辨别入侵检测系统性能的方法

●C/S结构下，网络通信的延迟。在服务器端和客户端都要引入网络通信模块，从而增加事件传输的延迟。大多数网络入侵检测系统都是采用Client/Server结构的，例如ISS Real Secure，赛门铁克的IDS系统，启明星辰的天阗和金诺的KIDS等等。像一些基于浏览器/服务器（B/S）结构的网络入侵检测系统就没有这种问题，例如方正科技软件的方通Sniper，因为它的事件直接存储在网络传感器上；

●事件日志库的记录能力。有的系统将事件收集（Event Collector）和事件日志库分开，事件收集器和事件日志数据库又形成了C/S结构，又引入了延迟。如果EC和日志数据库在不同的主机上，更引入了网络传输延迟。ISS Real Secure，启明星辰的天阗和金诺的KIDS等等又是采用这种结构；基于浏览器/服务器结构的网络入侵检测系统也没有这种问题；

●控制台的事件显示效率。很多控制台会因为事件多的处理不过来，所以导致控制台死机。很多C/S结构的控制台完成的功能太多了，例如和传感器的网络通信、和事件收集器的通信、和事件日志数据库的通信，还要完成事件显示、事件分析、系统管理和配置等等。引入了很多性能瓶颈点。如果不能达到实时监控，就会使网络入侵检测系统的价值大打折扣。

2．硬件因素

硬件方面主要是CPU处理能力、内存、网卡和硬盘IO等。

●CPU处理能力

CPU处理能力是影响网络入侵检测系统网络传感器性能的重要因素。CPU处理能力从三个方面对系统产生影响：CPU主频和CPU的个数，分别被称为CPU的纵向和横向的扩展能力。一般而言，随着CPU主频的提高，网络传感器的处理能力越高，这是显而易见的。

但是是不是随着CPU数量的提高网络传感器的性能就线性增加呢？这要看系统是否是多进程或多线程架构的。很多网络入侵检测系统都在做多处理器的优化。