隨著網(wǎng)絡(luò)安全問(wèn)題逐漸被人重視，網(wǎng)絡(luò)安全產(chǎn)品也層出不窮，那么究竟怎么樣才能判斷一款網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是好是壞呢？性能指標(biāo)是每個(gè)用戶(hù)采購(gòu)安全產(chǎn)品必定關(guān)注的問(wèn)題。但是，如果不知道這些指標(biāo)的真實(shí)含義，不知道這些指標(biāo)如何測(cè)出來(lái)，就會(huì)被表面的參數(shù)所蒙蔽，從而做出錯(cuò)誤的決策。

性能指標(biāo)簡(jiǎn)介 

不同的安全產(chǎn)品，各種性能指標(biāo)對(duì)客戶(hù)的意義是不同的。例如防火墻，客戶(hù)會(huì)更關(guān)注每秒吞吐量、每秒并發(fā)連接數(shù)、傳輸延遲等。而網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，客戶(hù)則會(huì)更關(guān)注每秒能處理的網(wǎng)絡(luò)數(shù)據(jù)流量、每秒能監(jiān)控的網(wǎng)絡(luò)連接數(shù)等。 　

就網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)而言，除了上述指標(biāo)外，其實(shí)一些不為客戶(hù)了解的指標(biāo)也很重要，甚至更重要，例如每秒抓包數(shù)、每秒能夠處理的事件數(shù)等。 

1．每秒數(shù)據(jù)流量（Mbps或Gbps） 

每秒數(shù)據(jù)流量是指網(wǎng)絡(luò)上每秒通過(guò)某節(jié)點(diǎn)的數(shù)據(jù)量。這個(gè)指標(biāo)是反應(yīng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)性能的重要指標(biāo)，一般涌Mbps來(lái)衡量。例如10Mbps, 100Mbps和1Gbps。 

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的基本工作原理是嗅探（Sniffer），它通過(guò)將網(wǎng)卡設(shè)置為混雜模式，使得網(wǎng)卡可以接收網(wǎng)絡(luò)接口上的所有數(shù)據(jù)。

如果每秒數(shù)據(jù)流量超過(guò)網(wǎng)絡(luò)傳感器的處理能力，NIDS就可能會(huì)丟包，從而不能正常檢測(cè)攻擊。但是NIDS是否會(huì)丟包，不主要取決于每秒數(shù)據(jù)流量，而是主要取決于每秒抓包數(shù)。

2．每秒抓包數(shù)（pps） 

每秒抓包數(shù)是反映網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)性能的最重要的指標(biāo)。因?yàn)橄到y(tǒng)不停地從網(wǎng)絡(luò)上抓包，對(duì)數(shù)據(jù)包作分析和處理，查找其中的入侵和誤用模式。所以，每秒所能處理的數(shù)據(jù)包的多少，反映了系統(tǒng)的性能。業(yè)界不熟悉入侵檢測(cè)系統(tǒng)的往往把每秒網(wǎng)絡(luò)流量作為判斷網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的決定性指標(biāo)，這種想法是錯(cuò)誤的。每秒網(wǎng)絡(luò)流量等于每秒抓包數(shù)乘以網(wǎng)絡(luò)數(shù)據(jù)包的平均大小。由于網(wǎng)絡(luò)數(shù)據(jù)包的平均大小差異很大時(shí)，在相同抓包率的情況下，每秒網(wǎng)絡(luò)流量的差異也會(huì)很大。例如，網(wǎng)絡(luò)數(shù)據(jù)包的平均大小為1024字節(jié)左右，系統(tǒng)的性能能夠支持10,000pps的每秒抓包數(shù)，那么系統(tǒng)每秒能夠處理的數(shù)據(jù)流量可達(dá)到78Mbps，當(dāng)數(shù)據(jù)流量超過(guò)78Mbps時(shí)，會(huì)因?yàn)橄到y(tǒng)處理不過(guò)來(lái)而出現(xiàn)丟包現(xiàn)象；如果網(wǎng)絡(luò)數(shù)據(jù)包的平均大小為512字節(jié)左右，在10,000pps的每秒抓包數(shù)的性能情況下，系統(tǒng)每秒能夠處理的數(shù)據(jù)流量可達(dá)到40Mbps，當(dāng)數(shù)據(jù)流量超過(guò)40Mbps時(shí)，就會(huì)因?yàn)橄到y(tǒng)處理不過(guò)來(lái)而出現(xiàn)丟包現(xiàn)象。 

