所属分类: 网络安全 整理: FengNet.Com 更新日期:2005/9/14 10:51:07 阅读次数:5760

解析入侵检测系统的性能的辨别方法


一、概述   
  性能指标是每个用户采购安全产品必定关注的问题。但是,如果不知道这些指标的真实含义,不知道这些指标如何测出来,就会被表面的参数所蒙蔽,从而做出错误的决策。   

  本文介绍了网络入侵检测系统的性能指标的含义、测试方法,并分析了测试过程中可能作假的方法,以给用户正确选择网络入侵检测产品提供辨别的思路。   

  二、性能指标简介   

  不同的安全产品,各种性能指标对客户的意义是不同的。例如防火墙,客户会更关注每秒吞吐量、每秒并发连接数、传输延迟等。而网络入侵检测系统,客户则会更关注每秒能处理的网络数据流量、每秒能监控的网络连接数等。  

  就网络入侵检测系统而言,除了上述指标外,其实一些不为客户了解的指标也很重要,甚至更重要,例如每秒抓包数、每秒能够处理的事件数等。   

  1.每秒数据流量(Mbps或Gbps)   

  每秒数据流量是指网络上每秒通过某节点的数据量。这个指标是反应网络入侵检测系统性能的重要指标,一般涌Mbps来衡量。例如10Mbps, 100Mbps和1Gbps。   

  网络入侵检测系统的基本工作原理是嗅探(Sniffer),它通过将网卡设置为混杂模式,使得网卡可以接收网络接口上的所有数据。  

  如果每秒数据流量超过网络传感器的处理能力,NIDS就可能会丢包,从而不能正常检测攻击。但是NIDS是否会丢包,不主要取决于每秒数据流量,而是主要取决于每秒抓包数。

  2.每秒抓包数(pps)   

  每秒抓包数是反映网络入侵检测系统性能的最重要的指标。因为系统不停地从网络上抓包,对数据包作分析和处理,查找其中的入侵和误用模式。所以,每秒所能处理的数据包的多少,反映了系统的性能。业界不熟悉入侵检测系统的往往把每秒网络流量作为判断网络入侵检测系统的决定性指标,这种想法是错误的。每秒网络流量等于每秒抓包数乘以网络数据包的平均大小。由于网络数据包的平均大小差异很大时,在相同抓包率的情况下,每秒网络流量的差异也会很大。例如,网络数据包的平均大小为1024字节左右,系统的性能能够支持10,000pps的每秒抓包数,那么系统每秒能够处理的数据流量可达到78Mbps,当数据流量超过78Mbps时,会因为系统处理不过来而出现丢包现象;如果网络数据包的平均大小为512字节左右,在10,000pps的每秒抓包数的性能情况下,系统每秒能够处理的数据流量可达到40Mbps,当数据流量超过40Mbps时,就会因为系统处理不过来而出现丢包现象。   

  在相同的流量情况下,数据包越小,处理的难度越大。小包处理能力,也是反映防火墙性能的主要指标。   

  3.每秒能监控的网络连接数   

  网络入侵检测系统不仅要对单个的数据包作检测,还要将相同网络连接的数据包组合起来作分析。网络连接的跟踪能力和数据包的重组能力是网络入侵检测系统进行协议分析、应用层入侵分析的基础。这种分析延伸出很多网络入侵检测系统的功能,例如:检测利用HTTP协议的攻击、敏感内容检测、邮件检测、Telnet会话的记录与回放、硬盘共享的监控等。   

  4.每秒能够处理的事件数   

  网络入侵检测系统检测到网络攻击和可疑事件后,会生成安全事件或称报警事件,并将事件记录在事件日志中。每秒能够处理的事件数,反映了检测分析引擎的处理能力和事件日志记录的后端处理能力。有的厂商将反映这两种处理能力的指标分开,称为事件处理引擎的性能参数和报警事件记录的性能参数。大多数网络入侵检测系统报警事件记录的性能参数小于事件处理引擎的性能参数,主要是Client/Server结构的网络入侵检测系统,因为引入了网络通信的性能瓶颈。这种情况将导致事件的丢失,或者控制台响应不过来了。

  三、性能指标受哪些因素影响?   

