Snortおよびその他のIDS / IPSのベンチマーク
全体的なパフォーマンス、精度、速度、ドキュメント、スケーラビリティなどのさまざまなパラメータについて、Snortを他のIDS/IPSとベンチマークした調査または調査の事実と数値を探しています。
それは非常に一般的な質問です。
あなたの懸念はSnortだけでなく、それをインストールするプラットフォーム(o/s-はい、Windows、CPU、メモリなどで実行されます)とどの要素(フラグメンテーションまたはストリームの再構築のためのプリプロセッサ)に依存する必要があります)有効にするSnort(詳細については、構成ファイル(通常は/etc/snort.conf)を参照)と有効または追加するルール.
テストしたい場合は、Xubuntuベースのネットワークセキュリティ監視ディストリビューションであるSecurity Onion(http://securityonion.blogspot.com)をダウンロードすることをお勧めします。SnortとSuricataの両方が付属しています。これは素晴らしいプロジェクトであり、すべてが基本的に事前設定されているため、簡単に学ぶことができます。 (免責事項:私はSecurity Onionプロジェクトを手伝おうとします)。
Snortは非常にスケーラブルであり、20 GB /秒を超えるネットワークで積極的に使用されていることは知っていますが、上記のプラットフォームの側面を覚えておいてください。
さらに、SnortとSuricataには、ユーザー向けのアクティブなメーリングリストがあり、そのようなパフォーマンスの問題について活発に議論されています。
Tipping Point、Sourcefire(Snortの商業的側面)、Enterasys(まだ普及している場合)、Ciscoなどのベンダーは、サイトに比較ホワイトペーパーを掲載していますが、その偏見に注意してください。
「ルールサイズ」と「精度」の側面に関しては、これらは「私はあなたの主張よりも大きい」ということで、今やAV業界のようになっています。
ここにあなたのためのいくつかのリンクがあります-
http://www.aldeid.com/wiki/Suricata-vs-snort
http://www.ethicalhacker.net/component/option,com_smf/Itemid,54/topic,7913.msg42307/topicseen,1/
そして古いもの