專利名稱:一種測試入侵防御產(chǎn)品性能的方法和裝置的制作方法
技術領域:
本發(fā)明涉及網(wǎng)絡安全技術領域,尤其涉及一種測試入侵防御產(chǎn)品性能的方法和裝置���。
背景技術:
互聯(lián)網(wǎng)在全世界范圍內的高速發(fā)展給人們帶來了極大的便利和海量的信息��。但是�,隨之而來的問題就是網(wǎng)絡的隱私性和安全性應該如何保障���,也就是網(wǎng)絡安全的問題���。起初,網(wǎng)絡安全的思想就是允許一些地址合法訪問指定資源�����,禁止其它地址的非法訪問���。那么�����,包過濾防火墻應運而生�����,這種防火墻工作在網(wǎng)絡層���,通過IPdnternet ftOtocol��,互聯(lián)網(wǎng)協(xié)議)地址進行攻擊過濾�����。而后����,隨著網(wǎng)絡中所使用的協(xié)議越來越復雜����, 包過濾防火墻已經(jīng)無法滿足使用的需要��,于是出現(xiàn)了基于狀態(tài)的防火墻��。這種類型的防火墻除了 IP地址以外,還要根據(jù)協(xié)議類型和端口號來進行控制�。這類防火墻的絕大多數(shù)功能都集中在傳輸層。但是����,隨著攻擊技術的進步,很多攻擊手段在網(wǎng)絡層和傳輸層上判斷都是合法的訪問�,但會通過一些應用層的手段,比如利用一些協(xié)議?���;蛳到y(tǒng)的漏洞完成攻擊。針對這種應用層的攻擊����,無論是包過濾防火墻還是狀態(tài)防火墻都已經(jīng)無法勝任防護工作,所以就出現(xiàn)了 IPSdntrusion Prevention System�,入侵防御系統(tǒng))產(chǎn)品。由入侵防御產(chǎn)品針對的攻擊類型����,決定了該類產(chǎn)品是工作在應用層的網(wǎng)絡設備。 并且���,這類產(chǎn)品的工作位置通常是在用戶的主通信線路中連接外網(wǎng)和內網(wǎng)的關鍵位置����,所以該產(chǎn)品的攻擊防護能力決定了用戶的安全性。同樣重要的還有該產(chǎn)品的應用層吞吐量����, 它決定了用戶正常網(wǎng)絡流量轉發(fā)的快慢,很大程度上決定了該網(wǎng)絡環(huán)境的可用性�。目前對IPS產(chǎn)品吞吐量的普遍測試方法與測試狀態(tài)防火墻產(chǎn)品吞吐量的方法相同,測試拓撲如圖1所示���,在測試設備上構造TCP (Transmission ControlProtocol���,傳輸控制協(xié)議)報文的通信流量,每秒建立有χ個TCP連接����,每個TCP連接交互數(shù)據(jù)量為y字節(jié), 測試通常持續(xù)60秒�����。如果在這60秒內�,所有的60x個TCP連接上的數(shù)據(jù)量都通過IPS產(chǎn)品轉發(fā)成功����,那么IPS產(chǎn)品的吞吐量就是(8xy)bps(bit per second)�。以這樣的測試方法����, 每次測試通過增加每秒建立TCP連接的數(shù)量,也就是χ的數(shù)值�,來增加IPS產(chǎn)品每秒需要處理的數(shù)據(jù)量,直到出現(xiàn)了 TCP連接數(shù)據(jù)轉發(fā)失敗��,以此方式逼近IPS產(chǎn)品的最大吞吐量性能值?����,F(xiàn)有技術的缺陷1���、測試流量數(shù)據(jù)內容過于簡單�����。上述的IPS產(chǎn)品吞吐量測試方法是與防火墻產(chǎn)品的吞吐量測試方法相同的���,但在背景技術中介紹過,防火墻產(chǎn)品基本上工作在傳輸層�,所以只對流量中的IP地址�����、協(xié)議和端口號進行檢查并判斷����,所以這種純TCP流量吞吐量的測試方式比較適合于防火墻產(chǎn)品���。但對IPS產(chǎn)品來說����,由于工作在應用層�����,需要檢測應用層各協(xié)議字段內容來確定流量是否安全�����。而IPS產(chǎn)品在處理這種純TCP流量的時候�,由于流量內容比較簡單,所以基本不會對IPS產(chǎn)品的檢測引擎產(chǎn)生什么壓力�����,導致這種純TCP流量測試出的IPS產(chǎn)品的吞吐量與該類產(chǎn)品在真實環(huán)境中能夠處理的吞吐量通常相差非常大�����,從而失去參考價值�����。2�����、測試結果無法證明被測IPS產(chǎn)品在這樣的吞吐量下還能完成其安全保障任務����。 IPS產(chǎn)品的最根本功能就是檢測并阻斷攻擊行為,在此基礎上���,保證正常流量能夠快速的轉發(fā)�,但在現(xiàn)有的測試方案中�,由于采用的是純TCP數(shù)據(jù)流量,即使被測的IPS產(chǎn)品能夠正常轉發(fā)���,但也無法保證在這樣的吞吐量下�,該設備是否還有能力檢測并阻斷攻擊行為。所以現(xiàn)有測試方案的測試結果無法在IPS產(chǎn)品最根本功能上做出保證�,也就失去了參考價值。
