Evaluation of three intrusion detection systems under various attacks

การประเมินระบบการตรวจจับการบุกรุกสามระบบภายใต้การโจมตีหลายแบบ

Name: Kittikhun Thongkanchorn.

LCSH: Computer networks -- Security measures.

LCSH: Computer security -- Evaluation.

LCSH: Data protection.

Abstract: Intrusion detection system (IDS) tools for detecting malicious traffic have been widely used in many organizations and they use a variety of technologies. Each IDS tool deploys different approaches and has been developed under different purposes. Intrusion detection systems include a set of IDS rules which can be defined differently. Therefore, choosing an IDS tool to work efficiently and appropriately in a specific environment would not be easy. The goal of this research was to evaluate three popular open-source IDS tools in terms of performance and accuracy. The selected IDS tools were Snort, Bro and Suricata. In addition, their system architecture and the main components were compared and analyzed. The experiments conducted used various attack types including DoS attack, DNS attack, FTP attack, Scan port attack, and SNMP attack. Each experiment was run under different traffic rates and only a specific set of rules was active. Moreover, the performance metrics used to measure was the number of packets lost, the number of alerts, the CPU utilization and the memory usage. The results showed that each attack type had significant effects on the performance of each IDS tool in different ways. Specifically, Bro IDS showed better performance than other IDS tools when evaluated under different attack types and using a specific set of rules. The results also indicated that the accuracy dropped when the three IDS tools activate the full rule sets instead of a specific set of rules.

Abstract: ระบบการตรวจจับการบุกรุก (Intrusion Detection System, IDS) เป็นระบบใช้ตรวจจับความ ผิดปกติของข้อมูลในระบบคอมพิวเตอร์ ที่มีการใช้งานอย่างแพร่หลายในหลายหน่วยงานและมีเทคโนโลยีการทำงานหลายรูปแบบ IDS ได้มีการพัฒนาเพื่อใช้งานในแบบต่าง ๆ โดยมีการกำหนดกฎหรือกติกาในการตรวจจับความผิดปกติ ดังนันการเลือกระบบที่เหมาะสมกับสิ่งแวดล้อมเฉพาะจึงไม่ใช่สิ่งที่ง่าย จุดมุ่งหมายของงานวิจัยนีเพื่อประเมินระบบตรวจสอบการบุกรุกที่เป็นระบบเปิด (Open- Source) และที่นิยมใช้งานอย่างแพร่หลายจำนวนสามระบบ คือSnort Bro และ Suricata โดยนำโครงสร้างของระบบและส่วนประกอบสำคัญมาทำการวิเคราะห์และเปรียบเทียบด้วยซึ่งในการทดลองได้มีการประเมินจากการสร้างสถานการณ์การโจมตีที่หลากหลาย เช่น DoS attack, DNS attack , FTP attack, SCAN port attack และ SNMP attack และแต่ละการทดลองได้มีการกำหนดความเร็วข้อมูลการจราจรที่แตกต่างกัน รวมทังมีการกำหนดกฎที่ใช้งานโดยเฉพาะไม่เหมือนกันส่วนตัวแปรที่ใช้วัดประสิทธิภาพในการทดลองคือ จำนวน Packet Loss จำนวน Alert ปริมาณการใช้งาน CPU และการใช้งาน Memory ผลการทดลอง แสดงให้เห็นว่าการโจมตีแต่ละชนิดได้ส่งผลอย่างมากและแตกต่างต่อประสิทธิภาพการทำงานของ IDS แต่ละชนิดโดย Bro มีความสามารถและมีความแม่นยำในการตรวจจับความผิดปกติของข้อมูลที่มีการโจมตีหลากหลายกว่า IDS ระบบอื่น นอกจากนี้ผลการทดลองได้แสดงว่าการใช้กฎทั้งหมดได้ลดความแม่นยำของการตรวจจับเมื่อเทียบกับใช้กฎเฉพาะในแต่ละการโจมตีของทุก IDS

Mahidol University. Mahidol University Library and Knowledge Center

Address: NAKHONPATHOM

Email: liwww@mahidol.ac.th

Name: Sudsanguan Ngamsuriyaroj

Role: Thesis Advisors

Name: Vasaka Visoottiviseth

Role: Thesis Advisors

Name: Thitinan Tantidham

Role: Thesis Advisors

Created: 2012

Modified: 2019-11-14

Issued: 2019-11-14

วิทยานิพนธ์/Thesis

application/pdf

CallNumber: TH K62e 2012

eng

DegreeName: Master of Science

Level: Master's Degree

Descipline: Computer Science

Grantor: Mahidol University

©copyrights Mahidol University

ลำดับที่.	ชื่อแฟ้มข้อมูล	ขนาดแฟ้มข้อมูล	จำนวนเข้าถึง	วัน-เวลาเข้าถึงล่าสุด
1	5037735.pdf	17.54 MB	10	2021-05-19 17:04:42

ใช้เวลา

0.345975 วินาที