Design and Implementation of a Network Intrusion Detection System Using Snort 3 in a Virtualized Linux Environment

Öz

Network Intrusion Detection Systems (NIDS) are indispensable elements in modern cybersecurity infrastructures, tasked with identifying malicious traffic and preventing compromise in increasingly complex network environments. Open-source frameworks remain particularly valuable due to their transparency, adaptability, and widespread adoption in both academia and industry. Among them, Snort 3 represents a significant re-engineering of the widely deployed Snort 2, introducing Lua-based configurations, modular detection engines, and enhanced flow inspection capabilities. This study presents a practical, reproducible implementation of Snort 3 in a controlled virtualized testbed using UTM on Apple M1 hardware. The experimental design includes the simulation of three canonical cyberattacks: ICMP Ping reconnaissance, TCP Port Scanning with Nmap, and SYN Flood Denial-of-Service using hping3. Custom detection rules were authored and validated to measure Snort 3’s responsiveness and accuracy under realistic traffic conditions. Results demonstrated 100% detection accuracy across all scenarios when configurations and rules were correctly implemented, aligning with findings in recent performance comparisons of Snort 3 and Suricata. However, challenges such as the strict syntax of Snort 3’s Lua configuration and its sensitivity to misconfigured rule definitions underscore the potential for operational blind spots if tuning is neglected. Performance testing revealed that while Snort 3 is effective in detecting volumetric SYN flood traffic, single-threaded execution on constrained environments may limit scalability — a result consistent with contemporary benchmarks. Overall, this research contributes a hands-on reproducible framework for deploying Snort 3 in educational and small-scale production networks, emphasizing the critical role of precise configuration, continuous rule refinement, and performance monitoring in modern intrusion detection.

Anahtar Kelimeler

• Intrusion Detection System (IDS)
• Metasploitable
• Cyberattack Simulation
• Network Security
• Open-Source Security
• DDoS Detection

Sanallaştırılmış Linux Ortamında Snort 3 Kullanılarak Bir Ağ Saldırısı Algılama Sisteminin Tasarımı ve Uygulanması