在相同的流量情況下，數(shù)據(jù)包越小，處理的難度越大。小包處理能力，也是反映防火墻性能的主要指標(biāo)。 

3．每秒能監(jiān)控的網(wǎng)絡(luò)連接數(shù) 

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)不僅要對(duì)單個(gè)的數(shù)據(jù)包作檢測(cè)，還要將相同網(wǎng)絡(luò)連接的數(shù)據(jù)包組合起來(lái)作分析。網(wǎng)絡(luò)連接的跟蹤能力和數(shù)據(jù)包的重組能力是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)進(jìn)行協(xié)議分析、應(yīng)用層入侵分析的基礎(chǔ)。這種分析延伸出很多網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的功能，例如：檢測(cè)利用HTTP協(xié)議的攻擊、敏感內(nèi)容檢測(cè)、郵件檢測(cè)、Telnet會(huì)話(huà)的記錄與回放、硬盤(pán)共享的監(jiān)控等。 

4．每秒能夠處理的事件數(shù) 

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)檢測(cè)到網(wǎng)絡(luò)攻擊和可疑事件后，會(huì)生成安全事件或稱(chēng)報(bào)警事件，并將事件記錄在事件日志中。每秒能夠處理的事件數(shù)，反映了檢測(cè)分析引擎的處理能力和事件日志記錄的后端處理能力。有的廠商將反映這兩種處理能力的指標(biāo)分開(kāi)，稱(chēng)為事件處理引擎的性能參數(shù)和報(bào)警事件記錄的性能參數(shù)。大多數(shù)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)報(bào)警事件記錄的性能參數(shù)小于事件處理引擎的性能參數(shù)，主要是Client/Server結(jié)構(gòu)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，因?yàn)橐肓司W(wǎng)絡(luò)通信的性能瓶頸。這種情況將導(dǎo)致事件的丟失，或者控制臺(tái)響應(yīng)不過(guò)來(lái)了。#p#

性能指標(biāo)受哪些因素影響？ 

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)性能取決于軟硬件兩方面的因素。 

1．軟件因素 

軟件因素主要是： 

●網(wǎng)絡(luò)抓包的效率；

●數(shù)據(jù)包重組和TCP流重組的效率。這是嚴(yán)重影響網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)性能的因素，對(duì)處理器和內(nèi)存的開(kāi)銷(xiāo)非常大。如果數(shù)據(jù)包重組和TCP流重組在操作系統(tǒng)的用戶(hù)層完成，那么就會(huì)導(dǎo)致操作系統(tǒng)以極高的頻率在核心態(tài)和用戶(hù)態(tài)之間切換，導(dǎo)致大量額外的系統(tǒng)開(kāi)銷(xiāo)； 

●入侵分析的效率。入侵檢測(cè)一般是基于特征匹配的，將網(wǎng)絡(luò)數(shù)據(jù)包與入侵規(guī)則庫(kù)進(jìn)行特征匹配的。很多產(chǎn)品利用協(xié)議分析技術(shù)提高入侵分析的效率，先使用協(xié)議分析過(guò)濾冗余數(shù)據(jù)，同時(shí)盡快在規(guī)則樹(shù)上分叉，加速深度遍歷； 

●C/S結(jié)構(gòu)下，網(wǎng)絡(luò)通信的延遲。在服務(wù)器端和客戶(hù)端都要引入網(wǎng)絡(luò)通信模塊，從而增加事件傳輸?shù)难舆t。大多數(shù)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)都是采用Client/Server結(jié)構(gòu)的，例如ISS Real Secure，賽門(mén)鐵克的IDS系統(tǒng)，啟明星辰的天闐和金諾的KIDS等等。像一些基于瀏覽器/服務(wù)器（B/S）結(jié)構(gòu)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)就沒(méi)有這種問(wèn)題，例如方正科技軟件的方通Sniper，因?yàn)樗氖录苯哟鎯?chǔ)在網(wǎng)絡(luò)傳感器上； 　

