辨别入侵检测系统性能的方法

辨别入侵检测系统性能的方法(2) 　　●内存

　　内存对网络传感器的影响是显著的。因为网络入侵检测系统需要大量的内存进行抓包、包重组、流重组、协议分析、规则匹配等计算。

　　内存的使用方法也是至关重要的，因为会影响CPU的利用率。使用方法包括：内存分配、释放、复制、匹配等。使用不当一方面会造成内存泄露，另一方面会占用CPU开销。

　　网络传感器的部分进程在核心态运行，另一部分进程运行在用户态，两者之间如果共享数据，必须进行内存复制，这时就需要在核心态和用户态之间切换，两者之间切换的CPU开销是很大的，如果切换非常频繁，CPU开销就会非常大。

　　●二级缓存

　　L2 Cache的数量也对网络传感器的性能有积极的影响。因此，尽可能的使用大的L2 Cache。

　　●网卡

　　网卡对网络传感器性能的影响主要是抓包效率。网卡到达性能峰值时，就很容易丢包。所以网络传感器的网卡就不能使用一般性的网卡。目前，使用比较多的是Intel系列、3Com系列网卡。例如，Intel百兆网卡中的82559，千兆网卡中的82543，82544等。

　　如果网络入侵检测系统支持多个网卡监控，那么各个网卡最好分配在不同的总线段。

　　网卡对网络入侵检测系统的影响还体现在网络传感器与控制台的数据传输上。

　　网卡驱动对网络传感器的影响也是很重要的，有的网络入侵检测系统，对网卡做专门的优化。

　　●PCI总线带宽

　　另一个非常重要的硬件因素是PCI总线带宽。特别是在千兆网络入侵检测系统上，为了实现几个G的抓包速率，必须使用多个66Mhz/64-bit PCI or 133Mhz/64-bit PCI-X总线扩展槽。如果使用PCI-X总线，就必须使用PCI-X兼容的网卡，以充分发挥PCI-X 133MHz标准。为了提供更好的带宽利用，多个网卡必须合理地分布在PCI/PCI-X总线段上。

　　●硬盘IO

　　因为网络入侵检测系统的传感器需要在硬盘上存储很多日志信息，所以硬盘的IO也会影响到网络传感器的性能。

　　四、分析

　　网络入侵检测系统的性能测试的基本原理是是通过一些设备或软件工具制造不同数据包大小（如64, 128, 256, 512, 1024 , 1518字节）、不同压力的背景流量（如10Mbps，50Mbps，100Mbps，350Mbps，500Mbps，750Mbps等），然后通过各种黑客工具发动攻击，看网络传感器的检测情况和数据包丢失的情况。

　　在网络入侵检测系统中，背景流量的产生起着至关重要的作用。背景流量从如下方面影响性能测试的结果。

　　1．背景流量的数据包大小

　　对于发包测试设备来说，每秒制造数据包的数量（pps）是有极限的。一般而言，数据包越小，每秒制造的数据包数量越多，数据包越大，每秒制造的数据包数量越少。但是，数据流量（Mbps）等于数据包大小和每秒数据包数的乘积，所以数据流量由两者共同决定。

　　对应于网卡，也是一样，数据包越小，每秒能够处理的数据包越多，数据包越大，每秒能够处理的数据包越少。但是网卡每秒能够处理的数据包数也是有限的。

　　在极限情况下，数据包越小，处理的难度越大，数据包越大，处理的难度越小。因为在网络流量的不断增长的趋势下，小数据包的pps增长速度比大数据包的pps增长速度快得多，迅速达到极限。从上述的测试结果数据来看，可以很明显的看到这一点。

　　小数据包的处理能力不仅是网络入侵检测系统，而且也是防火墙的性能瓶颈。所幸在网络中小数据包出现的比率还是比较低的。但是，在一些黑客攻击中，采用小包，很容易制造DoS攻击。 
　　厂商公布的网络入侵检测系统的每秒可处理的最大网络流量指标，往往是在最好的条件下测的，如每个数据包的大小是1518字节。

　　用户在选购网络入侵检测产品时，不能单纯看厂商公布的数据，而是要分析自己的流量的情况。要分析数据包大小的分布情况，64字节包平均占多少，128字节包平均占多少，512字节包平均占多少，1518字节包平均占多少，还要分析整体的流量在每天的时间上的平均分布。

　　2．背景流量的数据包类型

　　数据包的类型决定了网络入侵检测系统的处理方式，从而很大程度上决定了性能指标的有效性和真实性。