search query: @keyword cluster / total: 13
results-list
reference: 2 / 13
« previous | next »
Author:Ahvenniemi, Mikko
Title:Selective flow distribution for network-based intrusion detection clusters
Publication type:Master's thesis
Publication year:2012
Pages:x + 59      Language:   eng
Department/School:Tietotekniikan laitos
Main subject:Tietokoneverkot   (T-110)
Supervisor:Aura, Tuomas
Instructor:Hätönen, Kimmo ; Halonen, Perttu
OEVS:
Electronic archive copy is available via Aalto Thesis Database.
Instructions
close

Reading digital theses in the closed network of the Aalto University Harald Herlin Learning Centre

In the closed network of Learning Centre you can read digital and digitized theses not available in the open network.

The Learning Centre contact details and opening hours: https://learningcentre.aalto.fi/en/harald-herlin-learning-centre/

You can read theses on the Learning Centre customer computers, which are available on all floors.

Logging on to the customer computers

  • Aalto University staff members log on to the customer computer using the Aalto username and password.
  • Other customers log on using a shared username and password.

Opening a thesis

  • On the desktop of the customer computers, you will find an icon titled:

    Aalto Thesis Database

  • Click on the icon to search for and open the thesis you are looking for from Aaltodoc database. You can find the thesis file by clicking the link on the OEV or OEVS field.

Reading the thesis

  • You can either print the thesis or read it on the customer computer screen.
  • You cannot save the thesis file on a flash drive or email it.
  • You cannot copy text or images from the file.
  • You cannot edit the file.

Printing the thesis

  • You can print the thesis for your personal study or research use.
  • Aalto University students and staff members may print black-and-white prints on the PrintingPoint devices when using the computer with personal Aalto username and password. Color printing is possible using the printer u90203-psc3, which is located near the customer service. Color printing is subject to a charge to Aalto University students and staff members.
  • Other customers can use the printer u90203-psc3. All printing is subject to a charge to non-University members.
Location:P1 Ark Aalto  6733   | Archive
Keywords:IDS
NIDS
performance
load balancing
cluster
IDS
NIDS
suorituskyky
kuorman jako
ryväs
Abstract (eng): Computer and telecom network users face many threats including malware, port scanning, and outright attacks to gain root access or crack other user accounts.
Intrusion detection systems (IDS) monitor network traffic or operating system activities to detect signs of attacks.
For network-based intrusion detection systems (NIDS) performance becomes a critical issue when traffic rates rise to ten Gbps and above.

One way to tackle the increasing computational demands is the use of a cluster of commodity hardware.
Balancing the load between the cluster nodes then becomes a major issue.
Traditionally in network-based intrusion detection clusters load balancing has been done in round robin fashion.
In this thesis we present a selective flow distribution method for network-based intrusion detection clusters.
We build a network-based intrusion detection cluster prototype that uses Snort for the packet analysis on the cluster nodes and Linux Netfilter for the selective flow distribution.
We find homogenous flows from sample traffic and distribute these homogenous flows for separate cluster nodes.
The cluster nodes running Snort perform 10-15% faster in our experiments compared to the round robin load balancing.

The factors affecting the performance benefit should be studied further, and the cluster prototype can be improved by modifying the Linux Netfilter code to enable truly flow-based routing and load balancing based on related flows, and by adding support for GPRS Tunnelling Protocol routing.
Abstract (fin): Tietokone- ja tietoliikenneverkkojen käyttäjiin kohdistuu useita uhkia kuten haittaohjelmat, porttiskannaukset ja suoranaiset hyökkäykset, joilla pyritään pääsemään järjestelmän pääkäyttäjäksi tai murtamaan muita käyttäjätunnuksia.
Tunkeutumisten havaitsemisjärjestelmät tutkivat verkkoliikennettä tai käyttöjärjestelmän toimia havaitakseen merkkejä hyökkäyksistä.

Tietoverkkopohjaisille tunkeutumistenhavaitsemisjärjestelmille suorituskyky on kriittinen asia varsinkin, jos verkkoliikenteen nopeus nousee kymmeneen gigabittiin sekunnissa ja sen yli.

Yksi tapa parantaa laskentatehoa on käyttää edullisista tietokoneista koostuvaa ryvästä.
Silloin on tärkeää päättää, kuinka analysointikuorma jaetaan ryppään koneiden kesken.
Perinteisesti verkkopohjaisissa tunkeutumistenhavaitsemisjärjestelmissä on käytetty kiertovuorotteluperiaatteella toimivaa kuorman jakoa.

Tässä työssä esitämme valikoivan verkkoliikennevirtojen jakamisen menetelmän verkkopohjaisille tunkeutumistenhavaitsemisjärjestelmille.
Rakennamme verkkopohjaisen tunkeutumisten havaitsemisjärjestelmäryppään prototyypin, joka käyttää Snort-ohjelmistoa liikenteen analysointiin ja Linux Netfilteriä verkkoliikennevirtojen valikoivaan jakamiseen.
Etsimme verkkoliikenteestä homogeenisia virtoja ja jaamme ne omille ryppääseen kuuluville koneilleen.
Kokeemme osoittavat, että ryppään koneet suoriutuvat laskennasta 10 - 15 % nopeammin kuin kiertovuorottelupohjaisella kuorman jaolla.

Suorituskyvyn paranemiseen vaikuttavia tekijöitä tulisi tutkia vielä tarkemmin.
Ryväsprototyyppiä voisi parantaa muokkaamalla Linux Netfilterin koodia niin, että saisimme todella käyttöön liikennevirtoihin pohjautuvan reitityksen ja mahdollisuuden käyttää kuorman jaossa myös yhteenkuuluvia liikennevirtoja.
Siihen tulisi myös lisätä tuki GPRS-tunnelointiyhteyskäytännön reititykselle.
ED:2012-05-16
INSSI record number: 44574
+ add basket
« previous | next »
INSSI