### 摘要

网络入侵检测系统（NIDS）对于确保现代数字基础设施的弹性至关重要。尽管传统上主要部署在大规模企业环境中，但随着威胁环境的不断变化，需要将强大的安全措施集成到小型办公室/家庭办公室（SOHO）和物联边缘（EoT）网络中。然而，这些环境在专用硬件和技术专长方面往往面临显著的限制。本文介绍了基于Snort 3的开源NIDS——R-Snort，它针对低成本Raspberry Pi 5硬件进行了优化。其多代理架构支持分布式部署，并具有集中式流量分析和跨代理攻击关联功能，而直观的网页界面则简化了非专家管理员的警报可视化和系统管理。其主要贡献包括：（1）性能优化的NIDS代理，可实现1 Gbps的吞吐量；（2）分布式多代理架构，支持集中式事件关联和多向量攻击检测；（3）基于基础设施即代码（IaC）的自动化部署框架，使SOHO和EoT环境能够使用专业级别的安全解决方案。

### 1. 引言

网络入侵检测系统（NIDS）是一种基本的网络安全工具，可实时分析所有网络流量以检测和分析网络攻击[1]。虽然它们的使用传统上主要集中在大型企业基础设施上，但由于远程工作的普及和对云服务的依赖，SOHO网络已成为日益复杂的网络攻击目标[2]。这一现实凸显了为资源有限的环境普及IDS/IPS解决方案的必要性。

在这一背景下，Snort[3]是最流行和多功能的开源NIDS之一，因其能够进行实时流量分析和攻击检测而广受青睐[4]。尽管其历史应用主要与高性能服务器相关联，但技术的进步使其能够适应低成本硬件，从而扩展了NIDS的应用范围。本文介绍了基于Snort 3的R-Snort，该系统针对低成本硬件（如Raspberry Pi 5）进行了优化。R-Snort具有直观的网页界面和多节点架构，支持代理的分布式部署，以便进行集中事件关联和流量分析。这种低成本方法和多节点架构促进了部署和可扩展性，使资源受限环境也能使用到专业级别的网络安全。

### 2. 相关工作

网络入侵检测系统（NIDS）的部署已成为企业环境中的标准安全措施。然而，现有文献大多关注具有高资源基础设施的高速网络[5,6]，而实际上小型办公室/家庭办公室（SOHO）和物联边缘（EoT）环境的安全需求更为迫切。这些环境日益成为复杂网络攻击的目标，但却缺乏相应的企业级解决方案所需的专门人员或预算。这一技术差距凸显了迫切需要计算效率高且适用于资源受限硬件的IDS/IPS架构。

#### 2.1. 低成本和嵌入式平台上的NIDS

最近的学术研究转向了在嵌入式和低功耗平台上分析NIDS，超越了传统的高性能服务器架构。Snort作为一款多功能开源基准工具，凭借基于签名和异常的检测能力在实时流量分析方面表现突出[7]。尽管Snort仍是最主要的研究对象，但也有研究开始探索Suricata和Zeek等替代引擎，以评估它们在资源受限硬件环境中的有效性和战略定位[8,9]。特别是在Raspberry Pi 4等平台上的实现[9]证明了使用此类硬件识别性能瓶颈和评估NIDS实际效果的可能性。Raspberry Pi是学术Snort研究中最广泛使用的平台，已有大量相关研究[9,10,11,12,13,14]，为性能基准提供了直接依据。Raspberry Pi 5的价格约为150美元（8GB版本），与具有类似或更高功能的边缘计算平台相比具有竞争力。

#### 2.2. 多代理系统（MAS）和分布式检测

多代理系统（MAS）的一个基本优势是它们能够管理和关联来自分布式传感器的异构警报[15]。事件关联至关重要；复杂攻击通常表现为不同网络段中一系列看似无关的事件。虽然单个代理可能只能检测到入侵的部分信息，但MAS通过自主协作和信息交换可以重建整个攻击场景。这种主动性使得检测更加灵活，比传统的单体IDS更具适应性[16]。此外，实时MAS在减轻处理开销和应对新兴威胁方面的效果明显[17,18]。除了检测功能外，智能代理还越来越多地被用于自动化入侵响应（IPS）[19]。通过允许代理执行纠正措施，从检测到缓解的“漏洞窗口”显著缩短，这对保护实时系统至关重要[20]。然而，现有的基于Snort的MAS通常侧重于结合基于主机的IDS（HIDS）代理，并且经常缺乏同时监控多个网络段的强大通信协议[21]。