Öz

Siber tehditler hem hacim hem de karmaşıklık açısından artmaya devam ettikçe, kuruluşlar kritik varlıklar tehlikeye girmeden önce kötü amaçlı faaliyetleri tespit edebilen, analiz edebilen ve azaltabilen giderek daha gelişmiş güvenlik mekanizmalarına ihtiyaç duymaktadır. Son raporlar, çok aşamalı istismar ve gizli keşif tekniklerinden yararlanan ve genellikle büyük ölçekli dağıtılmış hizmet reddi (DDoS) kampanyaları veya fidye yazılımı dağıtımlarıyla sonuçlanan siber saldırılarda keskin bir artış olduğunu vurgulamaktadır. Güvenlik duvarları, saldırı önleme sistemleri veya antivirüs araçları gibi geleneksel çevre savunmaları, genellikle statik filtrelemeye dayandıkları ve karmaşık saldırıların incelikli modellerini tanıyacak şekilde tasarlanmadıkları için, bu gelişen tehditlerle başa çıkmak için artık yeterli değildir. Bu bağlamda, Ağ Saldırısı Algılama Sistemleri (NIDS), ağ trafiğinin otomatik ve gerçek zamanlı izlenmesini sağlayarak ve şüpheli veya kötü niyetli davranışlara zamanında yanıt verilmesini sağlayarak kritik bir ikinci savunma hattı olarak önemli bir rol oynamaktadır. Önceden tanımlanmış erişim kurallarını uygulayan güvenlik duvarlarının veya ana bilgisayar düzeyinde savunmaya odaklanan uç nokta güvenlik sistemlerinin aksine, NIDS tüm ağ segmentlerinde bütünsel görünürlük sağlar. Trafiği bilinen saldırı imzaları, protokol anormallikleri ve davranışsal sapmalar açısından izleyerek, modern derinlemesine savunma stratejilerinin vazgeçilmez bir bileşeni olarak hizmet verirler. A. Açık Kaynaklı IDS Platformlarının Evrimi Açık kaynaklı NIDS çözümleri arasında Snort, aktif kural topluluğu, modüler mimarisi ve kanıtlanmış operasyonel güvenilirliği sayesinde yirmi yılı aşkın süredir sektör ölçütü olmaya devam etmektedir (Roesch ve ark., 2020). İlk olarak 1998 yılında piyasaya sürülen Snort, kötü amaçlı yazılımları, keşif faaliyetlerini ve yaygın istismar tekniklerini tespit etmek için binlerce kural üreten aktif bir ekosistemden yararlanarak hızla en yaygın kullanılan açık kaynaklı IDS (İnternet Güvenlik Sistemi) haline geldi. Hem kurumsal hem de akademik ortamlarda benimsenmesi, onu saldırı tespit araştırmalarında bir referans noktası haline getirdi ve genellikle yeni sistemlerin değerlendirilmesinde temel olarak kullanıldı. O zamandan beri, özellikle Suricata ve Zeek (eski adıyla Bro) olmak üzere, rakip açık kaynaklı çözümler ortaya çıktı. Suricata'nın mimari avantajı, yerel çoklu iş parçacığı desteğinde yatmaktadır ve bu sayede yüksek verimli ortamları eski Snort 2.x'ten daha zarif bir şekilde yönetebilmektedir. Öte yandan Zeek, derin protokol ayrıştırma ve olay odaklı betikleme özellikleri sunan, ancak Snort ve Suricata ile aynı düzeyde topluluk tarafından yönetilen imza kümelerine sahip olmayan bir ağ izleme ve analiz çerçevesi olarak konumlanmaktadır. Bu araçlar toplu olarak, açık kaynaklı IDS geliştirmedeki yaklaşımların çeşitliliğini göstermektedir. B. Snort 3'ün Ortaya Çıkışı Snort 3'ün (Snort++) piyasaya sürülmesi, platformun temel bir yeniden mimarisini işaret ederek Snort 2.x ile ilişkili birçok ölçeklenebilirlik ve sürdürülebilirlik endişesini ele aldı. Başlıca yenilikler şunlardır: •Lua tabanlı yapılandırma: monolitik .conf formatının esnek bir betik motoruyla değiştirilmesi, ayrıntılı özelleştirmeye olanak tanır. •Modüler algılama motorları: farklı protokoller için denetleyicilerin dinamik olarak yüklenmesini sağlar (örneğin, HTTP/2, TLS 1.3, IPv6). •Geliştirilmiş akış işleme: modern, yüksek hızlı ağlar için durum izleme ve ölçeklenebilirliği artırır. •Genişletilebilirlik: özellikle Cisco Talos tarafından 2024 yılında tanıtılan SnortML aracılığıyla makine öğrenimi entegrasyonu için kancalar sağlar. Bu yenilikler, Snort 3'ü şifreli trafik analizi, protokol çeşitliliği ve bulut tabanlı ortamlar gibi güncel ağ gereksinimleriyle uyumlu hale getirir. Ancak bu geçiş aynı zamanda önemli bir karmaşıklık da getiriyor. Snort 3'ün katı yapılandırma sözdizimi ve kural biçimlendirmeye karşı hassasiyeti, özellikle öğrenciler ve kariyerinin başındaki uygulayıcılar için zorlu bir öğrenme eğrisi oluşturuyor.

Anahtar Kelimeler

• Saldırı Algılama Sistemi (IDS)
• Metasploitable
• Siber Saldırı Simülasyonu
• Ağ Güvenliği
• Açık Kaynaklı Güvenlik
• DDoS Algılama

Kaynakça

1. Alazab, M., Venkatraman, S., Watters, P., & Alazab, A. (2013). Zero-day malware detection based on supervised learning algorithms of API call signatures. Proceedings of the Australasian Data Mining Conference (AusDM 2013), 171–182.
2. Badotra, S., & Panda, S. N. (2021). SNORT based early DDoS detection system using Opendaylight and open networking operating system in software defined networking. Cluster Computing, 24(1), 501–513. https://doi.org/10.1007/s10586-020-03133-y
3. Boukebous, A. A. E., Fettache, M. I., Bendiab, G., & Shiaeles, S. (2023). A comparative analysis of Snort 3 and Suricata. 2023 IEEE IAS Global Conference on Emerging Technologies (GlobConET), 1–6. https://doi.org/10.1109/GlobConET56651.2023.10150141
4. Cisco. (2021). Snort 3: Rearchitected for simplicity and performance. Cisco Secure Blog. https://blogs.cisco.com/security/snort-3-rearchitected
5. Davies, T., Hashem Eiza, M., Shone, N., Lyon, R., & Eiza, M. H. (n.d.). A Collaborative Intrusion Detection System Using Snort IDS Nodes. [Unpublished manuscript].
6. Dependency Hell. (2021). Snort 3 deep dive — The future of Cisco Firepower. https://dependencyhell.com
7. Falowo, O. I., Ozer, M., Li, C., & Abdo, J. B. (2024). Evolving malware and DDoS attacks: Decadal longitudinal study. IEEE Access, 12, 39221–39237. https://doi.org/10.1109/ACCESS.2024.3376682
8. Gaggero, G. B., Armellin, A., Portomauro, G., & Marchese, M. (2024). Industrial Control System-Anomaly Detection Dataset (ICS-ADD) for cyber-physical security monitoring in smart industry environments. IEEE Access, 12, 64140–64149. https://doi.org/10.1109/ACCESS.2024.3395991

