2. Doelstelling project
Het project ”Intervendor IDS” heeft als
doelstelling het verrichten van:
1. Onderzoek naar een gewenste intervendor
methodiek voor het uitwisselen van security
alerts,
2. en het doen van praktisch onderzoek ter
beoordeling van deze methodiek.
18. Overhead met mysql
Snort Nmap Aantal Alert file Tcpdump file Overhead
versie flag nmap (bytes) (byte) factor
v2.3.3 sS 3 1003 6303 6,28
v2.3.3 sT 2 434 5071 11.68
v2.3.3 O 5 1963 10227 5.21
19. CPU Performance
Test Snort Aantal Alert file Max cpu
situatie versie alert (bytes) (Snort pid)
nr.1 v2.3.3 52 25556 31.4
nr.2 v2.4.4 53 15132 13.3
nr.3 V2.6.1.4 55 20422 53.6
nr.4 v2.3.3 55 25767 38.3 ?
20. Samenvatting & Conclusies..
• IDMEF in combinatie met IDXP beschouwen wij wel als de meest
wenselijke toekomstige Intervendor koppelmethodiek, omdat het
een IETF standaard is..
• De conversie van snort security messages naar de voorgeschreven
IDMEF XML beschrijving levert een gemiddelde overhead factor
van 6.22,
• In verhouding tot vergelijkbare XML overhead (in bijv.
webomgevingen) is deze conversie redelijk efficient uitgevoerd,
• De prelude koppeling past een extra conversie toe, maar heeft een
proprietary communicatie interface,
• Wel is de prelude koppeling met een optimalisatie uitgerust, die de
XML comprimeert voor transport. De factor overhead daalt
daardoor tot onder de 5.