  网络入侵检测系统性能取决于软硬件两方面的因素。   

  1.软件因素   

  软件因素主要是:   

  ●网络抓包的效率;
  
  ●数据包重组和TCP流重组的效率。这是严重影响网络入侵检测系统性能的因素,对处理器和内存的开销非常大。如果数据包重组和TCP流重组在操作系统的用户层完成,那么就会导致操作系统以极高的频率在核心态和用户态之间切换,导致大量额外的系统开销;   

  ●入侵分析的效率。入侵检测一般是基于特征匹配的,将网络数据包与入侵规则库进行特征匹配的。很多产品利用协议分析技术提高入侵分析的效率,先使用协议分析过滤冗余数据,同时尽快在规则树上分叉,加速深度遍历;   

  ●C/S结构下,网络通信的延迟。在服务器端和客户端都要引入网络通信模块,从而增加事件传输的延迟。大多数网络入侵检测系统都是采用Client/Server结构的,例如ISS Real Secure,赛门铁克的IDS系统,启明星辰的天阗和金诺的KIDS等等。像一些基于浏览器/服务器(B/S)结构的网络入侵检测系统就没有这种问题,例如方正科技软件的方通Sniper,因为它的事件直接存储在网络传感器上;  

  ●事件日志库的记录能力。有的系统将事件收集(Event Collector)和事件日志库分开,事件收集器和事件日志数据库又形成了C/S结构,又引入了延迟。如果EC和日志数据库在不同的主机上,更引入了网络传输延迟。ISS Real Secure,启明星辰的天阗和金诺的KIDS等等又是采用这种结构;基于浏览器/服务器结构的网络入侵检测系统也没有这种问题;  

  ●控制台的事件显示效率。很多控制台会因为事件多的处理不过来,所以导致控制台死机。很多C/S结构的控制台完成的功能太多了,例如和传感器的网络通信、和事件收集器的通信、和事件日志数据库的通信,还要完成事件显示、事件分析、系统管理和配置等等。引入了很多性能瓶颈点。如果不能达到实时监控,就会使网络入侵检测系统的价值大打折扣。   

  2.硬件因素   

  硬件方面主要是CPU处理能力、内存、网卡和硬盘IO等。   

  ●CPU处理能力   

  CPU处理能力是影响网络入侵检测系统网络传感器性能的重要因素。CPU处理能力从三个方面对系统产生影响:CPU主频和CPU的个数,分别被称为CPU的纵向和横向的扩展能力。一般而言,随着CPU主频的提高,网络传感器的处理能力越高,这是显而易见的。   

  但是是不是随着CPU数量的提高网络传感器的性能就线性增加呢?这要看系统是否是多进程或多线程架构的。很多网络入侵检测系统都在做多处理器的优化。   

  对CPU处理能力的利用率也极大地影响网络传感器的性能,那么如何提高CPU处理能力的利用率呢?其中一个非常重要的方法就是对网络传感器进行CPU指令集的优化。例如,在P4处理器上,尽可能的使用P4处理器的指令集。Intel公司提供的C&C++编译器,就有针对指令集进行优化的功能,而且Intel实验室还提供这方面优化服务。   

  目前,Intel的新至强处理器采用了超线程技术,但是网络传感器如果要发挥新至强处理器的性能,就必须针对超线程进行优化。目前Linux最新的核心还不支持超线程技术。   