#### 2.3. 可用性与安全性融合

尽管像Snort这样的引擎技术成熟，但其管理和警报解释对非专家用户仍存在重大障碍。虽然传统的BASE或ACID等界面提供了早期解决方案，但它们现已大部分被弃用。当代替代方案（如ELK栈[Elasticsearch, Logstash, Kibana][23]）虽然提供了强大的可视化功能，但需要高资源消耗和专门知识，对SOHO管理员来说不实用。因此，该领域的研究不仅要关注技术吞吐量，还要重视可用性和“即插即用”的易用性。

#### 2.4. R-Snort的进步与区别

为了明确R-Snort的科学贡献及其在现有研究中的定位，表1从五个维度（硬件目标、IDS引擎、代理类型、实测吞吐量和自动化部署支持）将其与四个最相关的先前工作进行了比较。表1显示，Varma等人的工作在平台方面与R-Snort最为接近[9]，但他们使用的是单个RPi4节点，在高流量条件下明确记录了CPU和RAM瓶颈问题，并且没有自动化部署功能。R-Snort通过迁移到RPi5（CPU性能是RPi4 Cortex-A72的2-3倍）、引入多代理架构以及提供完整的IaC部署，改进了这一工作。

#### 3. R-Snort

### 3.1. 架构与实现

R-Snort的架构具有模块化、分布式和可扩展性，旨在适应SOHO网络。系统由两个主要部分组成：部署在Raspberry Pi等嵌入式系统上的Snort代理，以及负责全面协调、管理和监控的中央模块。每个Snort代理都作为自主传感器运行，基于定制版的Snort 3进行优化，以适应Raspberry Pi等嵌入式系统的有限资源。这些代理使用从源代码编译的定制Snort安装包，包含了libdnet、libdaq、LuaJIT、Flex、Bison和PCRE2等库，以确保在Raspberry Pi平台上的高效稳定运行（见图1）。

威胁检测采用双重方法：官方社区规则和定制规则，用于识别敏感数据（如凭证或银行卡信息），弥补了Snort 3中已弃用的“敏感数据”预处理器的缺失。此外，系统还使用了各种Snort预处理器（如HTTP Inspect、SSL Inspector、Stream IP、Stream TCP和Reputation）来全面检查流量，以探测规避技术和加密威胁[3]。通过将多个代理的数据整合到中央模块中，实现了流量和攻击关联的集中管理。中央模块基于Spring Boot（Java 17）后端和Angular 19前端构建，作为网络的中心管理和可视化点。其后端提供安全的REST API（使用JWT保护），允许通过网络界面远程管理代理、查询警报、操作系统规则和控制内部服务。前端提供了模块化界面，具备远程规则管理、警报下载和通过Grafana集成仪表盘可视化等功能。

代理与中央模块之间的通信完全通过FastAPI实现的REST API进行。该设计使用HTTP/HTTPS协议和JSON数据格式，不仅优化了网络资源消耗，还保证了数据安全，并确保每个代理在临时断开连接时仍能独立运行。REST API暴露了多种信息交换端点，如.splitContainer、/status、/rules和/download-alerts。

Snort 3的编译使用了优化标志（-O2）和针对ARM Cortex-A76架构的硬件特定调整。关键配置参数包括：max_pkt_len=1518、thread_count=4（每个CPU核心一个线程）和stream5_global.track_tcp=yes。

### 3.2. 部署

R-Snort的设计注重易于部署，提供了即插即用的体验，非常适合人员配备有限的环境。这种方法受到基础设施即代码（IaC）的理念启发，完全自动化了系统的安装和配置，即使是对系统管理知识有限的用户也能高效安全地实施。R-Snort架构分为三个独立组件，简化了部署过程：

- **rsnort-installer**：完整安装Snort 3及其依赖项、预处理器配置和高级检测规则的激活。
- **snort-agent**：安装监控代理，包括MariaDB、Grafana、指标收集和REST API等必备服务。
- **rsnort-central-module**：安装管理界面，包括Spring Boot后端和Angular前端。

整个过程通过自动运行的安装程序完成，无需用户干预（基本网络配置和管理员凭证），便于安装。项目还在GitHub（https://github.com/jugomezual/R-Snort）上提供了技术文档[24]，指导用户逐步完成系统的部署和使用。

