0    引言

受日益增长的数据传输需求的驱动，企业和研究机构正在部署100 Gb/s的工业网络，这种高速网络的普及，为工业安全防护带来了重大的技术挑战。如何在高速网络流量下保证工业互联网安全是亟须解决的问题。传统Suricata IDS在面对高速网络流量时，无法高效及时地处理网络活动，由于数据处理不及时，造成数据包丢失，降低系统检测的准确率，威胁工业系统安全。

文献［3］研究了两种流行的开源IDS:Snort和Suricata，在相同条件下平衡二者间的比较性能基准，证实了限制IDS在高速网络适用性的关键因素为系统资源使用、包处理速度、包丢弃率和检测精度。

文献［4］利用单个DPDK工作线程，通过使用CPU亲和力,分配专用lcore，从而加速Suricata工作线程的IDS处理。使用了两个专用于Suricata DPDK的0和1端口对系统进行测试，证实了DPDK能够提高Suricata IDS的工作性能。

文献［5］在传统Snort IDS的基础上，引入DPDK对系统进行优化，验证了基于DPDK的入侵检测系统在面对传输速率为10 Gb/s的网络流量时，系统对报文的检测性能远远优于传统Snort入侵检测系统。

文献［6］分析了Snort的架构，提出在高速网络流量下降低系统误报率的关键是提高Snort的数据包捕获能力和检测引擎模块的性能。设计并实现了基于DPDK的Snort DAQ模块，并搭载高性能正则引擎Hyperscan，提高Snort的抓包模块的性能，优化检测引擎模块。优化后的Snort在高速网络流量下的抓包能力和恶意流量检测率都有了很大的提升。

综上所述，解决传统Suricata IDS在高速工业网络流量下实时检测性能与检测准确率不足，降低系统消耗的关键在于提升系统的数据包捕获与规则匹配的性能。针对这一问题，本文应用DPDK的大页内存、CPU亲和性、无锁环形队列与UIO轮询模式等技术，将传统Suricata IDS的数据包采集处理流程进行分解并与DPDK进行重组，对传统Suricata IDS的数据包捕获模块进行优化，提升系统的数据包实时捕获能力。同时为解决传统Suricata IDS在面对高速网络流量时规则匹配效率与准确率低、误报率高的问题，应用现有的高速规则匹配算法NEW_WM算法，优化其数据包检测与日志模块，在不提升系统消耗的同时增加系统实时规则匹配效率与准确率，降低系统的误报率。

本文详细内容请下载：https://www.chinaaet.com/resource/share/2000005269

作者信息：

宗学军1,2，刘欢欢1,2，何戡1,2，连莲1,2 
（1.沈阳化工大学信息工程学院，辽宁沈阳110142；  2.辽宁省石油化工行业信息安全重点实验室,辽宁沈阳110142）