Leveraging network-wide orchestration in programmable networks for enhanced NIDS performance

Abstract

Sistemas de Detecção de Intrusão em Redes (NIDSs) desempenham um papel crucial na proteção de redes contra ameaças cibernéticas, detectando atividades maliciosas e alertando os operadores de rede. No entanto, devido ao crescente volume de tráfego de rede, os NIDSs podem enfrentar problemas de saturação, especialmente na etapa de correspondência de padrões em NIDSs baseados em assinaturas. Para superar esse desafio, diversos estudos exploraram a transferência de regras de assinatura dos NIDSs para dispositivos com programabilidade no plano de dados (PDP), aproveitando sua alta capacidade de processamento de pacotes para pré-filtrar o tráfego antes de chegar aos NIDSs. No entanto, esses trabalhos apresentam duas limitações importantes. Primeiro, a maioria negligencia as restrições de memória dos dispositivos programáveis. Segundo, e mais importante, a grande maioria delega todas as capacidades de pré-filtragem a um único dispositivo. Para abordar essas limitações, este trabalho propõe a orquestração de toda a rede programável para pré-filtrar o tráfego destinado aos NIDSs, melhorando seu desempenho. O objetivo é aliviar o fardo nos NIDSs e aprimorar sua eficiência por meio da transferência estratégica de regras de assinatura para o PDP, direcionando apenas pacotes suspeitos para os NIDSs. Além disso, abordamos as limitações dos trabalhos de ponta empregando dois novos algoritmos de orquestração que levam em conta a memória e a topologia para distribuir estrategicamente as regras para vários dispositivos. A avaliação realizada demonstrou a eficácia desses algoritmos, superando o modelo tradicional de um único dispositivo e garantindo o encaminhamento estável e consistente do tráfego suspeito para o host do NIDS, mesmo em cenários com disponibilidade limitada de memória.