Melhorando o Desempenho do

Snort Atravs de Algoritmos de

Comparao de Strings Paralelos

Aluno: Jos Bonifacio da Silva Jnior

Orientador: Prof. Dr. Edward David Moreno
Ordonez

1 - Introduo
A tecnologia da informao (TI) tem sido cada vez mais determinante para o sucesso de
empresas e organizaes ao redor do mundo e possui as redes de computadores como um dos
seus principais meios de transmisso de dados. Juntamente com o aumento da importncia da TI,
cresceu tambm a necessidade de proteo do seu maior patrimnio, a informao.
Para combater o acesso no autorizado aos sistemas de TI ou falhas ocasionadas por ataques
de hackers, os profissionais da rea de segurana da informao utilizam vrias ferramentas,
cada uma com funo especfica. Uma dessas ferramentas o Intrusion Detection System (IDS),
uma ferramenta baseada em assinaturas que analisa os cabealhos dos pacotes e inspeciona as
cargas, comparando-os com um grande conjunto de regras, ou seja, uma coleo de assinaturas
de ataques conhecidos, tais como: vrus, worms, spyware ou cdigo malicioso [A]. Um dos IDSs
mais utilizados o Snort, um software open source para UNIX e Windows.
O Snort capaz de detectar quando um ataque est sendo realizado e, baseado nas
caratersticas do ataque, alterar ou remodelar sua configurao de acordo com as necessidades,
e alertar ao administrador do ambiente sobre o ataque [B]. Ele monitora o trfego da rede pacote
a pacote em tempo real para verificar se o pacote que chega na interface coincide com algumas
das suas assinaturas pr-configuradas. Para alcanar isso, o Snort precisa fazer a comparao do
payload do pacote com a coleo de assinaturas, o que um problema, pois s essa atividade
consome cerca de 70 a 80% do tempo de processamento [A]. Em redes de alta velocidade essa
comparao pode ocasionar falhas na CPU ou sobrecarreg-la. Por isso, vrias pesquisas de como
acelerar essa atividade do IDS esto sendo feitas e uma soluo que tem ganhado fora a
paralelizao dos algoritmos que fazem a comparao de strings (ou, nesse caso, padres).

2 - Objetivos
O objetivo principal desta proposta de dissertao paralelizar
algoritmos de comparao de strings que possam ser usados no
Snort para acelerar o seu processamento.

Objetivos Especficos
Para alcanar o objetivo primrio anterior, alguns objetivos
especficos tm que ser atendidos, a saber:

Fazer um levantamento dos possveis algoritmos de comparao de strings

que podem ser paralelizados;
Paralelizar os algoritmos selecionados no item anterior e comparar o
desempenho deles tanto com suas verses seriais como entre si;
Substituir o engine de comparao de strings do Snort pelo algoritmo que
apresentar melhor desempenho;
Comparar a verso serial do Snort com a verso mista.

3 Organizao do Trabalho
A seo 2 apresenta uma breve reviso bibliogrfica,
fazendo uma abordagem na subseo 2.1 sobre o IDS
Snort, com foco nos seus algoritmos de comparao
de strings. A subseo 2.2 traz alguns algoritmos de
comparao de strings que podero ser paralelizados
e utilizados no Snort em substituio aos algoritmos
seriais que nele esto. Por fim, a subseo 2.3
detalha as caractersticas de uma GPU genrica,
dispositivo necessrio para a parelizao dos
algoritmos. Toda a metodologia, materiais e mtodos,
bem como as atividades das etapas do cronograma
so apresentados na penltima seo desse trabalho.