[논문]오픈소스 IDS/IPS Suricata를 적용한 Windows7과 Ubuntu 성능 비교 분석

석진욱; 김지명; 최문석

doi:10.17662/ksdim.2017.13.4.141

오픈소스 IDS/IPS Suricata를 적용한 Windows7과 Ubuntu 성능 비교 분석
The Comparative Study on Performance Analysis of Windows 7 and Ubuntu Applying Open Source IDS/IPS Suricata 원문보기

디지털산업정보학회논문지 = Journal of the Korea Society of Digital Industry and Information Management, v.13 no.4, 2017년, pp.141 - 151

석진욱 (시큐어원 컨설팅팀) , 김지명 (한국인터넷진흥원 공인전자주소팀) , 최문석 (우리에프아이에스 정보보안부)

Abstract ▼ AI-Helper

Nowadays, It is undeniable that the threat of network security is growing as time flows due to worldwide development of wire/wireless, various Internet platform and sophisticated hacking techniques. The amount of traffics that Network security solution has to handle is increasing and recently many occurrence of explosive traffic attacks from PulseWave are being observed which has many similar characteristics to New DDos. Medium and small sized firms abroad have developed and distributed Snort and Suricata that are based on open-source Intrusion Detection System(IDS) / Intrusion Prevention System (IPS). The goal of this study is to compare between Windows7 by applying suicata 4.0.0 32bit version and Ubuntu 16.04.3 LTS by applying suicata 4.0.0 version which is an open source Intrusion Detection System / Intrusion Protection System that uses multi threads method. This experiment's environment was set as followed C1100 server model of Dell, Intel Xeon CPU L5520 2.27GHz*2 with 8 cores and 16 threads, 72GB of RAM, Samsung SSD 250GB*4 of HDD which was set on RAID0. According to the result, Suricata in Ubuntu is superior to Suricata in Windows7 in performance and this result indicates that Ubuntu's performance is far advanced than Windows7. This meaningful result is derived because Ubuntu that applied Suricata used multi core CPU and RAM more effectively.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 오픈소스 침입탐지시스템/침입방지시스템인 Suricata를 적용한 Windows7과 Ubuntu 성능 비교 분석T 실험을 증명하였다.

제안 방법

Suricata에서 Pcap파일을 실행을 하는 방법 실험을 진행하였다. 본 연구의 한계점으로는 실제 사용 하는 네트워크 구성에 Suricata를 설치하여 실험을 진행을 하지 못하였다는 점이 본 논문의 한계점이라 할 수 있다.
하이브리드 탐지는 오용 탐지와 이상 탐지 방법을 결합하여 탐지 기능을 향상 시킨 탐지 방법으로 호스트에 에이전트를 설치하여 오용 탐지 및 이상 탐지 데이 터를 네트워크 정보와 결합하여 탐지하는 방법이다 [7]. 데이터마이닝 탐지는 데이터의 중요한 이벤트, 이상 징후, 구조의 패턴 변경에 따른 침입 탐지의 프로세스 개선에 도움을 주며 침입 탐지에 사용하는 룰셋 및 이상치 탐지의 군집을 분류하여 알려지지 않은 해킹 행위를 분석하여 예측을 한다[8]. 마지막으로 화이트/블랙리스트 탐지는 도메인 정보와 IP 정보를 사용하여 리스트를 작성하는데 그 리스트를 기반으로 탐지 및 차단을 하거나 예외처리를 하는 방법이다[7].
<그림 3>은 Windows 배치파일 Suricata 실험 자동화를 구현한 모습이고, <그림 4>는 Ubuntu에서 Suricata 실험 자동화를 구현한 모습이다, 각각의 운영체제에서 Suricata를 Pcap파일 실행 후 완료 시간을 측정하였고 총 3회 실험을 진행하여 평균값을 가지고 비교 하였다. 마지막으로 하나의 Pcap을 실행후 생기는 로그 파일들은 삭제 후 다음 Pcap파일을 실행하는 배치 파일 및 쉘스크립트를 작성하여 실행 하였다.
은 Windows 배치파일 Suricata 실험 자동화를 구현한 모습이고, 는 Ubuntu에서 Suricata 실험 자동화를 구현한 모습이다, 각각의 운영체제에서 Suricata를 Pcap파일 실행 후 완료 시간을 측정하였고 총 3회 실험을 진행하여 평균값을 가지고 비교 하였다.
2009년 Suricata는 미국 국토안보부에서 자금 지원을 하여 OISF를 설립, 2010년 침입방지/탐지시스 템인 Suricata를 개발하였다. 컴퓨터의 하드웨어의 발전과 네트워크 트래픽의 폭발적인 증가는 Snort의 Single Threads 방식은 너무 큰 약점으로 지적되었고, 이에 Suricata를 개발하였다. Snort의 룰셋 호환과 성능향상 및 기능의 추가는 Suricata의 매력이라 할 수 있겠다[9].

