Дэвид Дэй, Бенджамин Бернс

Аннотация – в последнее время наблюдается переход на многоядерные процессоры, и как следствие разработка многопоточных приложений. Многопоточные сетевые системы обнаружения и предотвращения вторжений (NIDPS) рассматриваются в настоящее время. Suricata является многопоточным open source NIDPS, является разработкой Open Information Security Forum (OISF). Это повышает популярность, так как вы можете использовать под лицензией GPL, с открытым исходным кодом. Этот документ описывает эксперимент, состоящий из ряда инновацонных тестов, чтобы установить, показывает ли Suricata повышение точности и производительности системы по сравнению с стандартом де факто однопоточным NIDPS Snort. Результаты показывают, что Snort имеет меньшую нагрузку, чем Suricata и это приводит к меньшему количеству ложных срабатываний при использовании единственного ядра, в исследуемой среде. Однако, Suricata показывает гораздо большую точность в среде, где есть несколько ядер. Suricata показывает масшатабируемость за счет увеличения производительности при работе на четерех ядрах, однако, даже когда Suricata запущена на четерых ядрах, ее способность обработать файл pcap 2Мб еще меньше чем у Snort. В связи с этим, нет никакой выгоды использовать несколько ядер при работе с одним экземпляром Snort. Читать далее…