网络入侵检测系统之 Snort(三)-- 优劣势与性能指标

Advantages

1. Snort 插件

• Snort 采用了模块化设计，其主要特点就是利用插件，这样有几个好处，一是用户可以自主选择使用哪些功能，并支持热插拔；二是依据设计需求对 Snort 扩展，即根据 template.c 设计第三方插件

• 目前插件按功能分成三类，数据流预处理插件，检测功能插件，输出日志信息插件；插件的管理统一采用链表指针的方式

2. 跨平台性

• Snort 支持 Linux，OpenBSD，FreeBSD，Solaris，HP-UX ，MacOS，Windows 等

3. 规则语言简单

• 发现新攻击后，可以很快找到特征码，写出新的规则文件，迅速建立规则表

4. 轻量级，在部署方面具有高度灵活性，使其成为网络安全体系的有机组成部分。

5. 具有实时流量分析和记录 IP 网络数据包的能力

Disadvantages

1. 编写新规则后无法即时生效，需要重启 Snort

2. 吞吐量不高约为 100Mbps，因为数据抓包方式仅采用 libpcap

3. 规则组织采用链表，匹配时会沿着链表一一匹配，效率低。

• Snort2.x 版本重新优化了规则匹配的数据结构，对规则进行了再分类，匹配性能有一定提升，详见：Snort快速规则匹配模块剖析
  

System Indicators

1. 吞吐量及内存消耗（Snort VS Snort+Hyperscan）

• Snort 原始性能由于严重依赖操作系统的 libpcap，所以性能瓶颈在 100Mbps 左右，集成 Hyperscan 后性能约为 500Mbps，但离商用的 20Gbps 仍有距离

• Snort 作为轻量级快部署的入侵检测系统，内存消耗方面表现优秀，约为 60MB，集成 Hyperscan 后可降低为 5.5MB

2. 可扩展性

• 可自定义开发集成插件(snortsam)，即检测算法替换或扩展，报文预处理，日志显示等，插件替换灵活，支持热插拔

• 可集成Hyperscan；

• daq 模块可集成 DPDK（https://github.com/NachtZ/daq_dpdk），性能可达到 10.00Gbps，但只能针对单向流量，无法处理类似 tcp 协议的双向流量

• 准确率及误报率与规则配置文件强相关，而且当网络流量高于 100Mbps 时，误报率会急剧上升

Product Comparison

TestCase 评测，详见：https://www.aldeid.com/wiki/Suricata-vs-snort