web-dev-qa-db-ja.com

Snortおよびその他のIDS / IPSのベンチマーク

全体的なパフォーマンス、精度、速度、ドキュメント、スケーラビリティなどのさまざまなパラメータについて、Snortを他のIDS/IPSとベンチマークした調査または調査の事実と数値を探しています。

5
pnp

それは非常に一般的な質問です。

あなたの懸念はSnortだけでなく、それをインストールするプラットフォーム(o/s-はい、Windows、CPU、メモリなどで実行されます)とどの要素(フラグメンテーションまたはストリームの再構築のためのプリプロセッサ)に依存する必要があります)有効にするSnort(詳細については、構成ファイル(通常は/etc/snort.conf)を参照)と有効または追加するルール.

テストしたい場合は、Xubuntuベースのネットワークセキュリティ監視ディストリビューションであるSecurity Onion(http://securityonion.blogspot.com)をダウンロードすることをお勧めします。SnortとSuricataの両方が付属しています。これは素晴らしいプロジェクトであり、すべてが基本的に事前設定されているため、簡単に学ぶことができます。 (免責事項:私はSecurity Onionプロジェクトを手伝おうとします)。

Snortは非常にスケーラブルであり、20 GB /秒を超えるネットワークで積極的に使用されていることは知っていますが、上記のプラットフォームの側面を覚えておいてください。

さらに、SnortとSuricataには、ユーザー向けのアクティブなメーリングリストがあり、そのようなパフォーマンスの問題について活発に議論されています。

Tipping Point、Sourcefire(Snortの商業的側面)、Enterasys(まだ普及している場合)、Ciscoなどのベンダーは、サイトに比較ホワイトペーパーを掲載していますが、その偏見に注意してください。

「ルールサイズ」と「精度」の側面に関しては、これらは「私はあなたの主張よりも大きい」ということで、今やAV業界のようになっています。

ここにあなたのためのいくつかのリンクがあります-

http://www.aldeid.com/wiki/Suricata-vs-snort

http://www.ethicalhacker.net/component/option,com_smf/Itemid,54/topic,7913.msg42307/topicseen,1/

そして古いもの

http://www.infosyssec.com/forum/viewtopic.php?t=14

9
Mark Hillick