The wasp sampling policy for high-speed network intrusion detection systems

Over the past few years, an increasing research trend has ignited interest on accelerating data-plane algorithms through software-based approaches. A direct consequence of this phenomenon emerges in network intrusion detection systems (NIDS), where processing packets at high-speed is essential for security yet remains a significant challenge. This thesis work aims at improving anomaly-based network intrusion detection, with a focus on machine learning techniques increasingly adopted to detect malicious traffic. We designed and evaluated a packet sampling policy, called Wasp, which enables an anomaly-based NIDS to sustain high-speed network traffic by leveraging a kernel-to-user-space pipeline and partially shifting the processing phase into the kernel. Performance was assessed using the same datasets employed for inference testing, with the objective of identifying a sampling rate threshold that preserves detection accuracy without compromising attack-related metrics. Throughput was measured on a custom testbed of two back-to-back programmable middleboxes stressed with iperf3. The results confirm the feasibility of the approach and show that the proposed NIDS can operate effectively in high-speed network environments.

Negli ultimi anni la ricerca ha mostrato un crescente interesse per l’ottimizzazione, tramite approcci software, degli algoritmi del data plane. Una diretta conseguenza riguarda i sistemi di rilevamento delle intrusioni di rete (NIDS), in cui l’elaborazione dei pacchetti ad alta velocità è essenziale per garantire la sicurezza, ma resta una sfida significativa. Questo lavoro di tesi si propone di migliorare il rilevamento delle intrusioni basato su anomalie, con particolare attenzione alle tecniche di machine learning sempre più adottate per identificare traffico malevolo. Abbiamo progettato e valutato una politica di campionamento dei pacchetti, denominata Wasp, che consente a un NIDS basato su anomalie di sostenere traffico di rete ad alta velocità sfruttando una pipeline kernel-to-user-space e spostando parzialmente l’elaborazione all’interno del kernel. Le prestazioni sono state valutate utilizzando gli stessi dataset impiegati per i test di inferenza, con l’obiettivo di individuare una soglia di campionamento che preservi l’accuratezza del rilevamento senza compromettere le metriche relative agli attacchi. La misura del throughput è stata eseguita su un testbed personalizzato, composto da due middlebox programmabili collegati back-to-back e sollecitati tramite lo strumento iperf3. I risultati confermano la fattibilità dell’approccio e dimostrano che il NIDS proposto è idoneo a operare efficacemente in ambienti di rete ad alta velocità.