### 3.3. 管理前端

中央R-Snort模块的网页界面使用Angular 19作为主要框架开发，构建了一个模块化、响应式且直观的应用程序。界面分为多个部分，包括系统状态和通用仪表板可视化（见图2）、警报管理、规则管理以及代理管理等模块。为了实现实时分析和个性化，直接将“Snort IDS/IPS Dashboard”[25]的组件集成到界面中。这些仪表盘允许管理员快速清楚地了解系统的当前状态、关键性能指标以及检测到的警报中的模式。在“状态”选项卡中，会显示系统指标如CPU、磁盘和温度，以及当前的Snort状态、收到的最后一条警报，还有重新启动Snort、存储和指标服务的选项（见图3）。图3. Snort状态。前端对警报的可视化是动态且交互式的，按严重性、警报类型和攻击来源等方式显示警报（见图4）。图4. 警报面板。该系统还支持管理所有活动规则和创建新规则。此外，它还允许以CSV格式导出警报，并支持下载包含存档警报的压缩文件，以便后续分析和取证任务。在使用多代理系统的情况下，顶部菜单允许查看不同的代理（最初仅显示中央模块），并且可以随时添加新代理。一旦添加代理，它就会出现在下拉菜单中，仪表盘会自动更新其指标和警报信息。此外，在“状态”视图中还可以查看活动代理，并可以管理服务并可视化最后检测到的警报（见图5）。图5. 代理状态。

3.4. 安全考虑
中央节点和 secondary 节点通过其网络架构得到保护：监听网络流量的接口以监视（混杂）模式运行，因此没有系统可以直接从被监控的网络访问它们。系统管理和代理间通信通过专用内网上的独立内部网络接口处理，与外部访问隔离。这种网络分离提供了基于设计的基本保护层，确保NIDS节点不会向其监控的流量暴露攻击面。
代理通过管理内网与中央节点的通信进一步通过HTTPS上的JWT身份验证的REST API调用进行保护，确保传输过程中的数据完整性和机密性。各个代理设计为在临时或永久断开与中央模块的连接时能够完全自主运行，在本地缓冲警报以防止数据丢失，并在恢复连接后重新同步。

当前架构的已知局限性包括：中央关联节点构成了跨代理事件关联的逻辑单点故障（通过各个代理的自主运行得到缓解）；当前实现不强制使用相互TLS进行代理认证；基于签名的检测引擎仍然容易受到针对Snort规则集的已知规避技术的攻击。对整个架构进行正式的对抗性安全分析被确定为未来工作的一个关键方向。

4. 评估
为了验证R-Snort的有效性，构建了一个案例研究来模拟一个小型企业网络环境。该系统在一个使用可管理交换机的本地网络上运行，以实现端口镜像功能，并将所有网络流量发送到Raspberry Pi 5。这种方法确保R-Snort接收并全面分析所有网络流量（见图6）。图6. 工作环境。R-Snort至少需要4 GB RAM（建议8 GB），ARMv8或x86_64处理器，Raspberry Pi OS Bookworm或Debian 12，以及支持混杂模式的网络接口。
为了构建测试网络，使用了以下设备：
- 连接到交换机的路由器，提供互联网访问。
- 一个可管理交换机（Tenda TEG205E，Tenda科技有限公司，中国深圳），能够将流量从一个端口复制到另一个端口。
- 具体来说，三个Windows 11工作站和两台Ubuntu 22.04笔记本电脑连接到交换机，模拟典型的办公室流量。
- 运行R-Snort的Raspberry Pi 5（Raspberry Pi有限公司，英国剑桥），其关键规格如下：CPU：ARM Cortex-A76（4核，2.4 GHz）；RAM：8 GB LPDDR4X；存储：32 GB microSD卡。
这样，可管理交换机将公司生成的所有网络流量发送到Raspberry Pi，以便Snort分析流量以搜索任何类型的攻击。