  ●内存   

  内存对网络传感器的影响是显著的。因为网络入侵检测系统需要大量的内存进行抓包、包重组、流重组、协议分析、规则匹配等计算。   

  内存的使用方法也是至关重要的,因为会影响CPU的利用率。使用方法包括:内存分配、释放、复制、匹配等。使用不当一方面会造成内存泄露,另一方面会占用CPU开销。   

  网络传感器的部分进程在核心态运行,另一部分进程运行在用户态,两者之间如果共享数据,必须进行内存复制,这时就需要在核心态和用户态之间切换,两者之间切换的CPU开销是很大的,如果切换非常频繁,CPU开销就会非常大。   

  ●二级缓存   

  L2 Cache的数量也对网络传感器的性能有积极的影响。因此,尽可能的使用大的L2 Cache。   

  ●网卡   

  网卡对网络传感器性能的影响主要是抓包效率。网卡到达性能峰值时,就很容易丢包。所以网络传感器的网卡就不能使用一般性的网卡。目前,使用比较多的是Intel系列、3Com系列网卡。例如,Intel百兆网卡中的82559,千兆网卡中的82543,82544等。   

  如果网络入侵检测系统支持多个网卡监控,那么各个网卡最好分配在不同的总线段。   

  网卡对网络入侵检测系统的影响还体现在网络传感器与控制台的数据传输上。   

  网卡驱动对网络传感器的影响也是很重要的,有的网络入侵检测系统,对网卡做专门的优化。  

  ●PCI总线带宽   

  另一个非常重要的硬件因素是PCI总线带宽。特别是在千兆网络入侵检测系统上,为了实现几个G的抓包速率,必须使用多个66Mhz/64-bit PCI or 133Mhz/64-bit PCI-X总线扩展槽。如果使用PCI-X总线,就必须使用PCI-X兼容的网卡,以充分发挥PCI-X 133MHz标准。为了提供更好的带宽利用,多个网卡必须合理地分布在PCI/PCI-X总线段上。   

  ●硬盘IO   

  因为网络入侵检测系统的传感器需要在硬盘上存储很多日志信息,所以硬盘的IO也会影响到网络传感器的性能。  

  四、分析   

  网络入侵检测系统的性能测试的基本原理是是通过一些设备或软件工具制造不同数据包大小(如64, 128, 256, 512, 1024 , 1518字节)、不同压力的背景流量(如10Mbps,50Mbps,100Mbps,350Mbps,500Mbps,750Mbps等),然后通过各种黑客工具发动攻击,看网络传感器的检测情况和数据包丢失的情况。   

  在网络入侵检测系统中,背景流量的产生起着至关重要的作用。背景流量从如下方面影响性能测试的结果。   

  1.背景流量的数据包大小   

  对于发包测试设备来说,每秒制造数据包的数量(pps)是有极限的。一般而言,数据包越小,每秒制造的数据包数量越多,数据包越大,每秒制造的数据包数量越少。但是,数据流量(Mbps)等于数据包大小和每秒数据包数的乘积,所以数据流量由两者共同决定。   

  对应于网卡,也是一样,数据包越小,每秒能够处理的数据包越多,数据包越大,每秒能够处理的数据包越少。但是网卡每秒能够处理的数据包数也是有限的。   

  在极限情况下,数据包越小,处理的难度越大,数据包越大,处理的难度越小。因为在网络流量的不断增长的趋势下,小数据包的pps增长速度比大数据包的pps增长速度快得多,迅速达到极限。从上述的测试结果数据来看,可以很明显的看到这一点。   

  小数据包的处理能力不仅是网络入侵检测系统,而且也是防火墙的性能瓶颈。所幸在网络中小数据包出现的比率还是比较低的。但是,在一些黑客攻击中,采用小包,很容易制造DoS攻击。   

  厂商公布的网络入侵检测系统的每秒可处理的最大网络流量指标,往往是在最好的条件下测的,如每个数据包的大小是1518字节。   

  用户在选购网络入侵检测产品时,不能单纯看厂商公布的数据,而是要分析自己的流量的情况。要分析数据包大小的分布情况,64字节包平均占多少,128字节包平均占多少,512字节包平均占多少,1518字节包平均占多少,还要分析整体的流量在每天的时间上的平均分布。   