9. Ghazi, D. S., Hamid, H. S., Zaiter, M. J., & Behadili, A. S. G. (2024). Performance and efficacy of Snort versus Suricata in intrusion detection: A benchmark analysis. In Proceedings of the Fifth Scientific Conference for Electrical Engineering Techniques Research (EETR 2024), AIP Conference Proceedings, 3232(1), Article 020024. https://doi.org/10.1063/5.0236936
10. Hnamte, V., Najar, A. A., Nhung-Nguyen, H., Hussain, J., & Sugali, M. N. (2024). DDoS attack detection and mitigation using deep neural network in SDN environment. Computers & Security, 138, Article 103661. https://doi.org/10.1016/j.cose.2023.103661
11. Hoover, C. (2022). Comparative study of Snort 3 and Suricata intrusion detection systems (Undergraduate honors thesis, University of Arkansas, Department of Computer Science and Computer Engineering). ScholarWorks@UARK. https://scholarworks.uark.edu/csceuht/105
12. Javaheri, D., Gorgin, S., Lee, J.-A., & Masdari, M. (2023). Fuzzy logic-based DDoS attacks and network traffic anomaly detection methods: Classification, overview, and future perspectives. Information Sciences, 626, 315–338. https://doi.org/10.1016/j.ins.2023.01.067
13. Jaw, K., Lim, C., & Tan, S. (2022). Automatic rule generation for Snort using hybrid machine learning techniques. Journal of Information Security and Applications 67, Article 103171. https://doi.org/10.1016/j.jisa.2022.103171
14. Kumar, R., & Singh, A. (2023). Evaluating open-source intrusion detection systems under high-volume DoS attacks. Future Internet 15(4), Article 122. https://doi.org/10.3390/fi15040122
15. LevelBlue. (2024). Open Source IDS Tools: Comparing Suricata, Snort, Bro (Zeek). https://www.levelblue.com
16. Priya, L., & Rajagopalan, N. (2025). A hybrid ıntrusion detection system for mitigating flow table buffer saturation attacks in software-defined networking. SN Computer Science, 6(5), Article 558. https://doi.org/10.1007/s42979-025-04079-x
17. Shah, S. A., & Issac, B. (2017). Performance comparison of intrusion detection systems and application of machine learning to Snort system. arXiv Preprint. https://arxiv.org/abs/1710.04843
18. Snort Project. (2021). Snort 3 official release. Snort Blog. https://blog.snort.org
19. Snort Team. (2024). Snort 3 user manual (Version 3.1.82.0).
20. Suricata Forum. (2024). Is there a rule set similar to Snort Open App ID in Suricata? https://forum.suricata.io
21. Tolumichael, B. (2025). Snort vs Suricata vs Zeek: Which open-source IDS is best for 2025? https://tolumichael.com
22. Vira Yudha, G., & Wisnu Wardhani, R. (2021). Design of a Snort-based IDS on the Raspberry Pi 3 Model B+ applying TaZmen Sniffer Protocol and log alert integrity assurance with SHA-3. 2021 9th International Conference on Information and Communication Technology (ICoICT), 556–561. https://doi.org/10.1109/ICoICT52021.2021.9527511
23. Waleed, A., Jamali, A. F., & Masood, A. (2022). Which open-source IDS? Snort, Suricata or Zeek. Computer Networks, 213, Article 109116. https://doi.org/10.1016/j.comnet.2022.109116