四、分析
网络入侵检测系统的性能测试的基本原理是是通过一些设备或软件工具制造不同数据包大小(如64, 128, 256, 512, 1024 , 1518字节)、不同压力的背景流量(如10Mbps,50Mbps,100Mbps,350Mbps,500Mbps,750Mbps等),然后通过各种黑客工具发动攻击,看网络传感器的检测情况和数据包丢失的情况。
在网络入侵检测系统中,背景流量的产生起着至关重要的作用。背景流量从如下方面影响性能测试的结果。
1.背景流量的数据包大小
对于发包测试设备来说,每秒制造数据包的数量(pps)是有极限的。一般而言,数据包越小,每秒制造的数据包数量越多,数据包越大,每秒制造的数据包数量越少。但是,数据流量(Mbps)等于数据包大小和每秒数据包数的乘积,所以数据流量由两者共同决定。
对应于网卡,也是一样,数据包越小,每秒能够处理的数据包越多,数据包越大,每秒能够处理的数据包越少。但是网卡每秒能够处理的数据包数也是有限的。
在极限情况下,数据包越小,处理的难度越大,数据包越大,处理的难度越小。因为在网络流量的不断增长的趋势下,小数据包的pps增长速度比大数据包的pps增长速度快得多,迅速达到极限。从上述的测试结果数据来看,可以很明显的看到这一点。
小数据包的处理能力不仅是网络入侵检测系统,而且也是防火墙的性能瓶颈。所幸在网络中小数据包出现的比率还是比较低的。但是,在一些黑客攻击中,采用小包,很容易制造DoS攻击。
厂商公布的网络入侵检测系统的每秒可处理的最大网络流量指标,往往是在最好的条件下测的,如每个数据包的大小是1518字节。
用户在选购网络入侵检测产品时,不能单纯看厂商公布的数据,而是要分析自己的流量的情况。要分析数据包大小的分布情况,64字节包平均占多少,128字节包平均占多少,512字节包平均占多少,1518字节包平均占多少,还要分析整体的流量在每天的时间上的平均分布。
|
|