  2.背景流量的数据包类型   

  数据包的类型决定了网络入侵检测系统的处理方式,从而很大程度上决定了性能指标的有效性和真实性。   

  例如UDP包和TCP包的处理方式就是很具有代表性的一例。众所周知,UDP协议是面向无连接的协议,TCP是面向连接的协议。TCP传输不仅要完成三次握手,而且要对IP数据包进行组装,以形成完整的会话数据,有时网络传感器还要对TCP传输进行流重组。所以,TCP的处理比UDP复杂的多,占用的CPU、内存等系统资源也要多的多,而且,在所有攻击类型中,利用UDP协议的攻击所占的比率不到10%。  

  所以,用UDP包作为背景流量具有很大的欺骗性。而目前很多公布数据的网络入侵检测产品厂商都是用UDP作为背景流量,特别是千兆入侵检测产品,什么800M,941M等等。   

  在我们所举例的测试中,是使用TCP作为背景流量的类型,更具有科学性和真实性。   

  用户在选购网络入侵检测产品时,要注意鉴别真伪。  

  当然,利用背景流量的类型做文章的厂商比起随便插个千兆网卡就自称是千兆级产品的厂商来说,还是高明一些。   

  3.背景流量的方向   

  在我们举例的测试中,采用双向流量测试后,系统的流量和pps的性能指标在一定程度上提高,但不是成倍的上升。因为系统的处理性能放在那儿了。而且,小数据包的性能指标比大数据包的性能指标提高的更加明显。   