대상 데이터

이 때 사용된 알고리즘은 Aho-Corasick 알고리즘을 사용하였다. 성능 측정에 사용된 Pcap파일의 경우 다양한 용량 및 악성행위 트래픽을 포함 하고 있는 CTU 홈페이지 내 Pcap 파일을 다운 받아 실험하였고 실험에서 사용 한 파일의 개수는 71 개였다.
실험을 위하여 DELL사의 C1100 서버를 이용하 였고 CPU는 Intel Xeon CPU L5520 2.27GHz*2 총 8core 16threads RAM은 72GB, 삼성 SSD EVO 250Gb*4를 사용하였다. 성능 측정 실험에 사용된 운영체제는 Windows7 SP1, Ubuntu는 16.

이론/모형

Suricata 설치 후 모든 설정은 Default 설정으로 진행하였으며, 룰셋의 개수는 11902로 동일하게 맞추었다. 이 때 사용된 알고리즘은 Aho-Corasick 알고리즘을 사용하였다. 성능 측정에 사용된 Pcap파일의 경우 다양한 용량 및 악성행위 트래픽을 포함 하고 있는 CTU 홈페이지 내 Pcap 파일을 다운 받아 실험하였고 실험에서 사용 한 파일의 개수는 71 개였다.

성능/효과

67초가 걸렸다. 1.04GB Pcap 파일은 Windows7에서 2171.08초가 걸렸으며, Ubuntu에서는 13.48초가 걸렸다.
89초가 걸렸다. 1.08GB Pcap 파일은 Windows7에서 1023.89초가 걸렸으며, Ubuntu에서는 13.11초가 걸렸다. 497MB Pcap 파일은 Windows7에서 4.
70초가 걸렸다. 1.17GB Pcap 파일은 Windows7에서 2343.69초가 걸렸으며, Ubuntu에서는 7.83초가 걸렸다. 336MB Pcap 파일은 Windows7에서 109.
21초가 걸렸다. 1.17GB Pcap 파일은 Windows7에서 9496.81초가 걸렸으며, Ubuntu 에서는 22.45초가 걸렸다.
93초가 걸렸다. 1.27GB Pcap 파일은 Windows7에서 2490.98초가 걸렸으며, Ubuntu에서는 9.42초가 걸렸다. 764MB Pcap 파일은 Windows7에서 1902.
30 초가 걸렸다. 1.29GB Pcap 파일은 Windows7에서 1903.11초가 걸렸으며, Ubuntu에서는 11.46초가 걸렸다. 2.
42초가 걸렸다. 1.32GB Pcap 파일은 Windows7에서 8112.88초가 걸렸으며, Ubuntu 에서는 40.99초가 걸렸다. 183MB Pcap 파일은 Windows7에서 1099.
73초가 걸렸다. 1.37GB Pcap 파일은 Windows7에서 3224.94초가 걸렸으며, Ubuntu에서는 24.77초가 걸렸다. 221MB Pcap 파일은 Windows7에서 174.
21초가 걸렸다. 1.59GB Pcap 파일은 Windows7에서 7665.29초가 걸렸으며, Ubuntu에서는 73.21초가 걸렸다. 1.
19초가 걸렸다. 1.65GB Pcap 파일은 Windows7에서 4559.92초가 걸렸으며, Ubuntu에서는 12.35초가 걸렸다.
91초가 걸렸다. 1.78GB Pcap 파일은 Windows7에서 9853.81초가 걸렸으며, Ubuntu에서는 34.64초가 걸렸다. 3.
77초가 걸렸다. 1.81GB Pcap 파일은 Windows7에서 7203.07초가 걸렸으며, Ubuntu에서는 20.94초가 걸렸다. 1.
94초가 걸렸다. 1.82GB Pcap 파일은 Windows7에서 7659.20초가 걸렸으며, Ubuntu에서는 20.98초가 걸렸다. 346MB Pcap 파일은 Windows7에서 319.
36초가 걸렸다. 13.2GB Pcap 파일은 Windows7에서 173482.52초가 걸렸으며, Ubuntu에서는 302.44초가 걸렸다. 470MB Pcap 파일은 Windows7에서 6190.
92초가 걸렸다. 14.0GB Pcap 파일은 Windows7에서 49324.10초가 걸렸으며, Ubuntu에서는 128.20초가 걸렸다. 8.
