史上速度最快的开源IDS/IPS：100+Gbps，功耗降低38倍

来自美国卡内基梅隆大学的CyLab安全及隐私研究所的研究人员设计出了号称是世界上最快的开源入侵检测和防御系统（IDS/IPS）。

在本月早些时候举行的USENIX操作系统设计与实现研讨会上，研究人员介绍了他们名为"Pigasus"的工作成果：使用单台五核服务器加上现场可编程门阵列（FPGA），实现了100 Gbps的检测速度。通常情况下，达到这种性能需要100到700个处理核心外加一整个机柜的系统。据研究人员称，这种做法比仅使用CPU的IDS/IPS功耗要低38倍。

FPGA是一种集成电路，可在制造后进行配置，以执行各种不同的处理任务。与常见的CPU不同，后者的功能在出厂时就已经完全预置。FPGA通常被用于以不同方式提升计算系统的性能，例如独立执行某些特定的任务，以减轻CPU的负载。亚马逊云计算服务及微软等大型云计算供应商都使用FPGA来提升存储和网络性能，特别是对于要求较高的高性能计算（HPC）应用。

研究人员表示，CyLab的Pigasus系统中的FPGA已被编程，使用比典型的IDS/IPS更快的算法来检测网络入侵。为发现恶意软件和恶意活动的迹象，FPGA负责检查网络上大约95%的数据流量，而剩下的5%则交由服务器的五个核心处理器解决。

卡内基梅隆大学计算机科学院助理教授Justine Sherry表示，该项目旨在用一种比当前做法更为经济有效的手段来检测互联网流量中的恶意活动。随着互联网服务不断产生更多的数据，企业面临寻找更加经济有效的新方法来监控流量的压力。

"时至今日，线路的速率可以达到100Gbps甚至更高"，Sherry说："为保障计算机网络安全、防范恶意内容，就必须监控所有这些流量。"

Sherry表示：“很不幸，对于大多数组织来说，监控100 Gbps或更高速率数据所需要的设施和电力极其昂贵。因此，为了控制成本，有些组织只把“抽样”后的流量发送给IDS/IPS。”

"我们的研究论文表明，使用像Snort 3.0这样的软件IDS需要70到677个处理器内核才能跟上100 Gbps的速度"，她指出："我们希望Pigasus能够帮助降低检测成本，从而可以对网络进行更全面的监控。"

截止目前，Pigasus仍是一个研究项目。CyLab的研究人员使用取自真实网络的流量来测试该系统，但它还没有被投入到实际运行的网络中。

CyLab正在努力将项目代码推送至开源社区，以便其他人可以免费使用。卡内基梅隆大学还在与弗吉尼亚大学和马里兰大学的研究人员合作，研究如何改进该系统。Sherry表示：还有一些人正在将Pigasus用于其他用途，但她对此没有详细说明。

"如何实现商业化仍是我们团队未来要讨论的一个开放性问题"，她说。

原文链接：

https://www.darkreading.com/attacks-breaches/researchers-say-theyve-developed-fastest-open-source-ids-ips/d/d-id/1339472

声明：本文来自互联网安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。