<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE article PUBLIC "-//NLM//DTD JATS (Z39.96) Journal Publishing DTD v1.3 20210610//EN" "JATS-journalpublishing1-3.dtd">
<article article-type="research-article" dtd-version="1.3" xmlns:mml="http://www.w3.org/1998/Math/MathML" xmlns:xlink="http://www.w3.org/1999/xlink" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xml:lang="ru"><front><journal-meta><journal-id journal-id-type="publisher-id">izvestswsu</journal-id><journal-title-group><journal-title xml:lang="ru">Известия Юго-Западного государственного университета</journal-title><trans-title-group xml:lang="en"><trans-title>Proceedings of the Southwest State University</trans-title></trans-title-group></journal-title-group><issn pub-type="ppub">2223-1560</issn><issn pub-type="epub">2686-6757</issn><publisher><publisher-name>ЮЗГУ</publisher-name></publisher></journal-meta><article-meta><article-id pub-id-type="doi">10.21869/2223-1560-2017-21-1-30-35</article-id><article-id custom-type="elpub" pub-id-type="custom">izvestswsu-160</article-id><article-categories><subj-group subj-group-type="heading"><subject>Research Article</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="ru"><subject>Технические науки</subject></subj-group></article-categories><title-group><article-title>ОПТИМИЗАЦИЯ АЛГОРИТМА ПАРАЛЛЕЛЬНОЙ ОБРАБОТКИ ДАННЫХ ЯДРОМ SNORT</article-title><trans-title-group xml:lang="en"><trans-title>AN OPTINIZED ALGORITHM OF PARALELL DATA PROCESSING BY SNORT CORE</trans-title></trans-title-group></title-group><contrib-group><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Морковин</surname><given-names>С. В.</given-names></name><name name-style="western" xml:lang="en"><surname>Morkovin</surname><given-names>S. V.</given-names></name></name-alternatives><email xlink:type="simple">msw-c@ya.ru</email><xref ref-type="aff" rid="aff-1"/></contrib><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Панищев</surname><given-names>В. С.</given-names></name><name name-style="western" xml:lang="en"><surname>Panishchev</surname><given-names>V. S.</given-names></name></name-alternatives><email xlink:type="simple">gskunk@yandex.ru</email><xref ref-type="aff" rid="aff-2"/></contrib></contrib-group><aff-alternatives id="aff-1"><aff xml:lang="ru"><institution>Академия ФСО России</institution></aff><aff xml:lang="en"><institution>Academy FSO</institution></aff></aff-alternatives><aff-alternatives id="aff-2"><aff xml:lang="ru"><institution>ФГБОУ ВО «Юго-Западный государственный университет»</institution></aff><aff xml:lang="en"><institution>Southwest State University</institution></aff></aff-alternatives><pub-date pub-type="collection"><year>2017</year></pub-date><pub-date pub-type="epub"><day>28</day><month>02</month><year>2017</year></pub-date><volume>21</volume><issue>1</issue><fpage>30</fpage><lpage>35</lpage><permissions><copyright-statement>Copyright &amp;#x00A9; Морковин С.В., Панищев В.С., 2017</copyright-statement><copyright-year>2017</copyright-year><copyright-holder xml:lang="ru">Морковин С.В., Панищев В.С.</copyright-holder><copyright-holder xml:lang="en">Morkovin S.V., Panishchev V.S.</copyright-holder><license xml:lang="ru" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>Данная работа распространяется под лицензией Creative Commons Attribution 4.0.</license-p></license><license xml:lang="en" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>This work is licensed under a Creative Commons Attribution 4.0 License.