kemudian, alat baris perintah nmon dan htop
mulai mengamati pemanfaatan sumber daya untuk setiap proses. Snort kemudian
dijalankan, meneruskan file konfigurasi dan file pcap pertama dari serangan DoS.
Data pemanfaatan sumber daya dan jumlah peringatan yang dihasilkan
dikumpulkan dan dicatat, dan file log diperiksa untuk menyelidiki apa yang
diperingatkan. Snort direset dan alat pengumpulan data juga direset. Kemudian
Snort dijalankan lagi, menggunakan perintah yang sama, tetapi mengirimkannya
file pcap yang lebih besar dari 8 tes Pytbull. Data kembali dikumpulkan dan dicatat
dan file log diselidiki. Selanjutnya, Suricata dijalankan, meneruskan file konfigurasi
dan file pcap pertama dari serangan DoS. Data pemanfaatan sumber daya dan
peringatan yang dihasilkan dikumpulkan dan dicatat, dan file log dipelajari. Alat
direset dan Suricata dijalankan pada jejak kedua dari 8 tes Pytbull. Data
dikumpulkan dan file log diperiksa. Ini menyimpulkan percobaan.
Machine Translated by Google

B. Hasil
Bagian berikut menyajikan hasil pemanfaatan sumber daya dan perilaku
waspada dari pengujian Snort dan Suricata dan analisis hasil tersebut.
Suricata dan Snort tampil sangat mirip saat diuji dalam hal pemanfaatan
sumber dayanya. Keduanya menggunakan kira-kira 25% CPU selama semua
pengujian. Setiap NIDS hanya menggunakan satu inti pada 100%,
menghasilkan penggunaan CPU rata-rata 25% karena sistem memiliki 4 inti.
Ini adalah hasil yang menarik karena setiap IDS mendukung multithreading
dan dikonfigurasi untuk menggunakan fungsionalitas ini dan seharusnya
mendistribusikan lebih banyak di antara inti lainnya. Suricata menunjukkan
sedikit lebih intensif memori. Di dalam
menggunakan 4% RAM dan pada pengujian kedua menggunakan 5%. Di sebelumnya
Suricata, menunjukkan Snort 3 mempertahankan overhead kecil yang diperlukan
dalam pemrosesan paket, bahkan menyempurnakannya dalam arsitektur baru.
Suricata menggunakan sekitar 7,5% RAM di kedua pengujian, yang menarik
mengingat pelacakan pcap kedua dengan 8 pengujian secara signifikan lebih
besar daripada pelacakan pertama dengan hanya serangan DoS.
jejak. Saat menganalisis jejak pertama, Snort memberi tahu 1.211 kali
2.944 kali dan Suricata waspada 10.441 kali. Gambar 5 dan Gambar 6
menunjukkan jumlah peringatan untuk Snort dan Suricata untuk kedua pengujian.
Suricata memiliki hampir 4.600 lebih banyak aturan yang diaktifkan daripada
Snort saat memeriksa lalu lintas yang dapat membuatnya mengingatkan dan
mendeteksi lebih banyak lalu lintas yang mencurigakan. Alasan lain yang
mungkin untuk perbedaan ini adalah karena kumpulan aturan yang dikeluarkan
oleh Talos dan Ancaman yang Muncul memiliki banyak perbedaan di antara
keduanya. Dalam studi yang dilakukan oleh Asad dan Gashi [11], aturan Snort
dan Suricata dibandingkan berdasarkan bidang opsi aturan konten, dan hanya
1% aturan yang menghasilkan kecocokan. Terakhir, kumpulan aturan ET
Open, yang digunakan di Suricata, sebagian besar dibuat dari anggota
komunitas keamanan dan kumpulan aturan Talos LightSPD yang digunakan
di Snort 3 dibuat dan dikelola oleh peneliti Talos yang berdedikasi, yang dapat
menjadi penyebab perbedaan besar dalam aturan dan perilaku waspada.
Peringatan yang Dihasilkan Tes 1
2500

2000
arsitektur ded kurang efisien dalam pemanfaatan memori dibandingkan Snort 3.
Gambar 3 menunjukkan penggunaan memori dan CPU dari pengujian pertama 1500
dan Gambar 4 menunjukkan hasil pengujian kedua.
1000

500
Tes Penggunaan CPU dan Memori 1
0
30
Mendengus Suricata
25
20
15 Gambar 5. Snort dan Suricata alert pada Test 1

10
5
0 Peringatan yang Dihasilkan Tes 2
Mendengus Suricata
12000
Memori CPU 10.000

8000
Gambar 3. Penggunaan CPU dan memori Snort dan Suricata berdasarkan persentase pada Tes 1
6000

4000
Tes Penggunaan CPU dan Memori 2
2000
30 0
25 Mendengus Suricata
20
15
10 Gambar 6. Snort dan Suricata alert pada Test 2
5
0 C.Isu
Mendengus Suricata Beberapa masalah yang dihadapi selama proses percobaan. Pertama,
ada masalah saat mencoba menginstal Suricata ke dalam sistem. Panduan
Memori CPU
penginstalan dari dokumentasi Suricata diikuti, tetapi saat menginstal paket,
kesalahan diterima saat mengonfigurasi libhyperscan4 yang mengatakan CPU
Gambar 4. Penggunaan CPU dan memori Snort dan Suricata berdasarkan persentase pada Tes 2 kurang mendukung set instruksi Supplemental Streaming SIMD Extensions 3
(SSSE3) yang diperlukan untuk menjalankan program terkait
Kedua NIDS bekerja sangat berbeda dalam perilaku waspada mereka.
Suricata memperingatkan hampir 2 kali lebih banyak saat menganalisis jejak
pertama dan 3,5 kali lebih banyak saat menganalisis jejak kedua
Machine Translated by Google

