1.每秒數據流量(Mbps或Gbps)
每秒數據流量是指網絡上每秒通過某節點的數據量。這個指標是反應網絡入侵檢測系統性能的重要指標,一般湧Mbps來衡量。例如10Mbps, 100Mbps和1Gbps。
網絡入侵檢測系統的基本工作原理是嗅探(Sniffer),它通過將網卡設置為混雜模式,使得網卡可以接收網絡接口上的所有數據。
如果每秒數據流量超過網絡傳感器的處理能力,NIDS就可能會丟包,從而不能正常檢測攻擊。但是NIDS是否會丟包,不主要取決於每秒數據流量,而是主要取決於每秒抓包數。
2.每秒抓包數(pps)
每秒抓包數是反映網絡入侵檢測系統性能的最重要的指標。因為系統不停地從網絡上抓包,對數據包作分析和處理,查找其中的入侵和誤用模式。所以,每秒所能處理的數據包的多少,反映了系統的性能。業界不熟悉入侵檢測系統的往往把每秒網絡流量作為判斷網絡入侵檢測系統的決定性指標,這種想法是錯誤的。每秒網絡流量等於每秒抓包數乘以網絡數據包的平均大小。由於網絡數據包的平均大小差異很大時,在相同抓包率的情況下,每秒網絡流量的差異也會很大。例如,網絡數據包的平均大小為1024字節左右,系統的性能能夠支持10,000pps的每秒抓包數,那麼系統每秒能夠處理的數據流量可達到78Mbps,當數據流量超過78Mbps時,會因為系統處理不過來而出現丟包現象;如果網絡數據包的平均大小為512字節左右,在10,000pps的每秒抓包數的性能情況下,系統每秒能夠處理的數據流量可達到40Mbps,當數據流量超過40Mbps時,就會因為系統處理不過來而出現丟包現象。
在相同的流量情況下,數據包越小,處理的難度越大。小包處理能力,也是反映防火牆
1/6
性能的主要指標。
3.每秒能監控的網絡連接數
網絡入侵檢測系統不僅要對單個的數據包作檢測,還要將相同網絡連接的數據包組合起來作分析。網絡連接的跟蹤能力和數據包的重組能力是網絡入侵檢測系統進行協議分析、應用層入侵分析的基礎。這種分析延伸出很多網絡入侵檢測系統的功能,例如:檢測利用HTTP協議的攻擊、敏感內容檢測、郵件檢測、Telnet會話的記錄與回放、硬盤共享的監控等。
4.每秒能夠處理的事件數
網絡入侵檢測系統檢測到網絡攻擊和可疑事件後,會生成安全事件或稱報警事件,並將事件記錄在事件日誌中。每秒能夠處理的事件數,反映了檢測分析引擎的處理能力和事件日誌記錄的後端處理能力。有的廠商將反映這兩種處理能力的指標分開,稱為事件處理引擎的性能參數和報警事件記錄的性能參數。大多數網絡入侵檢測系統報警事件記錄的性能參數小於事件處理引擎的性能參數,主要是Client/Server結構的網絡入侵檢測系統,因為引入了網絡通信的性能瓶頸。這種情況將導致事件的丟失,或者控制檯響應不過來了。
1.每秒數據流量(Mbps或Gbps)
每秒數據流量是指網絡上每秒通過某節點的數據量。這個指標是反應網絡入侵檢測系統性能的重要指標,一般湧Mbps來衡量。例如10Mbps, 100Mbps和1Gbps。
網絡入侵檢測系統的基本工作原理是嗅探(Sniffer),它通過將網卡設置為混雜模式,使得網卡可以接收網絡接口上的所有數據。
如果每秒數據流量超過網絡傳感器的處理能力,NIDS就可能會丟包,從而不能正常檢測攻擊。但是NIDS是否會丟包,不主要取決於每秒數據流量,而是主要取決於每秒抓包數。
2.每秒抓包數(pps)
每秒抓包數是反映網絡入侵檢測系統性能的最重要的指標。因為系統不停地從網絡上抓包,對數據包作分析和處理,查找其中的入侵和誤用模式。所以,每秒所能處理的數據包的多少,反映了系統的性能。業界不熟悉入侵檢測系統的往往把每秒網絡流量作為判斷網絡入侵檢測系統的決定性指標,這種想法是錯誤的。每秒網絡流量等於每秒抓包數乘以網絡數據包的平均大小。由於網絡數據包的平均大小差異很大時,在相同抓包率的情況下,每秒網絡流量的差異也會很大。例如,網絡數據包的平均大小為1024字節左右,系統的性能能夠支持10,000pps的每秒抓包數,那麼系統每秒能夠處理的數據流量可達到78Mbps,當數據流量超過78Mbps時,會因為系統處理不過來而出現丟包現象;如果網絡數據包的平均大小為512字節左右,在10,000pps的每秒抓包數的性能情況下,系統每秒能夠處理的數據流量可達到40Mbps,當數據流量超過40Mbps時,就會因為系統處理不過來而出現丟包現象。
在相同的流量情況下,數據包越小,處理的難度越大。小包處理能力,也是反映防火牆
1/6
性能的主要指標。
3.每秒能監控的網絡連接數
網絡入侵檢測系統不僅要對單個的數據包作檢測,還要將相同網絡連接的數據包組合起來作分析。網絡連接的跟蹤能力和數據包的重組能力是網絡入侵檢測系統進行協議分析、應用層入侵分析的基礎。這種分析延伸出很多網絡入侵檢測系統的功能,例如:檢測利用HTTP協議的攻擊、敏感內容檢測、郵件檢測、Telnet會話的記錄與回放、硬盤共享的監控等。
4.每秒能夠處理的事件數
網絡入侵檢測系統檢測到網絡攻擊和可疑事件後,會生成安全事件或稱報警事件,並將事件記錄在事件日誌中。每秒能夠處理的事件數,反映了檢測分析引擎的處理能力和事件日誌記錄的後端處理能力。有的廠商將反映這兩種處理能力的指標分開,稱為事件處理引擎的性能參數和報警事件記錄的性能參數。大多數網絡入侵檢測系統報警事件記錄的性能參數小於事件處理引擎的性能參數,主要是Client/Server結構的網絡入侵檢測系統,因為引入了網絡通信的性能瓶頸。這種情況將導致事件的丟失,或者控制檯響應不過來了。