01초가 걸렸다. 14.0GB Pcap 파일은 Windows7에서 54578.63초가 걸렸으며, Ubuntu에서는 129.64초가 걸렸다. 8.
20초가 걸렸다. 2.11GB Pcap 파일은 Windows7에서 3162.81초가 걸렸으며, Ubuntu 에서는 15.66초가 걸렸다. 105MB Pcap 파일은 Windows7에서 122.
46초가 걸렸다. 2.28GB Pcap 파일은 Windows7에서 3398.90 초가 걸렸으며, Ubuntu에서는 14.91초가 걸렸다. 1.
95초가 걸렸다. 2.44GB Pcap 파일은 Windows7에서 3679.28초가 걸렸으며, Ubuntu에서는 17.24초가 걸렸다. 249MB Pcap 파일은 Windows7에서 41.
73초가 걸렸다. 2.48GB Pcap 파일은 Windows7에서 2560.08초가 걸렸으며, Ubuntu에서는 78.57초가 걸렸다. 2.
57초가 걸렸다. 2.79GB Pcap 파일은 Windows7에서 51044.08초가 걸렸으며, Ubuntu에서는 112.96초가 걸렸다. 747MB Pcap 파일은 Windows7에서 7619.
27초가 걸렸다. 3.09GB Pcap 파일은 Windows7에서 86927.61초가 걸렸으며, Ubuntu에서는 191.92초가 걸렸다. 14.
64초가 걸렸다. 3.85GB Pcap 파일은 Windows7에서 721.74초가 걸렸으며, Ubuntu에서는 25.20초가 걸렸다. 2.
47초가 걸렸다. 3.96GB Pcap 파일은 Windows7에서 16064.66초가 걸렸으며, Ubuntu에서는 36.01초가 걸렸다. 14.
73초가 걸렸다. 3.97GB Pcap 파일은 Windows7에서 15942.48초가 걸렸으며, Ubuntu에서는 38.77초가 걸렸다. 1.
04초가 걸렸다. 4.42GB Pcap 파일은 Windows7에서 8713.77초가 걸렸으며, Ubuntu에서는 29.22초가 걸렸다. 655MB Pcap 파일은 Windows7에서 979.
79초가 걸렸다. 6.0GB Pcap 파일은 Windows7에서 8057.81초가 걸렸으며, Ubuntu에서는 41.95초가 걸렸다. 2.
20초가 걸렸다. 8.17GB Pcap 파일은 Windows7에서 28719.37초가 걸렸으며, Ubuntu에서는 73.84초가 걸렸다.
64초가 걸렸다. 8.19GB Pcap 파일은 Windows7에서 28886.97초가 걸렸으며, Ubuntu에서는 73.73초가 걸렸다. 3.
Suricata의 특징은 앞서 설명하였듯 대용량의 트래픽을 Single Thread 방식의 Snort로는 탐지의 한계가 있었고 Multi Threads 방식의 Suricata는 더욱 향상된 기술로 대용량의 트래픽 탐지를 지원할 수있다. 또한 기존에 사용하던 Snort의 룰셋 호환이 가능하고, NVDIA사의 그래픽카드의 GPU를 사용 하여 탐지 성능을 향상 시킬 수 있다. LUA 스크립트로 시그니처를 만들 수 있는 장점이 있고 Snort에는 없던 몇 가지의 탐지 기능이 추가되었다[5].
마지막으로 의 실험결과 그래프는 각각의 그래프에서 나온 Pcap파일 평균 실험값을 합친 결과로 Windows7은 689025.06초, Ubuntu는 1827.11초로 압도적으로 Ubuntu에서의 성능이 좋았다.
<그림 12>에서 나타났듯 71개 Pcap파일을 3번 돌려 나온 평균이 Windows7은 689025.06초, Ubuntu는 1827.11초로 나왔으며 이는 Ubuntu에서의 성능이 Windows7보다 월등한 성능을 보였다. 이러한 결과는 Suricata를 적용한 Ubuntu에서 멀티 코어 CPU 사용을 더욱 효과적으로 사용했기 때문에 Ubuntu에서의 실험결과가 더욱 의미 있게 나온 것으로 해석된다.
이 실험을 통하여 나날이 발전하는 컴퓨터 하드웨어 환경에서 오픈소스 침입탐지시스템/침입방지 시스템인 Suricata를 설치 및 운영에 있어 어떤 운영체제에서 최적화된 성능을 보이는지 실험을 통하여 증명하였다.

