https://www.bro.org/ Bro를 잠시 리뷰해 보았다. "Bro는 침입탑지 시스템중 하나이다."라고 단순하게 말하기에는 많은 변화가 있었다. 여러 가지 장점이 생겼는데, 개인적으로 높이 평가하고 싶은 사항은 클러스터링, 스크립트 언어, 로드밸런싱 메카니즘 등 이다. 본연의 기능 및 성능과 확장성을 고려한 발전이 두드러진다고 생각한다. Bro는 네트워크 패킷을 읽어 유해한 내용을 탐지하는 일종의 Network IDS(Intrusion detection system)라는 포인트 솔루션에서 출발하여, 발전에 발전을 거듭해서, 이제는(2014) 다양한 탐지를 수행하고 클러스터링과 스케일러빌리티를 갖추는 등 하나의 보안 프레임워크로써 자리잡게 되었다. 내가 Bro는 처음 보았을 때, 대략 10여년 전..
특장점(Features) 기존 IDS/IPS 엔진 (오픈소스 및 상용) Suricata (by the OISF) Multi-Threaded Processing X O IPv6 지원여부 △(일부 지원) O IP Reputation Cisco Only Yes(soon) Automated Protocol Detection X O GPU Acceleration X O Multi-Platform Native H/W Acceleration Support X O Global Variables/Flowbits X Yes(soon) Full Windows Support Some Yes Inline Windows Support No Yes GeoIP Lookups No Yes(soon) Advanced HTTP Parsi..
PF_RING 과 Snort의 간단한 리뷰(Review)
Snort®는 소스파이어에서 개발되고 있는 오픈 소스 네트워크 침입 방지/탐지 시스템(NIPS/NIDS)이다. 시그니처(signature), 프로토콜(protocol), 비정상탐지(anomaly-based inspection)을 조합한 스노트는 전세계적으로 가장 넓게 사용되고 있는 IDS/IPS 기술이다. 수백만 다운로드와 약 40만명의 등록된 사용자들과 함께, Snort는 IPS의 사실상 표준이다.각설하고,......Luca Deri의 페이퍼 "Improving Passive Packet Capture: Beyond Device Polling"에서 소개된 NAPI, PF_RING은 기존 libpcap의 성능을 1)NAPI를 사용(device polling)하고, 2) winpcap처럼 ring 버퍼를 ..