●事件日志庫(kù)的記錄能力。有的系統(tǒng)將事件收集（Event Collector）和事件日志庫(kù)分開(kāi)，事件收集器和事件日志數(shù)據(jù)庫(kù)又形成了C/S結(jié)構(gòu)，又引入了延遲。如果EC和日志數(shù)據(jù)庫(kù)在不同的主機(jī)上，更引入了網(wǎng)絡(luò)傳輸延遲。ISS Real Secure，啟明星辰的天闐和金諾的KIDS等等又是采用這種結(jié)構(gòu)；基于瀏覽器/服務(wù)器結(jié)構(gòu)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)也沒(méi)有這種問(wèn)題；

●控制臺(tái)的事件顯示效率。很多控制臺(tái)會(huì)因?yàn)槭录嗟奶幚聿贿^(guò)來(lái)，所以導(dǎo)致控制臺(tái)死機(jī)。很多C/S結(jié)構(gòu)的控制臺(tái)完成的功能太多了，例如和傳感器的網(wǎng)絡(luò)通信、和事件收集器的通信、和事件日志數(shù)據(jù)庫(kù)的通信，還要完成事件顯示、事件分析、系統(tǒng)管理和配置等等。引入了很多性能瓶頸點(diǎn)。如果不能達(dá)到實(shí)時(shí)監(jiān)控，就會(huì)使網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的價(jià)值大打折扣。 

2．硬件因素 

硬件方面主要是CPU處理能力、內(nèi)存、網(wǎng)卡和硬盤(pán)IO等。 

●CPU處理能力 

CPU處理能力是影響網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)傳感器性能的重要因素。CPU處理能力從三個(gè)方面對(duì)系統(tǒng)產(chǎn)生影響：CPU主頻和CPU的個(gè)數(shù)，分別被稱(chēng)為CPU的縱向和橫向的擴(kuò)展能力。一般而言，隨著CPU主頻的提高，網(wǎng)絡(luò)傳感器的處理能力越高，這是顯而易見(jiàn)的。 

但是是不是隨著CPU數(shù)量的提高網(wǎng)絡(luò)傳感器的性能就線(xiàn)性增加呢？這要看系統(tǒng)是否是多進(jìn)程或多線(xiàn)程架構(gòu)的。很多網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)都在做多處理器的優(yōu)化。 

對(duì)CPU處理能力的利用率也極大地影響網(wǎng)絡(luò)傳感器的性能，那么如何提高CPU處理能力的利用率呢？其中一個(gè)非常重要的方法就是對(duì)網(wǎng)絡(luò)傳感器進(jìn)行CPU指令集的優(yōu)化。例如，在P4處理器上，盡可能的使用P4處理器的指令集。Intel公司提供的C&C++編譯器，就有針對(duì)指令集進(jìn)行優(yōu)化的功能，而且Intel實(shí)驗(yàn)室還提供這方面優(yōu)化服務(wù)。 

目前，Intel的新至強(qiáng)處理器采用了超線(xiàn)程技術(shù)，但是網(wǎng)絡(luò)傳感器如果要發(fā)揮新至強(qiáng)處理器的性能，就必須針對(duì)超線(xiàn)程進(jìn)行優(yōu)化。目前Linux最新的核心還不支持超線(xiàn)程技術(shù)。 

●內(nèi)存 

內(nèi)存對(duì)網(wǎng)絡(luò)傳感器的影響是顯著的。因?yàn)榫W(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)需要大量的內(nèi)存進(jìn)行抓包、包重組、流重組、協(xié)議分析、規(guī)則匹配等計(jì)算。 

內(nèi)存的使用方法也是至關(guān)重要的，因?yàn)闀?huì)影響CPU的利用率。使用方法包括：內(nèi)存分配、釋放、復(fù)制、匹配等。使用不當(dāng)一方面會(huì)造成內(nèi)存泄露，另一方面會(huì)占用CPU開(kāi)銷(xiāo)。 

網(wǎng)絡(luò)傳感器的部分進(jìn)程在核心態(tài)運(yùn)行，另一部分進(jìn)程運(yùn)行在用戶(hù)態(tài)，兩者之間如果共享數(shù)據(jù)，必須進(jìn)行內(nèi)存復(fù)制，這時(shí)就需要在核心態(tài)和用戶(hù)態(tài)之間切換，兩者之間切換的CPU開(kāi)銷(xiāo)是很大的，如果切換非常頻繁，CPU開(kāi)銷(xiāo)就會(huì)非常大。 