terhadap hyperscan. Opsi diberikan untuk menginstal paket REFERENSI

dan ketika tidak dipilih, penginstalan selesai, tetapi Suricata tidak mau [1]
memulai. Suricata kemudian dihapus, dan perintah yang berbeda digunakan ACM ke-4
untuk menginstal paket, dan kali ini yes dipilih untuk melanjutkan dan Lokakarya Perangkat Lunak dan Kinerja, Jan. 2004, vol. 29, tidak. 1, hal.
207215, Diakses: 14 Maret 2022. [Online]. Tersedia: https://dl.acm.org/doi/pdf/
menginstal paket. Itu menyelesaikan penginstalan dan mulai bekerja seperti
10.1145/974044.974078.
biasa. Juga, tujuan awal dari makalah ini adalah untuk membandingkan
[2]
NIDS dengan aturan yang sama, mirip dengan pekerjaan sebelumnya untuk
perbandingan yang lebih akurat. Ketika ditemukan bahwa Snort 3 telah Standar dan Teknologi, Gaithersburg, MD, Juli 2003. Diakses: 14, 2022.
Merusak. [On line]. Tersedia:
mengubah sintaks aturan, kumpulan aturan ET Open tidak mendukung Snort
https://nvlpubs.nist.gov/nistpubs/Legacy/IR/nistir7007.pdf.
3, dan bahwa kumpulan aturan Snort 3 tidak berfungsi di Suricata, tujuannya -
[3]
diubah. Alih-alih hanya mengukur kinerja, diputuskan untuk juga memeriksa
perilaku peringatan dari kedua NIDS dengan aturan masing-masing yang [4] - Det Intrusi Ringan
dirancang khusus untuk setiap sistem. ,
Seattle, WA, November 1999, hlm. 229238, Diakses: 16 November 2022. [Online].
Tersedia:
https://www.usenix.org/legacy/event/lisa99/full_papers/roesch/roesch.pd
F.
VI. KESIMPULAN
[5] -
Dalam makalah ini, Suricata dan Snort 3, dua sistem deteksi intrusi Snort.org, 2019. https://www.snort.org/.
jaringan sumber terbuka yang populer dibandingkan berdasarkan kinerja dan [6] Suricata. https://suricata.io/.
perilaku peringatannya. Snort telah menjadi standar industri, meskipun hanya [7]
ICDS 2011,
single thread dan berkinerja lebih lemah di lingkungan modern dibandingkan
Gosier, Guadeloupe, Prancis, Februari 2011, hlm. 187192, Diakses: 21 Oktober
dengan Suricata, yang multithread dan sangat dapat diskalakan. Snort 3 2021. [Online].
adalah penulisan ulang lengkap dari mesin lama untuk mendukung [8] J.Putih, T
multithreading dan beberapa fitur baru untuk bersaing dengan Suricata. Cyber Sensing 2013,
Kedua NIDS multithread diuji pada sistem yang sama dan memeriksa lalu Baltimore, MD, Mei 2013, vol. 8757, Diakses: 13 Oktober 2021. [Online].
Tersedia:
lintas berbahaya yang sama. NIDS dikonfigurasikan menggunakan
https://people.clarkson.edu/~jmatthew/publications/SPIE_SnortSuricata
pengaturan standar yang direkomendasikan dan menggunakan kumpulan _2013.pdf.
aturan terbaru yang dirancang khusus untuk setiap sistem. Hasilnya [9] Q. Hu, MR Asghar dan N. Brownlee, "Evaluating network intrusion detection systems
menunjukkan bahwa sistem sangat mirip dalam pemanfaatan CPU for high-speed networks," 2017 27th International Telecommunication Networks
and Applications Conference (ITNAC), 2017, hlm. 1-6, doi: 10.1109 /
ATNAC.2017.8215374
multithreading setara, tetapi dalam penggunaan memori, Suricata lebih
[10]
intensif memori daripada Snort. Mengenai perilaku peringatan, Suricata
Disertasi oktoral, Teknis Colorado
mendeteksi lebih banyak serangan dan memberi peringatan 2 kali dan 3,5 Universitas, 2019.
kali lebih banyak daripada Snort 3 dalam pengujian kami. Aturan tidak [11] Rekayasa
disetel, dan tingkat positif palsu tidak diukur, tetapi ini mencontohkan kecut Perangkat Lunak Empiris
terbuka berbasis terbuka , vol. 27, tidak. 4 Oktober 2021, doi: 10.1007/s10664-021-10046-
perbedaan besar dalam kumpulan aturan ET Open dan Talos LightSPD
w.
yang dirancang untuk Suricata dan Snort masing-masing serta perbedaan
[12]
dalam mesin deteksi dari kedua NIDS. Pekerjaan sebelumnya telah dilakukan suricata.readthedocs.io. https://suricata.readthedocs.io/en/suricata 6.0.4/
untuk membandingkan Snort 2 dan Suricata, tetapi karena Snort 3 dirilis ke index.html (diakses 01 November 2021).
publik pada awal 2021, hanya ada sedikit penelitian yang menelitinya, dan [13] -update - Alat Pembaruan Aturan Suricata suricata-update suricata-
lebih banyak pekerjaan diperlukan untuk memeriksa sepenuhnya NIDS baru update.readthedocs.io. https://
suricata-update.readthedocs.io/en/latest/ (diakses 01 November 2021).
dengan fitur yang ditingkatkan dan kinerja yang lebih baik.

[14] P.Schroeder, Emergingthreats.net, 11 November,

2018. https://doc.emergingthreats.net/bin/view/Main/EmergingFAQ (diakses
10 Maret 2022).