3-3 入侵检测系统的性能指标与部署

相同网络连接的数据包组合起来作分析。网络连接的跟踪 能力和数据包的重组能力是网络入侵检测系统进行协议分 析、应用层入侵分析的基础。这种分析延伸出很多网络入 侵检测系统的功能，例如：检测利用HTTP协议的攻击、 敏感内容检测、邮件检测、Telnet会话的记录与回放、硬 盘共享的监控等。 4．每秒能够处理的事件数
《信息安全产品配置与应用》课程之入侵检测篇
入侵检测系统部署方式
IDS由两部分组成，IDS引擎和IDS控制中心
《信息安全产品配置与应用》课程之入侵检测篇
每秒抓包数是反映网络入侵检测系统性能的最重要的指标。因为系统
不停地从网络上抓包，对数据包作分析和处理，查找其中的入侵和误 用模式。所以，每秒所能处理的数据包的多少，反映了系统的性能。
《信息安全产品配置与应用》课程之入侵检测篇
入侵检测系统的性能指标
3．每秒能监控的网络连接数 网络入侵检测系统不仅要对单个的数据包作检测，还要将
网络入侵检测系统性能的重要指标，一般用Mbps来衡量。例如 10Mbps，100Mbps和1Gbps。网络入侵检测系统的基本工作原理是嗅 探（Sniffer），它通过将网卡设置为混杂模式，使得网卡可以接收网 络接口上的所有数据。如果每秒数据流量超过网络传感器的处理能力 ，NIDS就可能会丢包，从而不能正常检测攻击。但是NIDS是否会丢 包，不主要取决于每秒数据流量，而是主要取决于每秒抓包数。 2．每秒抓包数（pps）
信息安全产品配置与应用
Configuration and Application of Information Security Products
重庆电子工程职业学院| 路亚
《信息安全产品配置与应用》课程之入侵检测篇
入侵检测系统的性能指标
1．每秒数据流量（Mbps或Gbps） 每秒数据流量是指网络上每秒通过某节点的数据量。这个指标是反应
网络入侵检测系统检测到网络攻击和可疑事件后，会生成
安全事件或称报警事件，并将事件记录在事件日志中。每 秒能够处理的事件数，反映了检测分析引擎的处理能力和 事件日志记录的后端处理能力。Hale Waihona Puke Baidu
《信息安全产品配置与应用》课程之入侵检测篇
入侵检测系统的瓶颈和解决方法
1．体系结构弱点 集中式IDS存在单点失效；漏报；大量日志和报警信息耗费磁盘空间，导致文件系 统和数据库系统不稳定。而分布式IDS存在大量报警信息消耗网络带宽；误报警信 息流会产生倍数效应；控制台和探测器的通信交换信息占有网络带宽、干扰网络通 信等弱点。 2．互动协议弱点
当与防火墙做联动时，存在一个虚假报警信息，它会导致其它安全系统错误配置， 造成防火墙性能下降等问题。
3．数据源与采集方法弱点 必须要求数据包传输的是明文，若是经过加密的数据包，无法进行解密。而且在交 换网络中IDS运行开销会大大增加。 4．检测算法弱点 无法根治的漏报、误报问题，异常检测需要保持较多网络状态信息，导致IDS开销 增大。