写点什么

网络入侵检测系统之 Snort(三)-- 优劣势与性能指标

作者:于顾而言
  • 2022 年 9 月 17 日
    江苏
  • 本文字数:774 字

    阅读完需:约 3 分钟

网络入侵检测系统之Snort(三)--优劣势与性能指标

Advantages

  1. Snort 插件

  • Snort 采用了模块化设计,其主要特点就是利用插件,这样有几个好处,一是用户可以自主选择使用哪些功能,并支持热插拔;二是依据设计需求对 Snort 扩展,即根据 template.c 设计第三方插件

  • 目前插件按功能分成三类,数据流预处理插件,检测功能插件,输出日志信息插件;插件的管理统一采用链表指针的方式

2. 跨平台性

  • Snort 支持 Linux,OpenBSD,FreeBSD,Solaris,HP-UX ,MacOS,Windows 等

3. 规则语言简单

  • 发现新攻击后,可以很快找到特征码,写出新的规则文件,迅速建立规则表

4. 轻量级,在部署方面具有高度灵活性,使其成为网络安全体系的有机组成部分。

5. 具有实时流量分析和记录 IP 网络数据包的能力

Disadvantages

  1. 编写新规则后无法即时生效,需要重启 Snort

  2. 吞吐量不高约为 100Mbps,因为数据抓包方式仅采用 libpcap

  3. 规则组织采用链表,匹配时会沿着链表一一匹配,效率低。

System Indicators

  1. 吞吐量及内存消耗(Snort VS Snort+Hyperscan)

  • Snort 原始性能由于严重依赖操作系统的 libpcap,所以性能瓶颈在 100Mbps 左右,集成 Hyperscan 后性能约为 500Mbps,但离商用的 20Gbps 仍有距离

  • Snort 作为轻量级快部署的入侵检测系统,内存消耗方面表现优秀,约为 60MB,集成 Hyperscan 后可降低为 5.5MB




2. 可扩展性

  • 可自定义开发集成插件(snortsam),即检测算法替换或扩展,报文预处理,日志显示等,插件替换灵活,支持热插拔

  • 可集成Hyperscan

  • daq 模块可集成 DPDKhttps://github.com/NachtZ/daq_dpdk),性能可达到 10.00Gbps,但只能针对单向流量,无法处理类似 tcp 协议的双向流量

  • 准确率及误报率与规则配置文件强相关,而且当网络流量高于 100Mbps 时,误报率会急剧上升

Product Comparison


TestCase 评测,详见:https://www.aldeid.com/wiki/Suricata-vs-snort




发布于: 刚刚阅读数: 3
用户头像

于顾而言

关注

| 且将新火试新茶 × 诗酒趁年华诗酒 2022.09.10 加入

| SASE | SangFor | Senior Developer | 知乎专栏:https://www.zhihu.com/people/whisper-of-the-Koo

评论

发布
暂无评论
网络入侵检测系统之Snort(三)--优劣势与性能指标_网络安全_于顾而言_InfoQ写作社区