●二級(jí)緩存 

L2 Cache的數(shù)量也對(duì)網(wǎng)絡(luò)傳感器的性能有積極的影響。因此，盡可能的使用大的L2 Cache。 

●網(wǎng)卡 

網(wǎng)卡對(duì)網(wǎng)絡(luò)傳感器性能的影響主要是抓包效率。網(wǎng)卡到達(dá)性能峰值時(shí)，就很容易丟包。所以網(wǎng)絡(luò)傳感器的網(wǎng)卡就不能使用一般性的網(wǎng)卡。目前，使用比較多的是Intel系列、3Com系列網(wǎng)卡。例如，Intel百兆網(wǎng)卡中的82559，千兆網(wǎng)卡中的82543，82544等。 

如果網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)支持多個(gè)網(wǎng)卡監(jiān)控，那么各個(gè)網(wǎng)卡最好分配在不同的總線(xiàn)段。 

網(wǎng)卡對(duì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的影響還體現(xiàn)在網(wǎng)絡(luò)傳感器與控制臺(tái)的數(shù)據(jù)傳輸上。 

網(wǎng)卡驅(qū)動(dòng)對(duì)網(wǎng)絡(luò)傳感器的影響也是很重要的，有的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，對(duì)網(wǎng)卡做專(zhuān)門(mén)的優(yōu)化。 　

●PCI總線(xiàn)帶寬 

另一個(gè)非常重要的硬件因素是PCI總線(xiàn)帶寬。特別是在千兆網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)上，為了實(shí)現(xiàn)幾個(gè)G的抓包速率，必須使用多個(gè)66Mhz/64-bit PCI or 133Mhz/64-bit PCI-X總線(xiàn)擴(kuò)展槽。如果使用PCI-X總線(xiàn)，就必須使用PCI-X兼容的網(wǎng)卡，以充分發(fā)揮PCI-X 133MHz標(biāo)準(zhǔn)。為了提供更好的帶寬利用，多個(gè)網(wǎng)卡必須合理地分布在PCI/PCI-X總線(xiàn)段上。 

●硬盤(pán)IO 

因?yàn)榫W(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的傳感器需要在硬盤(pán)上存儲(chǔ)很多日志信息，所以硬盤(pán)的IO也會(huì)影響到網(wǎng)絡(luò)傳感器的性能。 　

分析 

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的性能測(cè)試的基本原理是是通過(guò)一些設(shè)備或軟件工具制造不同數(shù)據(jù)包大?。ㄈ?4, 128, 256, 512, 1024 , 1518字節(jié)）、不同壓力的背景流量（如10Mbps，50Mbps，100Mbps，350Mbps，500Mbps，750Mbps等），然后通過(guò)各種黑客工具發(fā)動(dòng)攻擊，看網(wǎng)絡(luò)傳感器的檢測(cè)情況和數(shù)據(jù)包丟失的情況。 

在網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中，背景流量的產(chǎn)生起著至關(guān)重要的作用。背景流量從如下方面影響性能測(cè)試的結(jié)果。 

1．背景流量的數(shù)據(jù)包大小 

對(duì)于發(fā)包測(cè)試設(shè)備來(lái)說(shuō)，每秒制造數(shù)據(jù)包的數(shù)量（pps）是有極限的。一般而言，數(shù)據(jù)包越小，每秒制造的數(shù)據(jù)包數(shù)量越多，數(shù)據(jù)包越大，每秒制造的數(shù)據(jù)包數(shù)量越少。但是，數(shù)據(jù)流量（Mbps）等于數(shù)據(jù)包大小和每秒數(shù)據(jù)包數(shù)的乘積，所以數(shù)據(jù)流量由兩者共同決定。 

對(duì)應(yīng)于網(wǎng)卡，也是一樣，數(shù)據(jù)包越小，每秒能夠處理的數(shù)據(jù)包越多，數(shù)據(jù)包越大，每秒能夠處理的數(shù)據(jù)包越少。但是網(wǎng)卡每秒能夠處理的數(shù)據(jù)包數(shù)也是有限的。 

