IDS(不正侵入検知システム)の処理能力がnetwork traffic量の増大に伴い低下することを問題視した論文.特定の状況(攻撃用の通信しか存在しない)ではなく,平時の環境を想定しつつ(?),不正検知システムの処理能力の評価を行い,高トラフィック時でも十分に検知処理が可能な検知システムの検討を行った,また検知結果をもとに通信を遮断する侵入防御システムの評価も行った
Snortを利用している.Snortはプリプロセッサの処理後,Signatureを用いた検索を行うが,それは処理負荷軽減方法としてあげられているのは以下の三種類
結果はほぼ予想通りなのではと理解できるが,アルゴリズムの改善などでは場合によっては改善されない場合もあり,kernelによるパケットフィルタリングもそちらの処理の方が負荷となって不正検知の処理能力が低下するという場合も発生していた. つまり結果としてわかったことは,明らかに不要だと考えられるパケットは事前にフィルタリングすれば,不正侵入検知処理は高トラフィックでも十分稼動する能力を持つ.またフィルタリングもハードウェア製の方がCPUに負担をかけないだけいいということがわかる.
またFlexRespにもその通信強制遮断対応に限界があり,nmapで実行できる複数種のポートスキャン機能では強制遮断ができなかったという結果が得られていた