發(fā)明內容
本發(fā)明要解決的技術問題是����,提供一種測試入侵防御產(chǎn)品性能的方法和裝置,其測試結果能夠反映出IPS產(chǎn)品在真實環(huán)境中的吞吐量����。本發(fā)明采用的技術方案是,所述測試入侵防御產(chǎn)品性能的方法�����,包括步驟一��、在IPS產(chǎn)品轉發(fā)純應用層流量的同時加入攻擊報文����;步驟二、根據(jù)IPS產(chǎn)品對純應用層流量的轉發(fā)情況以及對攻擊報文的識別情況�, 確定出IPS產(chǎn)品當前有效應用層吞吐量。進一步的���,所述純應用層流量為IPS產(chǎn)品的最大理論應用層吞吐量���。進一步的���,所述加入攻擊報文���,具體包括抓取實際環(huán)境中使用TCP協(xié)議的攻擊報文��;將抓取到的攻擊報文重放到IPS產(chǎn)品中��,重放時確保每個攻擊報文的源IP地址與目的IP地址與其它攻擊報文均不同���。進一步的,所述根據(jù)IPS產(chǎn)品對純應用層流量的轉發(fā)情況以及對攻擊報文的識別情況�,確定出IPS產(chǎn)品當前有效應用層吞吐量,具體包括設IPS產(chǎn)品對純應用層流量全部轉發(fā)成功為第一條件���,IPS產(chǎn)品對攻擊報文全部識別成功為第二條件��;判斷第一條件和第二條件是否同時滿足�����,若是��,則讀取IPS產(chǎn)品統(tǒng)計的當前應用層流量�����,即IPS產(chǎn)品當前有效應用層吞吐量����;否則削減純應用層流量的數(shù)值后,重復執(zhí)行步驟一��,直到第一條件和第二條件同時滿足為止�����。進一步的��,該方法還包括步驟三�����、根據(jù)IPS產(chǎn)品對攻擊報文的識別情況�,確定出IPS產(chǎn)品的攻擊報文檢測率。本發(fā)明還提供一種測試入侵防御產(chǎn)品性能的裝置�����,包括如下組成部分測試設備,用于構造在IPS產(chǎn)品中轉發(fā)的純應用層流量��;重放設備�����,用于在IPS產(chǎn)品轉發(fā)純應用層流量的同時��,向IPS產(chǎn)品發(fā)送攻擊報文����;測試結果確定設備��,用于根據(jù)IPS產(chǎn)品對純應用層流量的轉發(fā)情況以及對攻擊報文的識別情況���,確定出IPS產(chǎn)品當前有效應用層吞吐量�。進一步的���,所述純應用層流量為IPS產(chǎn)品的最大理論應用層吞吐量���。進一步的,所述重放設備��,具體包括抓包模塊,用于抓取實際環(huán)境中使用TCP協(xié)議的攻擊報文����;導入模塊���,用于將抓取到的攻擊報文重放到IPS產(chǎn)品中��,重放時確保每個攻擊報文的源IP地址與目的IP地址與其它攻擊報文均不同���。
進一步的�,設IPS產(chǎn)品對純應用層流量全部轉發(fā)成功為第一條件�,IPS產(chǎn)品對攻擊報文全部識別成功為第二條件���;所述測試結果確定設備�,具體包括判斷模塊,用于判斷第一條件和第二條件是否同時滿足�,若是��,則調用讀取模塊; 否則調用調整模塊;調整模塊,用于削減純應用層流量的數(shù)值后����,重復調用測試設備和重放設備�����,直到第一條件和第二條件同時滿足為止����,調用讀取模塊�����;讀取模塊���,用于讀取IPS產(chǎn)品統(tǒng)計的當前應用層流量,即IPS產(chǎn)品當前有效應用層
吞吐量���。進一步的�,所述裝置還包括檢測率計算模塊,用于根據(jù)IPS產(chǎn)品對攻擊報文的識別情況���,確定出IPS產(chǎn)品的攻擊報文檢測率�����。采用上述技術方案�,本發(fā)明所述測試入侵防御產(chǎn)品性能的方法和裝置具有下列優(yōu)占.
