評(píng)價(jià)入侵檢測系統(tǒng)性能的最重要兩個(gè)指標(biāo)?
1.每秒數(shù)據(jù)流量(Mbps或Gbps)
每秒數(shù)據(jù)流量是指網(wǎng)絡(luò)上每秒通過某節(jié)點(diǎn)的數(shù)據(jù)量。這個(gè)指標(biāo)是反應(yīng)網(wǎng)絡(luò)入侵檢測系統(tǒng)性能的重要指標(biāo),一般涌Mbps來衡量。例如10Mbps, 100Mbps和1Gbps。
網(wǎng)絡(luò)入侵檢測系統(tǒng)的基本工作原理是嗅探(Sniffer),它通過將網(wǎng)卡設(shè)置為混雜模式,使得網(wǎng)卡可以接收網(wǎng)絡(luò)接口上的所有數(shù)據(jù)。
如果每秒數(shù)據(jù)流量超過網(wǎng)絡(luò)傳感器的處理能力,NIDS就可能會(huì)丟包,從而不能正常檢測攻擊。但是NIDS是否會(huì)丟包,不主要取決于每秒數(shù)據(jù)流量,而是主要取決于每秒抓包數(shù)。
2.每秒抓包數(shù)(pps)
每秒抓包數(shù)是反映網(wǎng)絡(luò)入侵檢測系統(tǒng)性能的最重要的指標(biāo)。因?yàn)橄到y(tǒng)不停地從網(wǎng)絡(luò)上抓包,對(duì)數(shù)據(jù)包作分析和處理,查找其中的入侵和誤用模式。所以,每秒所能處理的數(shù)據(jù)包的多少,反映了系統(tǒng)的性能。業(yè)界不熟悉入侵檢測系統(tǒng)的往往把每秒網(wǎng)絡(luò)流量作為判斷網(wǎng)絡(luò)入侵檢測系統(tǒng)的決定性指標(biāo),這種想法是錯(cuò)誤的。每秒網(wǎng)絡(luò)流量等于每秒抓包數(shù)乘以網(wǎng)絡(luò)數(shù)據(jù)包的平均大小。由于網(wǎng)絡(luò)數(shù)據(jù)包的平均大小差異很大時(shí),在相同抓包率的情況下,每秒網(wǎng)絡(luò)流量的差異也會(huì)很大。例如,網(wǎng)絡(luò)數(shù)據(jù)包的平均大小為1024字節(jié)左右,系統(tǒng)的性能能夠支持10,000pps的每秒抓包數(shù),那么系統(tǒng)每秒能夠處理的數(shù)據(jù)流量可達(dá)到78Mbps,當(dāng)數(shù)據(jù)流量超過78Mbps時(shí),會(huì)因?yàn)橄到y(tǒng)處理不過來而出現(xiàn)丟包現(xiàn)象;如果網(wǎng)絡(luò)數(shù)據(jù)包的平均大小為512字節(jié)左右,在10,000pps的每秒抓包數(shù)的性能情況下,系統(tǒng)每秒能夠處理的數(shù)據(jù)流量可達(dá)到40Mbps,當(dāng)數(shù)據(jù)流量超過40Mbps時(shí),就會(huì)因?yàn)橄到y(tǒng)處理不過來而出現(xiàn)丟包現(xiàn)象。
在相同的流量情況下,數(shù)據(jù)包越小,處理的難度越大。小包處理能力,也是反映防火墻
1/6
性能的主要指標(biāo)。
3.每秒能監(jiān)控的網(wǎng)絡(luò)連接數(shù)
網(wǎng)絡(luò)入侵檢測系統(tǒng)不僅要對(duì)單個(gè)的數(shù)據(jù)包作檢測,還要將相同網(wǎng)絡(luò)連接的數(shù)據(jù)包組合起來作分析。網(wǎng)絡(luò)連接的跟蹤能力和數(shù)據(jù)包的重組能力是網(wǎng)絡(luò)入侵檢測系統(tǒng)進(jìn)行協(xié)議分析、應(yīng)用層入侵分析的基礎(chǔ)。這種分析延伸出很多網(wǎng)絡(luò)入侵檢測系統(tǒng)的功能,例如:檢測利用HTTP協(xié)議的攻擊、敏感內(nèi)容檢測、郵件檢測、Telnet會(huì)話的記錄與回放、硬盤共享的監(jiān)控等。
4.每秒能夠處理的事件數(shù)
網(wǎng)絡(luò)入侵檢測系統(tǒng)檢測到網(wǎng)絡(luò)攻擊和可疑事件后,會(huì)生成安全事件或稱報(bào)警事件,并將事件記錄在事件日志中。每秒能夠處理的事件數(shù),反映了檢測分析引擎的處理能力和事件日志記錄的后端處理能力。有的廠商將反映這兩種處理能力的指標(biāo)分開,稱為事件處理引擎的性能參數(shù)和報(bào)警事件記錄的性能參數(shù)。大多數(shù)網(wǎng)絡(luò)入侵檢測系統(tǒng)報(bào)警事件記錄的性能參數(shù)小于事件處理引擎的性能參數(shù),主要是Client/Server結(jié)構(gòu)的網(wǎng)絡(luò)入侵檢測系統(tǒng),因?yàn)橐肓司W(wǎng)絡(luò)通信的性能瓶頸。這種情況將導(dǎo)致事件的丟失,或者控制臺(tái)響應(yīng)不過來了。