haku: @keyword IDS / yhteensä: 11
hakutulos-lista
viite: 5 / 11
« edellinen | seuraava »
Tekijä:Ahvenniemi, Mikko
Työn nimi:Selective flow distribution for network-based intrusion detection clusters
Julkaisutyyppi:Diplomityö
Julkaisuvuosi:2012
Sivut:x + 59      Kieli:   eng
Koulu/Laitos/Osasto:Tietotekniikan laitos
Oppiaine:Tietokoneverkot   (T-110)
Valvoja:Aura, Tuomas
Ohjaaja:Hätönen, Kimmo ; Halonen, Perttu
OEVS:
Sähköinen arkistokappale on luettavissa Aalto Thesis Databasen kautta.
Ohje
sulje

Digitaalisten opinnäytteiden lukeminen Aalto-yliopiston Harald Herlin -oppimiskeskuksen suljetussa verkossa

Oppimiskeskuksen suljetussa verkossa voi lukea sellaisia digitaalisia ja digitoituja opinnäytteitä, joille ei ole saatu julkaisulupaa avoimessa verkossa.

Oppimiskeskuksen yhteystiedot ja aukioloajat: https://learningcentre.aalto.fi/fi/harald-herlin-oppimiskeskus/

Opinnäytteitä voi lukea Oppimiskeskuksen asiakaskoneilla, joita löytyy kaikista kerroksista.

Kirjautuminen asiakaskoneille

  • Aalto-yliopistolaiset kirjautuvat asiakaskoneille Aalto-tunnuksella ja salasanalla.
  • Muut asiakkaat kirjautuvat asiakaskoneille yhteistunnuksilla.

Opinnäytteen avaaminen

  • Asiakaskoneiden työpöydältä löytyy kuvake:

    Aalto Thesis Database

  • Kuvaketta klikkaamalla pääset hakemaan ja avaamaan etsimäsi opinnäytteen Aaltodoc-tietokannasta. Opinnäytetiedosto löytyy klikkaamalla viitetietojen OEV- tai OEVS-kentän linkkiä.

Opinnäytteen lukeminen

  • Opinnäytettä voi lukea asiakaskoneen ruudulta tai sen voi tulostaa paperille.
  • Opinnäytetiedostoa ei voi tallentaa muistitikulle tai lähettää sähköpostilla.
  • Opinnäytetiedoston sisältöä ei voi kopioida.
  • Opinnäytetiedostoa ei voi muokata.

Opinnäytteen tulostus

  • Opinnäytteen voi tulostaa itselleen henkilökohtaiseen opiskelu- ja tutkimuskäyttöön.
  • Aalto-yliopiston opiskelijat ja henkilökunta voivat tulostaa mustavalkotulosteita Oppimiskeskuksen SecurePrint-laitteille, kun tietokoneelle kirjaudutaan omilla Aalto-tunnuksilla. Väritulostus on mahdollista asiakaspalvelupisteen tulostimelle u90203-psc3. Väritulostaminen on maksullista Aalto-yliopiston opiskelijoille ja henkilökunnalle.
  • Ulkopuoliset asiakkaat voivat tulostaa mustavalko- ja väritulosteita Oppimiskeskuksen asiakaspalvelupisteen tulostimelle u90203-psc3. Tulostaminen on maksullista.
Sijainti:P1 Ark Aalto  6733   | Arkisto
Avainsanat:IDS
NIDS
performance
load balancing
cluster
IDS
NIDS
suorituskyky
kuorman jako
ryväs
Tiivistelmä (fin): Tietokone- ja tietoliikenneverkkojen käyttäjiin kohdistuu useita uhkia kuten haittaohjelmat, porttiskannaukset ja suoranaiset hyökkäykset, joilla pyritään pääsemään järjestelmän pääkäyttäjäksi tai murtamaan muita käyttäjätunnuksia.
Tunkeutumisten havaitsemisjärjestelmät tutkivat verkkoliikennettä tai käyttöjärjestelmän toimia havaitakseen merkkejä hyökkäyksistä.

Tietoverkkopohjaisille tunkeutumistenhavaitsemisjärjestelmille suorituskyky on kriittinen asia varsinkin, jos verkkoliikenteen nopeus nousee kymmeneen gigabittiin sekunnissa ja sen yli.

Yksi tapa parantaa laskentatehoa on käyttää edullisista tietokoneista koostuvaa ryvästä.
Silloin on tärkeää päättää, kuinka analysointikuorma jaetaan ryppään koneiden kesken.
Perinteisesti verkkopohjaisissa tunkeutumistenhavaitsemisjärjestelmissä on käytetty kiertovuorotteluperiaatteella toimivaa kuorman jakoa.

Tässä työssä esitämme valikoivan verkkoliikennevirtojen jakamisen menetelmän verkkopohjaisille tunkeutumistenhavaitsemisjärjestelmille.
Rakennamme verkkopohjaisen tunkeutumisten havaitsemisjärjestelmäryppään prototyypin, joka käyttää Snort-ohjelmistoa liikenteen analysointiin ja Linux Netfilteriä verkkoliikennevirtojen valikoivaan jakamiseen.
Etsimme verkkoliikenteestä homogeenisia virtoja ja jaamme ne omille ryppääseen kuuluville koneilleen.
Kokeemme osoittavat, että ryppään koneet suoriutuvat laskennasta 10 - 15 % nopeammin kuin kiertovuorottelupohjaisella kuorman jaolla.

Suorituskyvyn paranemiseen vaikuttavia tekijöitä tulisi tutkia vielä tarkemmin.
Ryväsprototyyppiä voisi parantaa muokkaamalla Linux Netfilterin koodia niin, että saisimme todella käyttöön liikennevirtoihin pohjautuvan reitityksen ja mahdollisuuden käyttää kuorman jaossa myös yhteenkuuluvia liikennevirtoja.
Siihen tulisi myös lisätä tuki GPRS-tunnelointiyhteyskäytännön reititykselle.
Tiivistelmä (eng): Computer and telecom network users face many threats including malware, port scanning, and outright attacks to gain root access or crack other user accounts.
Intrusion detection systems (IDS) monitor network traffic or operating system activities to detect signs of attacks.
For network-based intrusion detection systems (NIDS) performance becomes a critical issue when traffic rates rise to ten Gbps and above.

One way to tackle the increasing computational demands is the use of a cluster of commodity hardware.
Balancing the load between the cluster nodes then becomes a major issue.
Traditionally in network-based intrusion detection clusters load balancing has been done in round robin fashion.
In this thesis we present a selective flow distribution method for network-based intrusion detection clusters.
We build a network-based intrusion detection cluster prototype that uses Snort for the packet analysis on the cluster nodes and Linux Netfilter for the selective flow distribution.
We find homogenous flows from sample traffic and distribute these homogenous flows for separate cluster nodes.
The cluster nodes running Snort perform 10-15% faster in our experiments compared to the round robin load balancing.

The factors affecting the performance benefit should be studied further, and the cluster prototype can be improved by modifying the Linux Netfilter code to enable truly flow-based routing and load balancing based on related flows, and by adding support for GPRS Tunnelling Protocol routing.
ED:2012-05-16
INSSI tietueen numero: 44574
+ lisää koriin
« edellinen | seuraava »
INSSI