후속연구

본 연구의 차별화는 전 세계 운영체제 1위의 점유율의 Windows7과 Ubuntu에 Suricata를 적용 및 설치하여 어떠한 운영체제 환경에서 Suricata가 더욱 효과적인 성능을 내는지에 대하여 제언하고자 한다.
Suricata에서 Pcap파일을 실행을 하는 방법 실험을 진행하였다. 본 연구의 한계점으로는 실제 사용 하는 네트워크 구성에 Suricata를 설치하여 실험을 진행을 하지 못하였다는 점이 본 논문의 한계점이라 할 수 있다. 향후 다양한 운영체제에서의 Suricata를 설치 및 적용하여 연구를 진행할 필요가 있겠고 토마호크와 같은 공격트래픽 생성기를 사용하여 실제 네트워크 및 보안시스템 구축 후 실험을 진행할 필요가 있을 것이다.
본 연구의 한계점으로는 실제 사용 하는 네트워크 구성에 Suricata를 설치하여 실험을 진행을 하지 못하였다는 점이 본 논문의 한계점이라 할 수 있다. 향후 다양한 운영체제에서의 Suricata를 설치 및 적용하여 연구를 진행할 필요가 있겠고 토마호크와 같은 공격트래픽 생성기를 사용하여 실제 네트워크 및 보안시스템 구축 후 실험을 진행할 필요가 있을 것이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	침입탐지시스템/침입방지시스템의 기법 중 오용 탐지는 무엇인가?	침입탐지시스템/침입방지시스템의 기법은 다섯 가지의 방법으로 나눌 수 있는데 화이트/블랙리스트, 오용 탐지, 이상 탐지, 하이브리드 탐지, 데이터 마이닝 탐지의 방법이 있다. 오용 탐지는 일반적으로 해킹 패턴이라고 정한 모델과 일치할 경우 탐지를 하는 것을 말하고 이러한 정하여진 패턴이 아닌 것을 탐지하는 것을 이상 탐지라고 한다[6]. 하이브리드 탐지는 오용 탐지와 이상 탐지 방법을 결합하여 탐지 기능을 향상 시킨 탐지 방법으로 호스트에 에이전트를 설치하여 오용 탐지 및 이상 탐지 데이 터를 네트워크 정보와 결합하여 탐지하는 방법이다 [7].
	네트워크 공격기법을 방어하기 위하여 과거부터 현재까지 많이 사용하고 있는 것은?	네트워크 공격기법을 방어하기 위하여 과거부터 현재까지 방화벽을 많이 사용하고 있고, 이러한 방화벽은 네트워크 Port를 Allow/Deny 함으로 네트워크 공격을 차단하는 시스템이다. 침입탐지시스템 /침입차단시스템은 네트워크를 통한 트래픽을 분석 하여 유해한 트래픽이 있는지 실시간으로 검사를 하며 침입이 탐지되었을 경우 해당하는 내용을 관리자 에게 알려준다[1].
	침입탐지시스템 /침입차단시스템은 어떤 역할을 하는가?	네트워크 공격기법을 방어하기 위하여 과거부터 현재까지 방화벽을 많이 사용하고 있고, 이러한 방화벽은 네트워크 Port를 Allow/Deny 함으로 네트워크 공격을 차단하는 시스템이다. 침입탐지시스템 /침입차단시스템은 네트워크를 통한 트래픽을 분석 하여 유해한 트래픽이 있는지 실시간으로 검사를 하며 침입이 탐지되었을 경우 해당하는 내용을 관리자 에게 알려준다[1].

