Evaluation of three intrusion detection systems under various attacks
Issued Date
2012
Copyright Date
2012
Resource Type
Language
eng
File Type
application/pdf
No. of Pages/File Size
xii, 88 leaves : ill.
Access Rights
open access
Rights
ผลงานนี้เป็นลิขสิทธิ์ของมหาวิทยาลัยมหิดล ขอสงวนไว้สำหรับเพื่อการศึกษาเท่านั้น ต้องอ้างอิงแหล่งที่มา ห้ามดัดแปลงเนื้อหา และห้ามนำไปใช้เพื่อการค้า
Rights Holder(s)
Mahidol University
Bibliographic Citation
Thesis (M.Sc. (Computer Science))--Mahidol University, 2012
Suggested Citation
Kittikhun Thongkanchorn Evaluation of three intrusion detection systems under various attacks. Thesis (M.Sc. (Computer Science))--Mahidol University, 2012. Retrieved from: https://repository.li.mahidol.ac.th/handle/20.500.14594/95193
Title
Evaluation of three intrusion detection systems under various attacks
Alternative Title(s)
การประเมินระบบการตรวจจับการบุกรุกสามระบบภายใต้การโจมตีหลายแบบ
Author(s)
Abstract
Intrusion detection system (IDS) tools for detecting malicious traffic have been widely used in many organizations and they use a variety of technologies. Each IDS tool deploys different approaches and has been developed under different purposes. Intrusion detection systems include a set of IDS rules which can be defined differently. Therefore, choosing an IDS tool to work efficiently and appropriately in a specific environment would not be easy. The goal of this research was to evaluate three popular open-source IDS tools in terms of performance and accuracy. The selected IDS tools were Snort, Bro and Suricata. In addition, their system architecture and the main components were compared and analyzed. The experiments conducted used various attack types including DoS attack, DNS attack, FTP attack, Scan port attack, and SNMP attack. Each experiment was run under different traffic rates and only a specific set of rules was active. Moreover, the performance metrics used to measure was the number of packets lost, the number of alerts, the CPU utilization and the memory usage. The results showed that each attack type had significant effects on the performance of each IDS tool in different ways. Specifically, Bro IDS showed better performance than other IDS tools when evaluated under different attack types and using a specific set of rules. The results also indicated that the accuracy dropped when the three IDS tools activate the full rule sets instead of a specific set of rules.
ระบบการตรวจจับการบุกรุก (Intrusion Detection System, IDS) เป็นระบบใช้ตรวจจับความ ผิดปกติของข้อมูลในระบบคอมพิวเตอร์ ที่มีการใช้งานอย่างแพร่หลายในหลายหน่วยงานและมีเทคโนโลยีการทำงานหลายรูปแบบ IDS ได้มีการพัฒนาเพื่อใช้งานในแบบต่าง ๆ โดยมีการกำหนดกฎหรือกติกาในการตรวจจับความผิดปกติ ดังนันการเลือกระบบที่เหมาะสมกับสิ่งแวดล้อมเฉพาะจึงไม่ใช่สิ่งที่ง่าย จุดมุ่งหมายของงานวิจัยนีเพื่อประเมินระบบตรวจสอบการบุกรุกที่เป็นระบบเปิด (Open- Source) และที่นิยมใช้งานอย่างแพร่หลายจำนวนสามระบบ คือSnort Bro และ Suricata โดยนำโครงสร้างของระบบและส่วนประกอบสำคัญมาทำการวิเคราะห์และเปรียบเทียบด้วยซึ่งในการทดลองได้มีการประเมินจากการสร้างสถานการณ์การโจมตีที่หลากหลาย เช่น DoS attack, DNS attack , FTP attack, SCAN port attack และ SNMP attack และแต่ละการทดลองได้มีการกำหนดความเร็วข้อมูลการจราจรที่แตกต่างกัน รวมทังมีการกำหนดกฎที่ใช้งานโดยเฉพาะไม่เหมือนกันส่วนตัวแปรที่ใช้วัดประสิทธิภาพในการทดลองคือ จำนวน Packet Loss จำนวน Alert ปริมาณการใช้งาน CPU และการใช้งาน Memory ผลการทดลอง แสดงให้เห็นว่าการโจมตีแต่ละชนิดได้ส่งผลอย่างมากและแตกต่างต่อประสิทธิภาพการทำงานของ IDS แต่ละชนิดโดย Bro มีความสามารถและมีความแม่นยำในการตรวจจับความผิดปกติของข้อมูลที่มีการโจมตีหลากหลายกว่า IDS ระบบอื่น นอกจากนี้ผลการทดลองได้แสดงว่าการใช้กฎทั้งหมดได้ลดความแม่นยำของการตรวจจับเมื่อเทียบกับใช้กฎเฉพาะในแต่ละการโจมตีของทุก IDS
ระบบการตรวจจับการบุกรุก (Intrusion Detection System, IDS) เป็นระบบใช้ตรวจจับความ ผิดปกติของข้อมูลในระบบคอมพิวเตอร์ ที่มีการใช้งานอย่างแพร่หลายในหลายหน่วยงานและมีเทคโนโลยีการทำงานหลายรูปแบบ IDS ได้มีการพัฒนาเพื่อใช้งานในแบบต่าง ๆ โดยมีการกำหนดกฎหรือกติกาในการตรวจจับความผิดปกติ ดังนันการเลือกระบบที่เหมาะสมกับสิ่งแวดล้อมเฉพาะจึงไม่ใช่สิ่งที่ง่าย จุดมุ่งหมายของงานวิจัยนีเพื่อประเมินระบบตรวจสอบการบุกรุกที่เป็นระบบเปิด (Open- Source) และที่นิยมใช้งานอย่างแพร่หลายจำนวนสามระบบ คือSnort Bro และ Suricata โดยนำโครงสร้างของระบบและส่วนประกอบสำคัญมาทำการวิเคราะห์และเปรียบเทียบด้วยซึ่งในการทดลองได้มีการประเมินจากการสร้างสถานการณ์การโจมตีที่หลากหลาย เช่น DoS attack, DNS attack , FTP attack, SCAN port attack และ SNMP attack และแต่ละการทดลองได้มีการกำหนดความเร็วข้อมูลการจราจรที่แตกต่างกัน รวมทังมีการกำหนดกฎที่ใช้งานโดยเฉพาะไม่เหมือนกันส่วนตัวแปรที่ใช้วัดประสิทธิภาพในการทดลองคือ จำนวน Packet Loss จำนวน Alert ปริมาณการใช้งาน CPU และการใช้งาน Memory ผลการทดลอง แสดงให้เห็นว่าการโจมตีแต่ละชนิดได้ส่งผลอย่างมากและแตกต่างต่อประสิทธิภาพการทำงานของ IDS แต่ละชนิดโดย Bro มีความสามารถและมีความแม่นยำในการตรวจจับความผิดปกติของข้อมูลที่มีการโจมตีหลากหลายกว่า IDS ระบบอื่น นอกจากนี้ผลการทดลองได้แสดงว่าการใช้กฎทั้งหมดได้ลดความแม่นยำของการตรวจจับเมื่อเทียบกับใช้กฎเฉพาะในแต่ละการโจมตีของทุก IDS
Description
Computer Science (Mahidol University 2012)
Degree Name
Master of Science
Degree Level
Master's degree
Degree Department
Faculty of Information and Communication Technology
Degree Discipline
Computer Science
Degree Grantor(s)
Mahidol University