  4.CPU占用率   

  CPU占用率也是反映了网络传感器性能的主要参考指标,如果在其他条件相同的情况下,CPU占用率越低,表明系统的性能越好,反之就越差。




--------------------------------------------------------------------------------

相关文章
Linux内核参数调优 2015/10/9 10:58:10
查看Linux系统是否使用RAID阵列信息 2015/10/9 10:49:58
Mac 常用应用推荐.输入法篇 2012/9/4 10:46:58
Mac 常用应用推荐下载工具篇 2012/9/4 10:46:21
Web安全工具大汇聚 2012/3/20 9:27:50
防恶意扫描 PortSentry保护Linux服务器 2011/10/23 13:08:21
POSTFIX邮局系统搭建全过程 2011/10/22 9:33:19
云计算环境中的入侵检测 2010/6/23 8:52:59
Linux对Windows系统进行DDOS攻击的方法 2010/4/26 14:49:29
安全审计自己动手 2010/4/14 11:12:19
服务器被入侵后的紧急补救方法 2009/12/16 13:18:59
如何准备网络硬件安全升级 2009/11/30 16:18:59
网络流量控制对管理起到的作用 2009/11/28 14:34:26
思科IOS文件管理命令 2009/3/13 21:15:53
OSI第五层安全:会话劫持 2008/8/21 13:04:25
HP小型机的信息的命令集 2008/5/15 18:26:59
vsftpd架设匿名FTP,本地用户和虚拟用户mysql登录 2008/4/27 8:23:51
wu-ftpd服务器配置手册 2008/4/27 8:16:31
vsftp配置大全---完整版 2008/4/27 8:13:22
用rsync实现网站镜像和备份 2007/5/17 17:43:10
Cisco IOS Cookbook 中文精简版第二十七章安全 2007/5/9 10:09:28
基于FreeBSD5.4全能服务器安装 2007/2/1 17:19:40
UNIX应急响应攻略 2006/12/14 13:41:20
网站服务器通用和专用保护方法比较分析 2006/12/14 13:31:38
信息安全呼唤理论创新 2006/12/8 12:36:44
应对Linux服务器四种级别攻击 2006/12/4 16:44:54
新一代网络安全接入技术对比分析 2006/12/4 16:40:41
Catalyst 4006交换机的配置实例 2006/10/28 9:56:03
抵御DDoS攻击 2006/10/28 9:46:05
在交换机上实现存储安全 2006/10/27 10:02:36
IOS Naming 2006/9/14 8:36:42
Catalyst 4006交换机的配置实例 2006/8/9 17:01:46
网络路由安全攻防对策分析及实践 2006/8/8 18:55:12
信息安全事件管理 2006/8/4 18:45:28
信息技术安全管理平台产品安全检验规范 2006/7/29 8:08:47
信息技术入侵防御产品安全检验规范 2006/7/29 7:44:11
安装SCSI硬盘 安装、启动、设置篇 2006/7/24 10:03:13
80端口web服务攻击痕迹 2006/7/22 17:19:31
路由器默认密码 2006/6/28 23:05:49
用snort和空IP做一个安全的log纪录服务器 2006/6/17 11:09:10
VSFTP—安全与效能兼备的ftp 服务器 2006/6/15 19:20:08
Linux下软件RAID的实现 2006/6/14 19:20:39
入侵检测系统逃避技术和对策的介绍 2006/6/7 9:25:12
网络安全讲座之七:IDS系统 2006/5/24 19:45:52
Solaris基本安全配置规范 2006/5/24 11:14:30
用Cisco产品和功能构建安全的网络 2006/5/10 10:37:05
vsftp配置大全 2006/5/6 18:17:32
建立一个带宽、线程可控的下载型WEB网站 2006/4/30 13:53:11
分级防御对Linux服务器的攻击 2006/4/30 13:28:03
网络分析监听技术之原理、应用与防范 2006/4/6 19:22:39
利用Catalyst交换机防范蠕虫病毒 2006/3/28 13:00:21
Cisco产品采用的网络协议总结 2006/1/12 14:15:24
交换机网络安全策略全方位解析 2006/1/8 16:25:52
HP小型机的信息的命令集 2006/1/6 14:33:13
用Cisco产品和功能构建安全的网络 2006/1/4 13:46:58
基于网络IDS的典型配置 2005/12/14 8:46:10
思科IOS 12.3新特性 2005/11/21 9:32:14
强审计:亟待深耕的沃土 2005/11/21 9:05:12
Sniff网络基础原理和软件实现技巧详解 2005/11/5 21:15:12
剖析入侵检测系统的安全性 2005/10/11 10:41:45
Win2000 Server入侵监测 2005/10/11 10:36:19
在RedHat9上构建小型的入侵检测系统 2005/9/20 14:14:17
安全防护-入侵检测实战之全面问答(下) 2005/9/14 10:47:29
安全防护-入侵检测实战之全面问答(上) 2005/9/14 10:46:03
邮件发送退信分析大全 2005/9/1 17:29:35
