,对处理器和内存的开销非常大。如果数据包重组和TCP流重组在操作系统的用户层完成,那么就会导致操作系统以极高的频率在核心态和用户态之间切换,导致大量额外的系统开销;
●入侵分析的效率。入侵检测一般是基于特征匹配的,将网络数据包与入侵规则库进行特征匹配的。很多产品利用协议分析技术提高入侵分析的效率,先使用协议分析过滤冗余数据,同时尽快在规则树上分叉,加速深度遍历;
●C/S结构下,网络通信的延迟。在服务器端和客户端都要引入网络通信模块,从而增加事件传输的延迟。大多数网络入侵检测系统都是采用Client/Server结构的,例如ISS Real Secure,赛门铁克的IDS系统,启明星辰的天阗和金诺的KIDS等等。像一些基于浏览器/服务器(B/S)结构的网络入侵检测系统就没有这种问题,例如方正科技软件的方通Sniper,因为它的事件直接存储在网络传感器上;
●事件日志库的记录能力。有的系统将事件收集(Event Collector)和事件日志库分开,事件收集器和事件日志数据库又形成页码:[1] [2] [3] [4] [5] [6] 第5页、共6页 |
