기본적으로 시스템은 시스템에 구축된 최신 침입 규칙 업데이트에서 레이턴시 기반 성능 설정을 가져옵니다.

실제로 적용되는 레이턴시 설정은 액세스 제어 정책에 연결된 네트워크 분석 정책(NAP)의 보안 수준에 따라 달라집니다. 일반적으로 이것은 기본 NAP 정책입니다. 하지만 맞춤형 네트워크 분석 규칙이 구성되고 이러한 규칙 중에 기본 NAP 정책보다 더 안전한 NAP 정책을 지정하는 규칙이 있는 경우, 레이턴시 설정은 맞춤형 규칙 중 가장 안전한 NAP 규칙에 기반합니다. 기본 NAP 정책 또는 맞춤형 규칙이 맞춤형 NAP 정책을 호출하는 경우, 평가에 사용되는 보안 수준은 각 맞춤형 NAP 정책이 기반하는 시스템 제공 기본 정책입니다.

위 내용은 유효한 임계값 및 네트워크 분석 컨피그레이션이 상속되는지 또는 정책에서 직접 구성되는지 여부에 상관없이 적용됩니다.

패킷 레이턴시 임계값은 처리 시간뿐만 아니라 소요된 시간까지 측정하여 패킷을 처리하는 규칙에 필요한 실제 시간을 더욱 정확하게 반영합니다. 그러나 레이턴시 임계값은 엄격한 타이밍을 시행하지 않는 소프트웨어 기반 레이턴시 구현입니다.

레이턴시 임계값에서 파생된 레이턴시 이점과 성능의 반대 급부는 검사하지 않은 패킷에 공격이 포함될 수 있다는 점입니다. 디코더가 프로세스를 시작할 때 각 패킷의 타이머가 시작됩니다. 타이밍은 패킷의 모든 처리가 종료되거나, 처리 시간이 타이밍 테스트 지점의 임계값을 초과할 때까지 계속됩니다.

위 그림에 표시된 것처럼, 패킷 레이턴시 타이밍은 다음과 같은 테스트 지점에서 테스트됩니다.

• 모든 디코더 및 전처리기의 처리가 완료된 이후 및 규칙 처리가 시작되기 이전

• 각 규칙에 따라 처리된 이후

처리 시간이 테스트 지점의 임계값을 초과할 경우, 패킷 검사가 중단됩니다.

팁	루틴 TCP 스트림 또는 IP 조각 리어셈블리 시간은 총 패킷 처리 시간에 포함되지 않습니다.

패킷 레이턴시 임계값은 디코더, 전처리기 또는 패킷 처리 규칙에 의해 시작된 이벤트에 대해서는 영향을 미치지 않습니다. 적용 가능한 디코더, 전처리기 또는 규칙은 보통 패킷이 완전히 처리될 때까지, 또는 레이턴시 임계값이 초과하여 패킷 처리가 끝날 때까지, 어느 쪽이든 먼저 될 때까지 작동합니다. 삭제 규칙이 인라인 배포에서 침입을 탐지하는 경우, 삭제 규칙은 이벤트를 시작하며 패킷은 삭제됩니다.

참고	패킷 레이턴시 임계값 위반으로 인해 해당 패킷 처리가 끝난 후 규칙에 반하여 평가되는 패킷은 없습니다. 이벤트를 시작했을 수도 있는 규칙은 해당 이벤트를 시작할 수 없으며, 삭제 규칙을 위해 패킷을 삭제할 수 없습니다.

패킷 레이턴시 임계값을 사용하면 과도한 처리 시간이 요구되는 패킷 검사를 중단함으로써 패시브 및 인라인 구축 시 시스템 성능을 향상하고, 인라인 구축 시 레이턴시를 줄일 수 있습니다. 다음과 같은 경우 이러한 성능 이점을 누릴 수 있습니다.

• 패시브 및 인라인 배포에서 과도한 시간을 들여 여러 규칙별 패킷 검사를 순차적으로 수행하는 경우

• 인라인 배포에서 네트워크 성능이 저하된 경우(예: 누군가 대용량 파일을 다운로드하여 패킷 처리 속도가 느려짐)

수동 배포에서 패킷의 처리를 중지하면 처리는 다음 패킷으로 간단하게 옮겨가므로 네트워크 성능 복구에 도움이 되지 않을 수도 있습니다.

규칙 레이턴시 임계값은 처리 시간뿐만 아니라 소요된 시간까지 측정하여 패킷을 처리하는 규칙에 필요한 실제 시간을 더욱 정확하게 반영합니다. 그러나 레이턴시 임계값은 엄격한 타이밍을 시행하지 않는 소프트웨어 기반 레이턴시 구현입니다.

