网络入侵检测系统之Snort(三)--优劣势与性能指标

Advantages

1. Snort插件

• Snort采用了模块化设计，其主要特点就是利用插件，这样有几个好处，一是用户可以自主选择使用哪些功能，并支持热插拔；二是依据设计需求对Snort扩展，即根据template.c设计第三方插件
• 目前插件按功能分成三类，数据流预处理插件，检测功能插件，输出日志信息插件；插件的管理统一采用链表指针的方式

2. 跨平台性

• Snort支持Linux，OpenBSD，FreeBSD，Solaris，HP-UX ，MacOS，Windows等

3. 规则语言简单

• 发现新攻击后，可以很快找到特征码，写出新的规则文件，迅速建立规则表

4. 轻量级，在部署方面具有高度灵活性，使其成为网络安全体系的有机组成部分。

5. 具有实时流量分析和记录IP网络数据包的能力

Disadvantages

1. 编写新规则后无法即时生效，需要重启Snort
2. 吞吐量不高约为100Mbps，因为数据抓包方式仅采用libpcap
3. 规则组织采用链表，匹配时会沿着链表一一匹配，效率低。

• Snort2.x版本重新优化了规则匹配的数据结构，对规则进行了再分类，匹配性能有一定提升，详见：Snort快速规则匹配模块剖析

System Indicators

1. 吞吐量及内存消耗（Snort VS Snort+Hyperscan）

• Snort原始性能由于严重依赖操作系统的libpcap，所以性能瓶颈在100Mbps左右，集成Hyperscan后性能约为500Mbps，但离商用的20Gbps仍有距离
• Snort作为轻量级快部署的入侵检测系统，内存消耗方面表现优秀，约为60MB，集成Hyperscan后可降低为5.5MB

2. 可扩展性

• 可自定义开发集成插件(snortsam)，即检测算法替换或扩展，报文预处理，日志显示等，插件替换灵活，支持热插拔
• 可集成Hyperscan；
• daq模块可集成DPDK（https://github.com/NachtZ/daq_dpdk），性能可达到10.00Gbps，但只能针对单向流量，无法处理类似tcp协议的双向流量
• 准确率及误报率与规则配置文件强相关，而且当网络流量高于100Mbps时，误报率会急剧上升

Product Comparison

TestCase评测，详见：https://www.aldeid.com/wiki/Suricata-vs-snort