辨别入侵检测系统性能的方法

小数据包的处理能力不仅是网络入侵检测系统，而且也是防火墙的性能瓶颈。所幸在网络中小数据包出现的比率还是比较低的。但是，在一些黑客攻击中，采用小包，很容易制造DoS攻击。

厂商公布的网络入侵检测系统的每秒可处理的最大网络流量指标，往往是在最好的条件下测的，如每个数据包的大小是1518字节。

用户在选购网络入侵检测产品时，不能单纯看厂商公布的数据，而是要分析自己的流量的情况。要分析数据包大小的分布情况，64字节包平均占多少，128字节包平均占多少，512字节包平均占多少，1518字节包平均占多少，还要分析整体的流量在每天的时间上的平均分布。

2．背景流量的数据包类型

数据包的类型决定了网络入侵检测系统的处理方式，从而很大程度上决定了性能指标的有效性和真实性。

例如UDP包和TCP包的处理方式就是很具有代表性的一例。众所周知，UDP协议是面向无连接的协议，TCP是面向连接的协议。TCP传输不仅要完成三次握手，而且要对IP数据包进行组装，以形成完整的会话数据，有时网络传感器还要对TCP传输进行流重组。所以，TCP的处理比UDP复杂的多，占用的CPU、内存等系统资源也要多的多，而且，在所有攻击类型中，利用UDP协议的攻击所占的比率不到10%。

所以，用UDP包作为背景流量具有很大的欺骗性。而目前很多公布数据的网络入侵检测产品厂商都是用UDP作为背景流量，特别是千兆入侵检测产品，什么800M，941M等等。

在我们所举例的测试中，是使用TCP作为背景流量的类型，更具有科学性和真实性。

用户在选购网络入侵检测产品时，要注意鉴别真伪。

当然，利用背景流量的类型做文章的厂商比起随便插个千兆网卡就自称是千兆级产品的厂商来说，还是高明一些。

3．背景流量的方向

在我们举例的测试中，采用双向流量测试后，系统的流量和pps的性能指标在一定程度上提高，但不是成倍的上升。因为系统的处理性能放在那儿了。而且，小数据包的性能指标比大数据包的性能指标提高的更加明显。

4．CPU占用率

CPU占用率也是反映了网络传感器性能的主要参考指标，如果在其他条件相同的情况下，CPU占用率越低，表明系统的性能越好，反之就越差。