4.1. 测试1：性能评估
为了验证R-Snort的效率，进行了性能测试，以评估其在高工作负载下在Raspberry Pi上稳定运行的能力。主要目标是确定系统在正常条件和1 Gbps流量（典型SOHO网络中的最大允许值）的压力测试下的行为，而不影响系统的稳定性和效率。1 Gbps的压力流量是使用tcpreplay以最大支持的线速重新播放捕获的PCAP文件生成的，并使用iperf3在测试网络上的两个主机之间独立验证。对于正常条件，测试期间包括：0–60秒的空闲时间，60–600秒的普通办公室流量（网页浏览、电子邮件、文件传输），600–660秒的空闲时间。对于压力测试，流量以1 Gbps的速度注入300秒。
获得的结果如下：
- CPU使用分析：在正常条件下，CPU使用率很低。应用程序时间（cpu.user）保持在0.25%到0.75%之间，而内核级时间（cpu.sys）可以忽略不计，cpu.idle占98%以上。然而，在压力测试期间，CPU使用率显著增加：cpu.user达到20–25%，cpu.sys达到55–60%，导致总活动CPU消耗约为80%，cpu.idle降至10–15%。尽管需求很高，系统仍然表现出强大的处理压力测试负载的能力，没有饱和或热节流现象，这验证了R-Snort的有效性（见图7）。图7显示了左侧面板上的正常条件和右侧面板上的压力测试，便于直接比较。红色表示用户空间CPU使用率（cpu.user），反映R-Snort的数据包检查工作负载；蓝色表示内核级CPU使用率（cpu.sys）；黄色表示空闲CPU（cpu.idle）；x轴显示墙钟时间。虚线垂直线分隔了正常运行条件（左侧）和1 Gbps压力测试（右侧）。
- RAM内存分析：R-Snort的直接内存消耗为2.18 GB，在压力测试下增加到2.8 GB。这表明它在处理高流量时资源管理高效（见图8）。由于在正常条件下RAM使用率保持稳定，图8重点关注压力测试阶段，观察到的峰值消耗。红线表示系统主动使用的RAM（mem.util.used），在测试过程中逐渐从2.6 GB增加到大约2.8 GB；深蓝色线表示空闲RAM（mem.util.free），从大约4.6 GB相应减少到4.4 GB；黄绿色线表示缓存内存（mem.util.cached），在整个测试过程中保持大约0.3 GB不变，证实了在持续负载下没有缓存压力或内存泄漏。
- 磁盘I/O分析：一旦系统启动，R-Snort仅执行写入操作来记录警报。由于在正常条件下磁盘活动可以忽略不计，图9重点关注压力测试阶段，此时日志记录峰值最为明显。蓝线（r-snort:disk.dev.write_bytes[mmcblk0]）表示磁盘写入吞吐量；峰值反映了由检测到的事件触发的警报记录爆发，持续时间约为1–2秒，之后吞吐量恢复到基线，确认在持续高流量下磁盘I/O不会累积或饱和。
- 数据包丢失率：在两种情况下，R-Snort都处理了所有网络流量，没有数据包丢失。这是通过Snort内置的性能统计验证的，确认在压力测试期间没有数据包丢失。
在这些测试中，设备的温度始终保持在Raspberry Pi的标准工作参数范围内（通常低于70°C）。这种热稳定性至关重要；它确保系统不会触发热节流机制，即CPU降低其时钟速度以防止过热。

4.2. 多代理系统测试
R-Snort的多代理架构旨在提供单个传感器无法提供的网络可见性。为了验证其操作，创建了一个包含三个代理的测试环境：中央代理（192.168.1.208）、代理AG1（192.168.1.205）和代理AG2（192.168.1.207）。分析重点在于系统协调检测和关联事件的能力，使用两个关键测试：
- 多代理事件关联：第一个测试验证了每个代理分析其网络段流量的能力以及中央模块整合警报的能力。从测试主机向三个代理发送了低强度的TCP端口扫描，使用常见的管理端口（161、162和705）。扫描依次进行（不同时进行），每次扫描之间间隔30秒。结果，中央模块检测并关联了所有传感器生成的警报，确认了整个网络中的协调可见性。
- 分布式流量分析：下一个测试旨在确认代理能够同时检测针对多播地址239.255.255.250:1900的SSDP/UPnP发现流量爆发（见图10）。所有五个客户端设备在60分钟内同时生成了SSDP/UPnP流量。过滤了所有相应的警报，以测量警报数量、报告警报的代理数量以及每分钟的不同来源数量。分析显示了具有高密度峰值的周期性爆发和同时发生的传感器活动。如图10所示，只有代理AG2（橙色，标记为×）和中央代理（绿色，标记为•）报告了这种流量模式的警报，因为代理AG1部署在在此测试期间没有收到SSDP/UPnP多播流量的网络段；这与分布式架构的预期行为一致，即每个代理仅报告其自身网络段可见的流量。在不同时间点观察到多个来源指向同一个目的地，这证明了系统检测分布式和多源攻击模式的能力。

