辨别入侵检测系统性能的方法

核心提示： 网卡驱动对网络传感器的影响也是很重要的，有的网络入侵检测系统，辨别入侵检测系统性能的方法(5)，对网卡做专门的优化，●PCI总线带宽另一个非常重要的硬件因素是PCI总线带宽，迅速达到极限，从上述的测试结果数据来看，特别是在千兆网络入侵检测系统上，为了实现几个G的抓包速率

网卡驱动对网络传感器的影响也是很重要的，有的网络入侵检测系统，对网卡做专门的优化。

●PCI总线带宽

另一个非常重要的硬件因素是PCI总线带宽。特别是在千兆网络入侵检测系统上，为了实现几个G的抓包速率，必须使用多个66Mhz/64-bit PCI or 133Mhz/64-bit PCI-X总线扩展槽。如果使用PCI-X总线，就必须使用PCI-X兼容的网卡，以充分发挥PCI-X 133MHz标准。为了提供更好的带宽利用，多个网卡必须合理地分布在PCI/PCI-X总线段上。

●硬盘IO

因为网络入侵检测系统的传感器需要在硬盘上存储很多日志信息，所以硬盘的IO也会影响到网络传感器的性能。

四、分析

网络入侵检测系统的性能测试的基本原理是是通过一些设备或软件工具制造不同数据包大小（如64, 128, 256, 512, 1024 , 1518字节）、不同压力的背景流量（如10Mbps，50Mbps，100Mbps，350Mbps，500Mbps，750Mbps等），然后通过各种黑客工具发动攻击，看网络传感器的检测情况和数据包丢失的情况。

在网络入侵检测系统中，背景流量的产生起着至关重要的作用。背景流量从如下方面影响性能测试的结果。

1．背景流量的数据包大小

对于发包测试设备来说，每秒制造数据包的数量（pps）是有极限的。一般而言，数据包越小，每秒制造的数据包数量越多，数据包越大，每秒制造的数据包数量越少。但是，数据流量（Mbps）等于数据包大小和每秒数据包数的乘积，所以数据流量由两者共同决定。

对应于网卡，也是一样，数据包越小，每秒能够处理的数据包越多，数据包越大，每秒能够处理的数据包越少。但是网卡每秒能够处理的数据包数也是有限的。

在极限情况下，数据包越小，处理的难度越大，数据包越大，处理的难度越小。因为在网络流量的不断增长的趋势下，小数据包的pps增长速度比大数据包的pps增长速度快得多，迅速达到极限。从上述的测试结果数据来看，可以很明显的看到这一点。