PERFORMANCE ANALYSIS OF SIGNATURE - BASED NETWORK INTRUSION DETECTION SYSTEM

Abstract

Abstract Network Intrusion Detection Systems (NIDSs) are widely used to detect malicious traffic, misuse and violate security policies. NIDSs are the most reliable security mechanisms in protecting networks and devices today because they are capable of detecting new attacks as well as malicious traffic; because they use machine learning algorithms that can easily identify the malicious activities. Unfortunately, it has many limitations, such as it does not have the ability to prevent DoS /DDoS attacks generally, as it tends to drop packets in high traffic and heavy traffic also. The purpose of this research is to analyse the performance of some tools of NIDS open source, such as snort, suricata, security onion, bro, and Osseo, etc. The experiments were performed using TCP attacks, SYN attacks, and ICMP attacks. The experiment is performed under different traffic rates (100, 500, 1000 and 2000 packet / second), experiments were conducted in virtual environment; NIDSs performance is calculated by consume CPU and RAM, as well as packet loss in motion various traffic. We conclude that the performance of NIDSs differs from one type to other at normal and /or malicious traffic. The Performance of snort has shown a good performance in determining alerts for malicious attacks when compared by suricata tool. The performance, of suricata better, than snort, when working in a high-speed traffic, environment. Performance of security onions, better than others, but consumes (RAM and CPU). These NIDSs tools it agrees that the rate of alerts decreases in very high traffic, indicating that some packets are generally lost. That these tools are still in the research stages, and can be part of the larger search for better performance of intrusion detection tools.

ملخص الرسالة: تستخدم أنظمة كشف التسلل الشبكى (NIDSs) على نطاق واسع لاكتشاف حركة المرور الضارة وسوء الاستخدام وانتهاك سياسات الأمان. تعد NIDSs أكثر آليات الأمان موثوقية في حماية الشبكات والأجهزة اليوم لأنها قادرة على اكتشاف الهجمات الجديدة بالإضافة إلى الهجمات وحركة المرور الضارة. لأنهم يستخدمون خوارزميات حديثة يمكنها تحديد الأنشطة الضارة بسهولة. لسوء الحظ ، يوجد به العديد من القيود ، مثل أنه لا يملك القدرة على منع هجمات DoS / DDoS بشكل عام ، أيضا تميل إلى إسقاط الحزم في حركة المرور المتزايدة وحركة المرور الكثيفة أيضًا. الغرض من هذا البحث هو تحليل أداء العديد من (وليس جميع) أدوات NIDS مفتوحة المصدر ، مثل snort ، suricata ، بصل الأمان ، bro ، Ossec ، .... إلخ. تم إجراء التجارب باستخدام هجمات TCP ، هجمات SYN ، وهجمات ICMP. يتم إجراء التجربة في ظل معدلات حركة مختلفة (100 ، 500 ، 1000 و 2000 حزمة / ثانية) ، أجريت تجارب في بيئة افتراضية ؛ يتم حساب أداء NIDS بالنسبة المئوية لفقدان الحزمة في حركة المرور المختلفة. نستنتج أن أداء NIDSs يختلف من نوع إلى آخر في حركة المرور العادية / الخبيثة. أظهر الأداة snort أداءً جيدًا في تحديد التنبيهات للهجمات الضارة عند مقارنتها بأداة suricata. فى حركة المرور العادية. الاداة suricata أفضل ، من snort ، عند العمل في بيئة حركة مرور عالية السرعة. الأداة Security onion، أفضل من غيرها ، ولكن يستهلك RAM و CPU. وتوافق أدوات NIDS هذه على أن معدل التنبيهات يتناقص في عدد الزيارات الكبير للغاية ، مما يشير إلى أن بعض الحزم تضيع عمومًا. أن هذه الأدوات لا تزال في مراحل البحث والتطوير ويمكن أن تكون جزءًا من البحث الأكبر عن أداء أفضل لأدوات اكتشاف التسلل.