4.3. 上下文基准：与先前基于RPi的NID的比较
本研究范围内没有在Raspberry Pi 4上进行直接的实验复制。相反，本节通过将R-Snort的记录结果与之前两篇关于在真实流量下测试Raspberry Pi上Snort的相关工作报告中报告的性能数据进行比较来建立上下文基准。
Sforzin等人[26]（RPiDS）报告称，在Raspberry Pi 2上使用短数据包时，CPU在低数据速率（如10 Mbit/s）就开始丢弃数据包。即使使用长数据包，数据包丢失率也约为70 Mbit/s，作者明确得出结论，100 Mbit/s的以太网接口对于他们的平台来说是不足够的。
Varma等人[9]使用了功能更强的Raspberry Pi 4B，但在高流量条件下发现了CPU饱和和RAM瓶颈，且无法实现千兆速度下的零数据包丢失。
相比之下，Raspberry Pi 5上的R-Snort在1 Gbps的SOHO线速下实现了0%的数据包丢失。两个架构改进解释了这一改进。首先，Cortex-A76（16 nm，2.4 GHz）的CPU性能是RPi4的Cortex-A72（28 nm，1.5 GHz）的2–3倍，IPC提高了大约35%[27]。其次，RPi5引入了RP1南桥[27]，一个专用的I/O控制器（PCIe 2.0 ×4），将以太网中断处理卸载到主SoC之外，使CPU可以专注于Snort的模式匹配。由于Snort 3主要依赖于CPU（规则检查约占IDS处理时间的75%[6]），这种I/O卸载直接实现了持续1 Gbps零数据包丢失的操作。表2总结了每个来源的可用数据点。

4.4. 中央节点和代理开销评估
为了量化在单个节点上运行的R-Snort堆栈引入的资源开销，在中央节点上进行了一次专门的测量实验。测量了整个堆栈（Snort、rsnort_agent、MariaDB、Grafana和ClamAV），包括120秒的空闲阶段，然后是300秒的负载阶段，每秒通过/proc接口eth0采样一次。表3总结了测试结果，测试包括120秒的空闲阶段和300秒的负载阶段，每秒采样一次。最重要的发现是，活跃负载引入的总内存开销非常低：比例集大小（PSS）在空闲和负载状态之间仅增加了2.8 MiB（从514.4 MiB增加到517.2 MiB）。在两个阶段中，CPU使用率都保持在1.1%以下，这证实了中央节点的管理堆栈对主机计算资源的开销可以忽略不计。管理界面的网络吞吐量从空闲时的0.33 KB/s增加到负载时的11.62 KB/s，反映了来自被监控代理的警报接收流量。表3显示了中央节点在不同状态下的资源开销。表4提供了各组件的内存使用情况（平均PSS）。其中Grafana占据了最大的内存份额（254.5 MiB），其次是MariaDB（115.8 MiB）和Snort（88.9–91.7 MiB）。rsnort_agent进程本身大约消耗了55.3 MiB的内存，并且在负载情况下没有明显的增长，这证明了它的轻量级设计。这些结果证实，R-Snort的完整管理堆栈在Raspberry Pi 5（8 GB）的内存容量范围内能够良好运行，为额外的代理和相关流量留出了足够的余地。负载下的警报生成率（每分钟16.05条警报）表明在测量期间系统处于活跃的检测状态。

图11显示了R-Snort代理的内存使用情况（PSS和RSS）随时间的变化，证实了系统在两个阶段都表现稳定，没有内存泄漏或增长。图12显示了各组件的CPU使用率随时间的变化；最初出现的峰值是由于rsnort_agent进程的启动初始化（高达11.8%），之后所有组件的使用率都降至0.5%以下。图13显示了管理界面的网络吞吐量随时间的变化。在空闲阶段，RX流量几乎可以忽略不计；一旦负载开始，流量上升到大约19 KB/s，反映了来自被监控代理的警报接收流量。TX流量在两个阶段中都接近于零，证实了中央节点的出站流量很小。

