辨别入侵检测系统性能的方法

核心提示： 在相同的流量情况下，数据包越小，辨别入侵检测系统性能的方法(2)，处理的难度越大，小包处理能力，很多产品利用协议分析技术提高入侵分析的效率，先使用协议分析过滤冗余数据，也是反映防火墙性能的主要指标，3．每秒能监控的网络连接数网络入侵检测系统不仅要对单个的数据包作检测

在相同的流量情况下，数据包越小，处理的难度越大。小包处理能力，也是反映防火墙性能的主要指标。

3．每秒能监控的网络连接数

网络入侵检测系统不仅要对单个的数据包作检测，还要将相同网络连接的数据包组合起来作分析。网络连接的跟踪能力和数据包的重组能力是网络入侵检测系统进行协议分析、应用层入侵分析的基础。这种分析延伸出很多网络入侵检测系统的功能，例如：检测利用HTTP协议的攻击、敏感内容检测、邮件检测、Telnet会话的记录与回放、硬盘共享的监控等。

4．每秒能够处理的事件数

网络入侵检测系统检测到网络攻击和可疑事件后，会生成安全事件或称报警事件，并将事件记录在事件日志中。每秒能够处理的事件数，反映了检测分析引擎的处理能力和事件日志记录的后端处理能力。有的厂商将反映这两种处理能力的指标分开，称为事件处理引擎的性能参数和报警事件记录的性能参数。大多数网络入侵检测系统报警事件记录的性能参数小于事件处理引擎的性能参数，主要是Client/Server结构的网络入侵检测系统，因为引入了网络通信的性能瓶颈。这种情况将导致事件的丢失，或者控制台响应不过来了。

三、性能指标受哪些因素影响？

网络入侵检测系统性能取决于软硬件两方面的因素。

1．软件因素

软件因素主要是：

●网络抓包的效率；
　　●数据包重组和TCP流重组的效率。这是严重影响网络入侵检测系统性能的因素，对处理器和内存的开销非常大。如果数据包重组和TCP流重组在操作系统的用户层完成，那么就会导致操作系统以极高的频率在核心态和用户态之间切换，导致大量额外的系统开销；

●入侵分析的效率。入侵检测一般是基于特征匹配的，将网络数据包与入侵规则库进行特征匹配的。很多产品利用协议分析技术提高入侵分析的效率，先使用协议分析过滤冗余数据，同时尽快在规则树上分叉，加速深度遍历；