|
辨别入侵检测系统性能的方法(3) 例如UDP包和TCP包的处理方式就是很具有代表性的一例。众所周知,UDP协议是面向无连接的协议,TCP是面向连接的协议。TCP传输不仅要完成三次握手,而且要对IP数据包进行组装,以形成完整的会话数据,有时网络传感器还要对TCP传输进行流重组。所以,TCP的处理比UDP复杂的多,占用的CPU、内存等系统资源也要多的多,而且,在所有攻击类型中,利用UDP协议的攻击所占的比率不到10%。
所以,用UDP包作为背景流量具有很大的欺骗性。而目前很多公布数据的网络入侵检测产品厂商都是用UDP作为背景流量,特别是千兆入侵检测产品,什么800M,941M等等。
在我们所举例的测试中,是使用TCP作为背景流量的类型,更具有科学性和真实性。
用户在选购网络入侵检测产品时,要注意鉴别真伪。
当然,利用背景流量的类型做文章的厂商比起随便插个千兆网卡就自称是千兆级产品的厂商来说,还是高明一些。
3.背景流量的方向
在我们举例的测试中,采用双向流量测试后,系统的流量和pps的性能指标在一定程度上提高,但不是成倍的上升。因为系统的处理性能放在那儿了。而且,小数据包的性能指标比大数据包的性能指标提高的更加明显。
4.CPU占用率
CPU占用率也是反映了网络传感器性能的主要参考指标,如果在其他条件相同的情况下,CPU占用率越低,表明系统的性能越好,反之就越差。
|