5. 讨论
从功能和性能测试中获得的结果验证了R-Snort作为小型办公室（SOHO）和物联边缘（EoT）网络中有效网络入侵检测系统（NIDS）的技术和操作可行性。与最初的目标一致，该系统提供了先进的检测能力，同时不会影响系统的稳定性或需要专门的硬件。在资源方面，确认了在正常情况下Snort 3对系统的影响是适度的；尽管在高流量负载下CPU和RAM的使用量会增加，但系统仍然保持稳定。第4.3节将这些结果与先前文献中记录的基于Raspberry Pi的Snort部署的性能数据进行对比[9,26]，其中观察到的数据包丢失率远低于R-Snort实现的1 Gbps。此外，第4.4节对中央节点的开销进行了定量描述：完整的R-Snort堆栈（Snort、rsnort_agent、MariaDB、Grafana和ClamAV）在空闲时消耗514.4 MiB的PSS，在负载下仅增加2.8 MiB，且CPU使用率在两个阶段都保持在1.1%以下。这证实了管理堆栈对主机硬件的开销可以忽略不计。这种耐受性证明了模块化设计和使用Raspberry Pi 5适用于SOHO和物联边缘（EoT）网络。

R-Snort的主要优势之一是其成本效益，因为它允许使用低成本硬件和免费软件来部署完整的监控系统。其模块化架构和自动安装程序便于快速部署，即使对于没有高级技术知识的用户也是如此。与Grafana和MariaDB等工具的集成提供了清晰专业的警报可视化效果，改善了用户体验并便于事件分析。除了成本效益外，该系统还展示了显著的可扩展性。虽然受到所用硬件的限制，但其架构支持轻松集成额外的代理，这些代理可以自动连接到中央控制面板。此外，通过图形界面管理规则和下载日志的功能增强了其在取证或审计过程中的实用性。

R-Snort的实施对SOHO网络中的应用网络安全具有直接影响。在大多数可获得的NIDS解决方案主要针对资源更丰富的公司的背景下，R-Snort为SOHO管理员提供了一个功能齐全且专业的替代方案，同时不会放弃签名检测、指标收集或实时警报可视化等关键功能。简而言之，R-Snort代表了网络安全普及的重要一步，使得小型组织、社区或个人能够以较低的代价和努力部署自己的NIDS。

当前的评估存在一些局限性。首先，多代理测试（第4.2节）仅在本地局域网中使用了三个代理；尽管第4.4节提供了单节点的开销描述，但未来工作之一是进行完整的多节点扩展实验，以测量中央节点开销与连接代理数量的关系。其次，实验主要集中在性能指标上；使用标记攻击数据集进行全面的检测准确性评估将进一步增强科学价值。第三，没有评估针对检测引擎的复杂规避技术。

6. 结论
与之前关注Raspberry Pi 4的研究不同，那些研究在现实网络条件下评估NIDS性能时发现了显著的瓶颈[9,26]，R-Snort利用Raspberry Pi 5架构在低成本硬件上实现了企业级的效率。R-Snort是一个强大且多功能工具，能够检测网络攻击。直观的Web界面简化了配置和警报的可视化，使没有深厚技术知识的用户也能方便地使用先进的网络安全功能。R-Snort的一个关键创新是其多代理架构。与单传感器系统不同，这种配置允许中央模块关联来自多个代理的警报，识别分布式攻击模式。测试表明R-Snort能够检测到来自多个来源的协同攻击，这验证了其在提供完整网络可见性方面的有效性。

R-Snort的开发表明，在SOHO和EoT网络中实现一个全面的多代理入侵检测系统是可行的。该项目实现了其主要目标，提供了先进且易于使用的网络安全解决方案，能够在Raspberry Pi 5上稳定高效地运行。性能测试验证了对CPU和RAM的影响是可以接受的，即使在压力测试下也是如此。第4.4节中对中央节点开销的评估进一步确认了完整管理堆栈在空闲和负载条件下的开销都在517 MiB的PSS以内，CPU使用率低于1.1%，为硬件留下了充足的余地。Raspberry Pi 5的架构进步——特别是Cortex-A76 CPU和用于I/O卸载的RP1南桥——是实现第4.1节中展示的1 Gbps零数据包丢失操作的关键因素。这些结果证实了该解决方案的技术和操作可行性。

未来的工作将涉及三个方向：（1）将R-Snort发展为具备实时自动阻止恶意主机功能的完整入侵预防系统（IPS）；（2）结合基于异常和机器学习的检测方法来补充当前的基于签名的方法；（3）在更大规模的部署中验证该架构，包括更多代理、WAN延迟条件以及使用标准化攻击数据集进行正式的检测准确性评估。针对对抗性攻击的代理通信架构进行正式的安全分析也被确定为重要的未来方向。这些改进将使R-Snort能够发展成为一个主动的安全平台，更有效地检测、关联和应对威胁。