在極限情況下，數(shù)據(jù)包越小，處理的難度越大，數(shù)據(jù)包越大，處理的難度越小。因?yàn)樵诰W(wǎng)絡(luò)流量的不斷增長(zhǎng)的趨勢(shì)下，小數(shù)據(jù)包的pps增長(zhǎng)速度比大數(shù)據(jù)包的pps增長(zhǎng)速度快得多，迅速達(dá)到極限。從上述的測(cè)試結(jié)果數(shù)據(jù)來(lái)看，可以很明顯的看到這一點(diǎn)。 

小數(shù)據(jù)包的處理能力不僅是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，而且也是防火墻的性能瓶頸。所幸在網(wǎng)絡(luò)中小數(shù)據(jù)包出現(xiàn)的比率還是比較低的。但是，在一些黑客攻擊中，采用小包，很容易制造DoS攻擊。 

廠商公布的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的每秒可處理的最大網(wǎng)絡(luò)流量指標(biāo)，往往是在最好的條件下測(cè)的，如每個(gè)數(shù)據(jù)包的大小是1518字節(jié)。 

用戶(hù)在選購(gòu)網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品時(shí)，不能單純看廠商公布的數(shù)據(jù)，而是要分析自己的流量的情況。要分析數(shù)據(jù)包大小的分布情況，64字節(jié)包平均占多少，128字節(jié)包平均占多少，512字節(jié)包平均占多少，1518字節(jié)包平均占多少，還要分析整體的流量在每天的時(shí)間上的平均分布。 

2．背景流量的數(shù)據(jù)包類(lèi)型 

數(shù)據(jù)包的類(lèi)型決定了網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的處理方式，從而很大程度上決定了性能指標(biāo)的有效性和真實(shí)性。 

例如UDP包和TCP包的處理方式就是很具有代表性的一例。眾所周知，UDP協(xié)議是面向無(wú)連接的協(xié)議，TCP是面向連接的協(xié)議。TCP傳輸不僅要完成三次握手，而且要對(duì)IP數(shù)據(jù)包進(jìn)行組裝，以形成完整的會(huì)話(huà)數(shù)據(jù)，有時(shí)網(wǎng)絡(luò)傳感器還要對(duì)TCP傳輸進(jìn)行流重組。所以，TCP的處理比UDP復(fù)雜的多，占用的CPU、內(nèi)存等系統(tǒng)資源也要多的多，而且，在所有攻擊類(lèi)型中，利用UDP協(xié)議的攻擊所占的比率不到10%。

所以，用UDP包作為背景流量具有很大的欺騙性。而目前很多公布數(shù)據(jù)的網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品廠商都是用UDP作為背景流量，特別是千兆入侵檢測(cè)產(chǎn)品，什么800M，941M等等。 

在我們所舉例的測(cè)試中，是使用TCP作為背景流量的類(lèi)型，更具有科學(xué)性和真實(shí)性。 

用戶(hù)在選購(gòu)網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品時(shí)，要注意鑒別真?zhèn)巍?/P>

當(dāng)然，利用背景流量的類(lèi)型做文章的廠商比起隨便插個(gè)千兆網(wǎng)卡就自稱(chēng)是千兆級(jí)產(chǎn)品的廠商來(lái)說(shuō)，還是高明一些。 

3．背景流量的方向 

在我們舉例的測(cè)試中，采用雙向流量測(cè)試后，系統(tǒng)的流量和pps的性能指標(biāo)在一定程度上提高，但不是成倍的上升。因?yàn)橄到y(tǒng)的處理性能放在那兒了。而且，小數(shù)據(jù)包的性能指標(biāo)比大數(shù)據(jù)包的性能指標(biāo)提高的更加明顯。 

4．CPU占用率 

CPU占用率也是反映了網(wǎng)絡(luò)傳感器性能的主要參考指標(biāo)，如果在其他條件相同的情況下，CPU占用率越低，表明系統(tǒng)的性能越好，反之就越差。

【編輯推薦】

1. 升級(jí)OR替代？IPS系統(tǒng)與IDS系統(tǒng)
2. 正確區(qū)分入侵檢測(cè)IDS與入侵防御IPS
3. 如何在Linux下實(shí)現(xiàn)入侵檢測(cè)IDS
4. 零距離接觸入侵防御IPS系統(tǒng)
5. IPS技術(shù)發(fā)展中的三塊絆腳石