참고문헌 (16)

기원호, "침입탐지시스템을 위한 TCAM 기반 패턴 매칭 하드웨어 구조," 연세대학교 석사학위논문, 2007.
양환석, "사물인터넷 환경에서 안전성과 신뢰성 향상을 위한 Dual-IDS 기법에 관한 연구," 디지털산업정보학회 논문지, 제13권, 제1호, 2017, pp.49-57.

원문보기 상세보기
석진욱.최문석.김지명, "오픈소스 IDS IPS Snort 와 Suricata의 탐지 성능에 대한 비교 연구," 디지털산업정보학회 논문지, 제12권, 제1호, 2016, pp.89-95.

원문보기 상세보기
유상규, "멀티코어 환경에서 다중 큐를 이용한 멀티 스레드 기반 IPS 시스템의 설계 및 구현," 서강대학교, 석사학위논문, 2013.
장상근, 네트워크 보안 시스템 구축과 보안 관제, 한빛출판사, 2015, p.44.
이용봉, "최적적응과 대응능력을 위한 침입탐지 시스템 해석에 대한 연구," 한밭대학교 정보통신전문대학원, 박사학위논문, 2016.
손동식, "침입방지시스템(IPS)에서 알려지지 않은 사이버공격 탐지에 관한 순환탐지 및 방어 아키텍처 설계," 건국대학교 정보통신대학원 석사 학위논문, 2015.
박종명, "클러스터링기법을 이용한 실시간 네트 워크 침입탐지 시스템의 설계," 서울시립대학교 대학원 석사학위논문, 2005.
박우진 외, "Suricata의 Multi-Threading 효율성에 관한 실험적 연구," 한국통신학회, 한국통신학회 학술대회논문집, Vol.2015, No.06, 2015, pp.874-875.
우재남, 뇌를 자극하는 Windows Server 2008, 한빛미디어(주), 2011, pp.78-79.
넷마켓쉐어 데스크탑 운영체제 마켓 쉐어, http://marketshare.hitslink.com/operating-system-market-share.aspx?qprid8&qpcustomd0
넷마켓쉐어 데스크탑 운영체제 마켓 쉐어, http://marketshare.hitslink.com/operating-system-market-share.aspx?qprid10&qpcustomd0
김종원, C++와 C# 예제로 쉽게 배우는 윈도우7 프로그래밍, (주)갑우문화사, 2011, pp.29-31.
이준희, 우분투 투게더, 인사이트, 2015, pp.4-21.
크리스토퍼 니거스, 프랑소와캉, Ubuntu Linux Toolbox, (주)지앤선, 2009, pp.5-6.
이준희, 웰컴 투 우분투, 인사이트, 2010, pp.19-30.

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

오픈소스 IDS/IPS Suricata를 적용한 Windows7과 Ubuntu 성능 비교 분석
The Comparative Study on Performance Analysis of Windows 7 and Ubuntu Applying Open Source IDS/IPS Suricata 원문보기

Abstract ▼ AI-Helper

주제어

AI 본문요약
AI-Helper

문제 정의

제안 방법

대상 데이터

이론/모형

성능/효과

후속연구

질의응답

참고문헌 (16)

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

오픈소스 IDS/IPS Suricata를 적용한 Windows7과 Ubuntu 성능 비교 분석 The Comparative Study on Performance Analysis of Windows 7 and Ubuntu Applying Open Source IDS/IPS Suricata 원문보기

Abstract ▼ AI-Helper

주제어

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

대상 데이터

이론/모형

성능/효과

후속연구

질의응답

참고문헌 (16)

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

오픈소스 IDS/IPS Suricata를 적용한 Windows7과 Ubuntu 성능 비교 분석
The Comparative Study on Performance Analysis of Windows 7 and Ubuntu Applying Open Source IDS/IPS Suricata 원문보기

AI 본문요약
AI-Helper