利用网络漏洞扫描系统保障系统与网络的安全 2005/8/16 17:46:26
信息安全需要技术保障 2005/8/16 17:34:40
交换机里的安全因子 2005/8/16 17:32:10
如何利用Catalyst交换机及时发现、追踪和缓解蠕虫病毒的入侵? 2005/8/4 13:31:23
利用Catalyst交换机防范蠕虫病毒的入侵 2005/7/8 8:32:43
[网工]入侵检测系统FAQ(全) 2005/7/6 21:01:49
网络杀虫经验谈:防虫手段和安全应用 2005/6/10 20:54:13
系统故障的超级解决方法 2005/6/8 9:10:26
vsftpd架设匿名FTP,本地用户和虚拟用户mysql登录 2005/6/3 12:12:34
Solaris 系统管理命令及相关技术中英文对照 2005/4/13 10:36:48
基于网络IDS的典型配置 2005/3/24 9:01:23
恢复Windows2000/XP 管理员密码 2004/11/24 8:38:12
插翅难逃 根据Web服务器的记录来追踪黑客 2004/9/17 8:56:49
[Linux命令]进程查看 2004/9/9 9:47:05
关于Sniffer 2004/7/26 8:47:20
网闸40问 2004/7/26 8:43:18
恢复Windows2000/XP 管理员密码 2004/7/22 14:21:55
linux环境下发现并阻止系统攻击 2004/7/1 13:37:59
理解接口类型 2004/6/10 16:50:57
Port Reporter 工具的可用性和说明 2004/5/13 7:52:22
Win2000 Server入侵监测 2004/3/31 14:32:37
WEB安全工具 2004/2/20 13:51:23
Linux实现简单而有效的IDS系统 2004/2/20 13:45:34
网络端口及其详解分页 2004/2/17 9:03:12
Snort 中文手册 2004/1/29 11:53:10
sudoers中文man文档 (特别推荐) 2004/1/24 19:22:56
安全的log纪录服务器 2004/1/24 19:17:43
TCPDUMP中文手册 2004/1/8 9:25:54
Linux教程-进程查看 2003/12/31 20:12:18
Win2000 Server入侵监测 2003/11/27 9:13:06
续(二)Solaris高级系统管理员指南!(公司内部培训教材) 2003/11/26 10:37:19
最佳的75个安全工具 2003/9/5 15:18:38
常见端口表汇总 2003/9/1 10:31:24
Linux服务器的一些基本应用 2003/8/15 12:11:07
网络入侵检测系统的实现 2003/8/12 8:43:51
Debian GNU/Linux下的入侵检测系统 2003/8/12 8:41:10
快速建立一个入侵检测系统 2003/8/12 8:39:47
Linux系统下的扫描器及防范 2003/7/30 17:26:42
构建小型的入侵检测系统(RedHat9) 2003/7/30 16:50:32
系统平台安装操作手册 SUN Fire 280安装配置手册 2003/7/15 8:36:18
redhat linux 9.0 VSFTP配置大权(转载) 2003/7/13 18:13:25
理解 Linux 配置文件 2003/7/4 9:25:55
redhat linux 9.0 VSFTP配置大权 2003/6/10 10:22:56
Linux 组网入门 2003/5/25 20:56:32
近期常见蠕虫、木马的检测方法 2003/5/23 20:22:42
解剖WIN2K下的空会话 2003/5/23 19:54:32
TCPDUMP中文手册 2003/5/5 13:34:53
Sniffer的一些资料 2003/4/9 9:34:08
Linux服务器的一些基本应用 2003/3/24 10:43:09
proftpd 安装手记 2003/3/17 15:27:56
ProFtpd快速指南 2003/3/17 15:27:03
ProFTPD 详解 2003/3/17 15:25:06
Linux简明系统维护手册 2003/3/11 18:35:40
Netfilter的高级使用 2003/2/24 13:25:49
简易防火墙建置与流量统计之五 2003/2/22 14:45:12
Linux环境下发现并阻止系统攻击 2003/2/22 14:12:24
unix日志文件安全小议 2003/2/21 22:06:40
Linux简明系统维护手册5 2003/2/18 19:48:03
简易防火墙建置与流量统计 2003/2/18 14:54:01
Netfilter/Iptables的防火墙功能介绍 4 2003/1/12 16:21:46
Netfilter/Iptables的防火墙功能介绍 1 2003/1/12 16:18:20
Netfilter的高级使用 2003/1/12 16:00:27
理解防火墙及防火墙实例系列: 第二部分 unix 下的防火墙软件 ipfilter 2003/1/12 15:47:31
理解防火墙及防火墙实例系列: 第一部分 防火墙基本类型、概念以及各类防火墙的主要优缺点 2003/1/12 15:45:24
考研英语作文范文 2002/11/18 14:03:52
校园尴尬事(超级搞笑)(10)(史上最强贴) 2002/11/11 9:45:01


感性空间
设计&运维
网络技术
休闲娱乐
NetFilter
linux&Unix
网络安全
程序空间
软件考试
RFC&ISO
规划&规范
虚拟&存储
Apple技巧
云计算&大数据



文章搜索



站内搜索