</license-p></license></permissions><self-uri xlink:href="https://izvestswsu.elpub.ru/jour/article/view/160">https://izvestswsu.elpub.ru/jour/article/view/160</self-uri><abstract><p>В статье рассматриваются вопросы оптимизации алгоритма программно-аппаратного средства обнаружения и предупреждения компьютерных атак на автоматизированное рабочее место доступа к сети интернет и сетевое оборудование. Главная задача исследования заключалась в увеличении пропуск-ной системы и снижении ресурсов на обработку данных. Указана необходимость модификации существующих программных продуктов, разработанных под архитектуры однопоточного выполнения программы. В частности, рассматривается проект обнаружения компьютерных атак Snort, изначально ориентированный на работу на одном ядре процессора в однопоточном режиме. Принцип распараллеливания вычислений ядром Snort основан на делении входного трафика на более низкоскоростные атомарные каналы, распределяемые на несколько отдельно запущенных ядер Snort в виде отдельных процессов, которые имеют связь друг с другом и могут обмениваться информацией. Предложена оптимизация разработанного алгоритма, заключающаяся в использовании быстрой разделяемой памяти для обмена данным между процессами. Рассмотрен один из ключевых элементов в алгоритме распараллеливания обработки данных, а именно, алгоритм балансировки. На основе предложенного алгоритма оптимизирована работа блока балансировки входного трафика, что повысило скорость работы системы в целом. Для решения задачи моделирования и оптимизации построенной распределенной системы обнаружения компьютерных атак предложен испытательный стенд. Описана структура стенда, методика тестирования, а также численные данные проведенного эксперимента. В качестве объекта испытаний на вход системы подавался типовой трафик из магистрального канала связи. По результатам исследования представлена зависимость скорости обработки трафика от количества ядер в системе.</p></abstract><trans-abstract xml:lang="en"><p>The paper addresses the problem of optimizing the firmware algorithm of detecting and preventing computer attacks on the Internet access workstations and networking equipment. The main objective was to boost the device capacity and save data processing resources. It has been proved that existing soft products that have been developed for single thread execution architectures need to be modified. In particular the paper discusses Snort network intrusion and prevention system that initially has been made to operate on the processor single core in single thread mode. Snort core paralleling principle is based on dividing the inbound traffic into lower-speed atomic channels that are distributed over several individually runnable Snort cores as individual processes that are interconnected and can exchange information. The authors suggest the algorithm optimization way that consists in utilizing the fast shared memory to facilitate information exchange between the processes. The paper focuses on a key element in the data processing paralleling algorithm which is the balance algorithm. The proposed algorithm has been used to optimize the performance of the inbound traffic balancing unit, which increased the operation speed of the total system. A test facility has been developed to simulate and refine the constructed intrusion detection distributed system. The paper presents the testing facility structure, testing method and test numerical results. The test item was a standard traffic routed to the system input from backbone link. The research results were used to determine the dependency of the traffic processing speed on the number of cores in the system.</p></trans-abstract><kwd-group xml:lang="ru"><kwd>компьютерная атака</kwd><kwd>система отражения атак</kwd><kwd>балансировка трафика</kwd><kwd>сетевой сенсор</kwd><kwd>computer attack</kwd><kwd>intrusion prevention system</kwd><kwd>traffic balancing</kwd><kwd>netted sensor</kwd></kwd-group></article-meta></front><back><ref-list><title>References</title><ref id="cit1"><label>1</label><citation-alternatives><mixed-citation xml:lang="ru">Andrew R. Baker. Snort IDS and IPS Toolkit // Syngress. - 2008. - Pp. 79-139.</mixed-citation><mixed-citation xml:lang="en">Andrew R. Baker. Snort IDS and IPS Toolkit // Syngress. - 2008. - Pp. 79-139.