入侵檢測系統的效能的辨別
三、效能指標受哪些因素影響?
網路入侵檢測系統效能取決於軟硬體兩方面的因素。
1.軟體因素
軟體因素主要是:
●網路抓包的效率;
●資料報重組和tcp流重組的效率。這是嚴重影響網路入侵檢測系統效能的因素,對處理器和記憶體的開銷非常大。如果資料報重組和tcp流重組在作業系統的使用者層完成,那麼就會導致作業系統以極高的頻率在核心態和使用者態之間切換,導致大量額外的系統開銷;
●入侵分析的效率。入侵檢測一般是基於特徵匹配的,將網路資料報與入侵規則庫進行特徵匹配的。很多產品利用協議分析技術提高入侵分析的效率,先使用協議分析過濾冗餘資料,同時盡快在規則樹上分叉,加速深度遍歷;
●c/s結構下,網路通訊的延遲。在伺服器端和客戶端都要引入網路通訊模組,從而增加事件傳輸的延遲。大多數網路入侵檢測系統都是採用client/server結構的,例如iss real secure,賽門鐵克的ids系統,啟明星辰的天闐和金諾的kids等等。像一些基於瀏覽器/伺服器(b/s)結構的網路入侵檢測系統就沒有這種問題,例如方正科技軟體的方通sniper,因為它的事件直接儲存在網路感測器上;
●事件日誌庫的記錄能力。有的系統將事件收集(event collector)和事件日誌庫分開,事件收集器和事件日誌資料庫又形成了c/s結構,又引入了延遲。如果ec和日誌資料庫在不同的主機上,更引入了網路傳輸延遲。iss real secure,啟明星辰的天闐和金諾的kids等等又是採用這種結構;基於瀏覽器/伺服器結構的網路入侵檢測系統也沒有這種問題;
●控制台的事件顯示效率。很多控制台會因為事件多的處理不過來,所以導致控制台宕機。很多c/s結構的控制台完成的功能太多了,例如和感測器的網路通訊、和事件收集器的通訊、和事件日誌資料庫的通訊,還要完成事件顯示、事件分析、系統管理和配置等等。引入了很多效能瓶頸點。如果不能達到實時監控,就會使網路入侵檢測系統的價值大打折扣。
2.硬體因素
硬體方面主要是cpu處理能力、記憶體、網絡卡和硬碟io等。
●cpu處理能力
cpu處理能力是影響網路入侵檢測系統網路感測器效能的重要因素。cpu處理能力從三個方面對系統產生影響:cpu主頻和cpu的個數,分別被稱為cpu的縱向和橫向的擴充套件能力。一般而言,隨著cpu主頻的提高,網路感測器的處理能力越高,這是顯而易見的。
但是是不是隨著cpu數量的提高網路感測器的效能就線性增加呢?這要看系統是否是多程序或多執行緒架構的。很多網路入侵檢測系統都在做多處理器的優化。
對cpu處理能力的利用率也極大地影響網路感測器的效能,那麼如何提高cpu處理能力的利用率呢?其中乙個非常重要的方法就是對網路感測器進行cpu指令集的優化。例如,在p4處理器上,盡可能的使用p4處理器的指令集。intel公司提供的c&c++編譯器,就有針對指令集進行優化的功能,而且intel實驗室還提供這方面優化服務。
目前,intel的新至強處理器採用了超執行緒技術,但是網路感測器如果要發揮新至強處理器的效能,就必須針對超執行緒進行優化。目前linux最新的核心還不支援超執行緒技術。
●記憶體
記憶體對網路感測器的影響是顯著的。因為網路入侵檢測系統需要大量的記憶體進行抓包、包重組、流重組、協議分析、規則匹配等計算。
記憶體的使用方法也是至關重要的,因為會影響cpu的利用率。使用方法包括:記憶體分配、釋放、複製、匹配等。使用不當一方面會造成記憶體洩露,另一方面會占用cpu開銷。
網路感測器的部分程序在核心態執行,另一部分程序執行在使用者態,兩者之間如果共享資料,必須進行記憶體複製,這時就需要在核心態和使用者態之間切換,兩者之間切換的cpu開銷是很大的,如果切換非常頻繁,cpu開銷就會非常大。
●二級快取
l2 cache的數量也對網路感測器的效能有積極的影響。因此,盡可能的使用大的l2 cache。
●網絡卡
網絡卡對網路感測器效能的影響主要是抓包效率。網絡卡到達效能峰值時,就很容易丟包。所以網路感測器的網絡卡就不能使用一般性的網絡卡。目前,使用比較多的是intel系列、3com系列網絡卡。例如,intel百兆網絡卡中的82559,千兆網絡卡中的82543,82544等。
如果網路入侵檢測系統支援多個網絡卡監控,那麼各個網絡卡最好分配在不同的匯流排段。
網絡卡對網路入侵檢測系統的影響還體現在網路感測器與控制台的資料傳輸上。
網絡卡驅動對網路感測器的影響也是很重要的,有的網路入侵檢測系統,對網絡卡做專門的優化。
●pci匯流排頻寬
另乙個非常重要的硬體因素是pci匯流排頻寬。特別是在千兆網路入侵檢測系統上,為了實現幾個g的抓包速率,必須使用多個66mhz/64-bit pci or 133mhz/64-bit pci-x匯流排擴充套件槽。如果使用pci-x匯流排,就必須使用pci-x相容的網絡卡,以充分發揮pci-x 133mhz標準。為了提供更好的頻寬利用,多個網絡卡必須合理地分布在pci/pci-x匯流排段上。
●硬碟io
因為網路入侵檢測系統的感測器需要在硬碟上儲存很多日誌資訊,所以硬碟的io也會影響到網路感測器的效能。
入侵檢測初學習 常見的入侵檢測系統
入侵檢測系統是一種對網路傳輸進行即時監視,在發現可疑傳輸時發出警報或者採取主動反應措施的網路安全裝置。它與其他網路安全裝置的不同之處便在於,入侵檢測系統是一種積極主動的安全防護技術。入侵檢測系統 ids 檢查所有進入和發出的網路活動,並可確認某種可疑模式,ids利用這種模式能夠指明來自試圖進入 或破...
入侵檢測系統和入侵防護系統的區別
2008 08 29 cbsi中國 pchome.net 1.入侵檢測系統 ids ids是英文 intrusion detection systems 的縮寫,中文意思是 入侵檢測系統 專業上講就是依照一定的安全策略,對網路 系統的執行狀況進行監視,盡可能發現各種攻擊企圖 攻擊行為或者攻擊結果,以...
6 1基於主機的入侵檢測系統
基於主機的入侵檢測系統執行在需要監視的系統上。它們監視系統並判斷系統上的活動是否可接受。如果乙個網路資料報已經到達它要試圖進入的主機,要想準確地檢測出來並進行阻止,除防火牆和網路監視器外,還可用第三道防線來阻止,即 基於主機的入侵檢測 其入侵檢測結構如右圖所示。2種基於主機的入侵檢測型別如下。基於主...