^ \\\ ·1���、針對入侵防御產(chǎn)品的特點���,使用應用層協(xié)議的流量對入侵防御產(chǎn)品的檢測引擎產(chǎn)生較大的壓力,以接近該類產(chǎn)品實際工作環(huán)境的流量去驗證此類產(chǎn)品的真實吞吐量性能����。2、在施加應用層流量的同時還加入了適量的攻擊流量��,以驗證在這樣的吞吐量下入侵防御產(chǎn)品是否還能夠正常檢測出所有攻擊報文���,以保證其安全性功能的正常執(zhí)行�����。這樣的正常應用流量結合攻擊流量的情形更加貼近入侵防御產(chǎn)品在實際工作環(huán)境中的流量組成�,能夠驗證出入侵防御產(chǎn)品在保證其安全性功能的基礎上所表現(xiàn)出來的真實應用層的吞吐量性能值。3��、在一定應用層流量的基礎上測試出入侵防御產(chǎn)品阻斷攻擊行為的能力�。
圖1為現(xiàn)有技術中測試網(wǎng)絡拓撲示意圖;圖2為本發(fā)明第一實施例測試入侵防御產(chǎn)品性能的方法流程圖�;圖3為本發(fā)明第二實施例測試入侵防御產(chǎn)品性能的裝置結構示意圖;圖4為本發(fā)明第三實施例測試網(wǎng)絡拓撲情況示意圖���;圖5為本發(fā)明第三實施例測試設備和重放設備對入侵防御產(chǎn)品應用層吞吐量的測試過程示意圖�。
具體實施例方式為更進一步闡述本發(fā)明為達成預定目的所采取的技術手段及功效���,以下結合附圖及較佳實施例,對本發(fā)明的技術方案詳細說明如后����。本發(fā)明第一實施例,如圖2所示���,一種測試入侵防御產(chǎn)品性能的方法����,包括如下具體步驟步驟S101�,測試周期內,在IPS產(chǎn)品轉發(fā)純應用層流量的同時加入攻擊報文��。優(yōu)選的�����,純應用層流量為IPS產(chǎn)品的最大理論應用層吞吐量。
具體的,步驟SlOl中��,加入攻擊報文的過程��,包括Al�����,從實際環(huán)境中一次完整的使用TCP協(xié)議的攻擊過程中抓取攻擊報文�;A2�,將抓取到的攻擊報文重放到IPS產(chǎn)品中�,重放時確保每個攻擊報文的源IP地址和目的IP地址與其它攻擊報文均不同。步驟S102,設IPS產(chǎn)品對純應用層流量全部轉發(fā)成功為第一條件,IPS產(chǎn)品對攻擊報文全部識別成功為第二條件,判斷第一條件和第二條件是否同時滿足����,若是����,則執(zhí)行步驟 S104 ;否則執(zhí)行步驟S103 ;步驟S103�����,削減純應用層流量的數(shù)值后�����,重復執(zhí)行步驟SlOl開始后續(xù)的測試周期����,直到第一條件和第二條件同時滿足為止���,執(zhí)行步驟S104;若純應用層流量的數(shù)值削減到0之前,第一條件和第二條件仍然不能同時滿足����,則說明IPS產(chǎn)品出現(xiàn)故障異常����,不可用���。步驟S104,讀取IPS產(chǎn)品統(tǒng)計的當前應用層流量��,即IPS產(chǎn)品當前有效應用層吞吐量���。步驟S105、根據(jù)IPS產(chǎn)品對攻擊報文的識別情況�,確定出IPS產(chǎn)品的攻擊報文檢測率。具體的,在一定應用層流量的基礎上�����,可用IPS產(chǎn)品已檢測出的攻擊報文數(shù)量除以步驟 SlOl中重放的攻擊報文數(shù)量�,得出IPS產(chǎn)品對攻擊報文的檢測率。本發(fā)明第二實施例�����,如圖3所示,一種測試入侵防御產(chǎn)品性能的裝置��,包括如下組成部分測試設備10�����,用于在測試周期內���,構造在IPS產(chǎn)品中轉發(fā)的純應用層流量�。