</mixed-citation></citation-alternatives></ref><ref id="cit2"><label>2</label><citation-alternatives><mixed-citation xml:lang="ru">SNORT Users Manual. - URL: https: // www.snort.org/</mixed-citation><mixed-citation xml:lang="en">SNORT Users Manual. - URL: https: // www.snort.org/</mixed-citation></citation-alternatives></ref><ref id="cit3"><label>3</label><citation-alternatives><mixed-citation xml:lang="ru">Jay Beale and oth. Snort Intrusion Detection 2.0 // Syngress. - 2010. - 550p.</mixed-citation><mixed-citation xml:lang="en">Jay Beale and oth. Snort Intrusion Detection 2.0 // Syngress. - 2010. - 550p.</mixed-citation></citation-alternatives></ref><ref id="cit4"><label>4</label><citation-alternatives><mixed-citation xml:lang="ru">Jay Beale and oth. Snort Intrusion Detection and Prevention Toolkit // Syngress. - 2010. - 768 p.</mixed-citation><mixed-citation xml:lang="en">Jay Beale and oth. Snort Intrusion Detection and Prevention Toolkit // Syngress. - 2010. - 768 p.</mixed-citation></citation-alternatives></ref><ref id="cit5"><label>5</label><citation-alternatives><mixed-citation xml:lang="ru">Нетес В. А. Качество обслуживания на сетях связи. Обзор рекомендаций МСЭ-Т // Сети и системы связи. - 1999. - №. 3. - С. 66-71.</mixed-citation><mixed-citation xml:lang="en">Нетес В. А. Качество обслуживания на сетях связи. Обзор рекомендаций МСЭ-Т // Сети и системы связи. - 1999. - №. 3. - С. 66-71.</mixed-citation></citation-alternatives></ref><ref id="cit6"><label>6</label><citation-alternatives><mixed-citation xml:lang="ru">Кузнецов С. Н., Огнев И. В., Поляков С. Ю. Методика тестирования каналов связи Ethernet // Технологии и средства связи. - 2005. - №. 2. - С. 46-48.</mixed-citation><mixed-citation xml:lang="en">Кузнецов С. Н., Огнев И. В., Поляков С. Ю. Методика тестирования каналов связи Ethernet // Технологии и средства связи. - 2005. - №. 2. - С. 46-48.</mixed-citation></citation-alternatives></ref><ref id="cit7"><label>7</label><citation-alternatives><mixed-citation xml:lang="ru">Воеводин В. В. Параллельные вычисления // БХВ-Петербург. - 2002. - С. 32-78.</mixed-citation><mixed-citation xml:lang="en">Воеводин В. В. Параллельные вычисления // БХВ-Петербург. - 2002. - С. 32-78.</mixed-citation></citation-alternatives></ref><ref id="cit8"><label>8</label><citation-alternatives><mixed-citation xml:lang="ru">Ватутин Э.И., Титов В.С. Особенности реализации технологии hyper-threading в процессорах Intel Pentium 4 на примере выполнения кода различного типа // Известия Юго-Западного государственного университета. - 2008. - № 2 (23). - С. 62-65.</mixed-citation><mixed-citation xml:lang="en">Ватутин Э.И., Титов В.С. Особенности реализации технологии hyper-threading в процессорах Intel Pentium 4 на примере выполнения кода различного типа // Известия Юго-Западного государственного университета. - 2008. - № 2 (23). - С. 62-65.</mixed-citation></citation-alternatives></ref><ref id="cit9"><label>9</label><citation-alternatives><mixed-citation xml:lang="ru">Ватутин Э.И., Титов В.С. Оценка реальной производительности современных процессоров в задаче умножения матриц для однопоточной программной реализации с использованием расширения SSE (часть 1) // Известия Юго-Западного государственного университета. - 2015. - № 4 (61). - С. 26-35.</mixed-citation><mixed-citation xml:lang="en">Ватутин Э.И., Титов В.С. Оценка реальной производительности современных процессоров в задаче умножения матриц для однопоточной программной реализации с использованием расширения SSE (часть 1) // Известия Юго-Западного государственного университета. - 2015. - № 4 (61). - С. 26-35.</mixed-citation></citation-alternatives></ref><ref id="cit10"><label>10</label><citation-alternatives><mixed-citation xml:lang="ru">Alan G. Konheim. Computer Security and Cryptography // Wiley. - 2016. - Pp. 46-182.</mixed-citation><mixed-citation xml:lang="en">Alan G. Konheim. Computer Security and Cryptography // Wiley. - 2016. - Pp. 46-182.</mixed-citation></citation-alternatives></ref></ref-list><fn-group><fn fn-type="conflict"><p>The authors declare that there are no conflicts of interest present.</p></fn></fn-group></back></article>
