辨别入侵检测系统性能的方法

核心提示： 对CPU处理能力的利用率也极大地影响网络传感器的性能，那么如何提高CPU处理能力的利用率呢？其中一个非常重要的方法就是对网络传感器进行CPU指令集的优化，辨别入侵检测系统性能的方法(4)，例如，在P4处理器上， 如果网络入侵检测系统支持多个网卡监控，那么各个网卡最好分配在不同的总线段，尽可

对CPU处理能力的利用率也极大地影响网络传感器的性能，那么如何提高CPU处理能力的利用率呢？其中一个非常重要的方法就是对网络传感器进行CPU指令集的优化。例如，在P4处理器上，尽可能的使用P4处理器的指令集。Intel公司提供的C&C++编译器，就有针对指令集进行优化的功能，而且Intel实验室还提供这方面优化服务。

目前，Intel的新至强处理器采用了超线程技术，但是网络传感器如果要发挥新至强处理器的性能，就必须针对超线程进行优化。目前Linux最新的核心还不支持超线程技术。

●内存

内存对网络传感器的影响是显著的。因为网络入侵检测系统需要大量的内存进行抓包、包重组、流重组、协议分析、规则匹配等计算。

内存的使用方法也是至关重要的，因为会影响CPU的利用率。使用方法包括：内存分配、释放、复制、匹配等。使用不当一方面会造成内存泄露，另一方面会占用CPU开销。

网络传感器的部分进程在核心态运行，另一部分进程运行在用户态，两者之间如果共享数据，必须进行内存复制，这时就需要在核心态和用户态之间切换，两者之间切换的CPU开销是很大的，如果切换非常频繁，CPU开销就会非常大。

●二级缓存

L2 Cache的数量也对网络传感器的性能有积极的影响。因此，尽可能的使用大的L2 Cache。

●网卡

网卡对网络传感器性能的影响主要是抓包效率。网卡到达性能峰值时，就很容易丢包。所以网络传感器的网卡就不能使用一般性的网卡。目前，使用比较多的是Intel系列、3Com系列网卡。例如，Intel百兆网卡中的82559，千兆网卡中的82543，82544等。

如果网络入侵检测系统支持多个网卡监控，那么各个网卡最好分配在不同的总线段。

网卡对网络入侵检测系统的影响还体现在网络传感器与控制台的数据传输上。