레이턴시 임계값에서 파생된 레이턴시 이점과 성능의 반대 급부는 검사하지 않은 패킷에 공격이 포함될 수 있다는 점입니다. 타이머는 패킷이 규칙 그룹에 대해 처리될 때마다 처리 시간을 측정합니다. 규칙 처리 시간이 지정된 규칙 레이턴시 임계값을 초과하는 모든 경우, 시스템은 계수기를 증대합니다. 후속 임계값 위반 수가 지정된 수에 도달하는 경우, 시스템은 다음 작업을 수행합니다.

• 지정된 기간 동안 규칙을 중지합니다.

• 규칙이 중지되었음을 나타내는 이벤트를 시작합니다.

• 중지가 만료되면 규칙을 재활성화합니다.

• 규칙이 재활성화되었음을 나타내는 이벤트를 시작합니다.

그룹 규칙이 중지되거나 규칙 위반이 연속적이지 않은 경우 시스템은 계수기를 0에 맞춥니다. 규칙을 중지하기 전에 여러 개의 연속되는 위반을 허용하면 사용자는 가끔 일어나는 규칙 위반, 즉 성능에 미치는 영향이 무시할 만한 수준인 위반을 무시해버리고 사용자는 규칙 레이턴시 임계값을 반복적으로 초과하는 규칙에 미치는 더욱 중대한 영향력에 집중하게 됩니다.

다음의 예시는 규칙 중단으로 귀결되지 않는 다섯 가지의 연속 규칙 처리 시간을 보여줍니다.

위 예시에서, 처음 3개 패킷의 각각을 처리하는 데 필요한 시간은 1000마이크로초의 규칙 레이턴시 임계값을 위반하며, 각 위반과 함께 위반 계수기도 증대됩니다. 네 번째 패킷 처리는 임계값을 위반하지 않으며, 위반 계수기는 0으로 재설정됩니다. 다섯 번째 패킷은 임계값을 위반하며, 위반 계수기는 1에서 다시 시작합니다.

다음의 예시는 규칙 중단으로 귀결되는 다섯 가지의 연속 규칙 처리 시간을 보여줍니다.

두 번째 예에서, 다섯 개의 패킷 중 각각을 처리하는 데 필요한 시간은 1000마이크로초의 규칙 레이턴시 임계값을 위반합니다. 규칙 그룹은 각 패킷에 대한 1100마이크로초의 규칙 처리 시간이 명시된 5회 연속 위반 기간 동안 1000마이크로초의 임계값을 초과하므로 중지됩니다. 패킷 6 또는 그보다 큰 수(n)로 표시된 모든 후속 패킷은 중지가 만료될 때까지 중지된 규칙에 반해 검토되지 않습니다. 규칙이 재활성화된 후에 추가 패킷이 발생하는 경우, 위반 계수기는 0에서 다시 시작됩니다.

규칙 레이턴시 임계값은 패킷을 처리하는 규칙에 의해 시작된 침입 이벤트에는 어떤 영향도 미치지 않습니다. 규칙은 규칙 처리 시간이 임계값을 초과하는지 여부에 상관없이 패킷에서 탐지된 모든 침입에 대한 이벤트를 시작합니다. 침입을 탐지하는 규칙이 인라인 배포에서 삭제 규칙인 경우, 패킷은 삭제됩니다. 삭제 규칙이 패킷에서 규칙 중단으로 귀결되는 침입을 탐지하는 경우, 삭제 규칙은 침입 이벤트를 시작하고, 패킷은 삭제되며, 해당 규칙 및 모든 관련 규칙은 중지됩니다.

참고	패킷은 중단된 규칙에 반해 평가되지 않습니다. 이벤트를 시작했을 수도 있는 중지된 규칙은 해당 이벤트를 시작할 수 없으며, 삭제 규칙을 위해 패킷을 삭제할 수 없습니다.

규칙 레이턴시 임계값을 사용하면 대부분의 패킷 처리 시간을 관장하는 규칙을 중지함으로써 수동 배포 및 인라인 배포에 있어 시스템 성능을 향상하고, 인라인 배포 시 레이턴시를 줄일 수 있습니다. 패킷은 과부하된 디바이스에 복원할 수 있는 시간을 제공하면서 구성 가능한 시간이 만료될 때까지 중지된 규칙에 반해 다시 평가되지 않습니다. 다음과 같은 경우 이러한 성능 이점을 누릴 수 있습니다.

• 급히 쓰여진, 대개 테스트되지 않는 규칙에 과도한 양의 처리 시간이 필요한 경우

• 네트워크 성능이 저하된 경우(예: 누군가 대용량 파일을 다운로드하여 패킷 검사 속도가 느려짐)