優(yōu)選的����,純應用層流量為IPS產(chǎn)品的最大理論應用層吞吐量。重放設備20�,用于在IPS產(chǎn)品轉發(fā)純應用層流量的同時,向IPS產(chǎn)品發(fā)送攻擊報文����。重放設備20,具體包括抓包模塊21�����,用于從實際環(huán)境中一次完整的使用TCP協(xié)議的攻擊過程中抓取攻擊報文;導入模塊22��,用于將抓取到的攻擊報文重放到IPS產(chǎn)品中����,重放時確保每個攻擊報文的源IP地址與目的IP地址與其它攻擊報文均不同。測試結果確定設備30�,用于根據(jù)IPS產(chǎn)品對純應用層流量的轉發(fā)情況以及對攻擊報文的識別情況,確定出IPS產(chǎn)品當前有效應用層吞吐量以及對攻擊報文的檢測率��。具體的���,設IPS產(chǎn)品對純應用層流量全部轉發(fā)成功為第一條件�����,IPS產(chǎn)品對攻擊報文全部識別成功為第二條件。測試結果確定設備30���,具體包括判斷模塊31����,用于判斷第一條件和第二條件是否同時滿足�,若是,則調用讀取模塊 33;否則調用調整模塊32;調整模塊32,用于削減純應用層流量的數(shù)值后���,重復調用測試設備10和重放設備 20中的導入模塊22開始后續(xù)的測試周期��,直到第一條件和第二條件同時滿足為止����,調用讀取模塊33 �����;若純應用層流量的數(shù)值削減到0之前�����,第一條件和第二條件仍然不能同時滿足�����, 則說明IPS產(chǎn)品出現(xiàn)故障異常�,不可用。讀取模塊33�����,用于讀取IPS產(chǎn)品統(tǒng)計的當前應用層流量,即IPS產(chǎn)品當前有效應用
層吞吐量���。檢測率計算模塊34����,用于根據(jù)IPS產(chǎn)品對攻擊報文的識別情況�,確定出IPS產(chǎn)品的攻擊報文檢測率。具體的,在判斷模塊31判斷第一條件和第二條件是否同時滿足時,即�����,在
7一定應用層流量的基礎上��,檢測率計算模塊34用IPS產(chǎn)品已檢測出的攻擊報文數(shù)量除以導入模塊22重放的攻擊報文數(shù)量��,得出IPS產(chǎn)品對攻擊報文的檢測率�。本發(fā)明第三實施例��,在第一���、二實施例的基礎上介紹一個測試IPS產(chǎn)品應用層吞吐量以及阻斷攻擊能力的實例。網(wǎng)絡拓撲情況如圖4所示�,所需硬件設備一臺或多臺用于發(fā)送應用層流量的測試設備����、一臺用于重放攻擊報文的重放PC(Pers0nal Computer) 0若測試設備選用BPS測試儀表���,則同時可具有重放攻擊報文的功能�,無須采用專門的重放設備�;若測試設備選用 AVALANCHE測試儀表,則只具有發(fā)送應用層流量的功能����,此時可以采用雙網(wǎng)卡重放PC作為重放設備,來提供重放攻擊報文的流量��。在重放設備上安裝報文重放軟件����,如LINUX系統(tǒng)下的tcpreplay軟件或其它重放軟件等,雙網(wǎng)卡是為了在報文重放過程中模擬攻擊雙方的交互����,一個網(wǎng)卡發(fā)送“攻擊者一被攻擊者”的報文,另一個網(wǎng)卡發(fā)送“被攻擊者一攻擊者”的報文����。測試過程中�����,在測試設備構造并發(fā)送應用層流量的同時����,在重放設備上開始重放攻擊報文�,并且每次重放軟件都會修改報文中的源IP地址和目的IP地址,以保證每次重放的攻擊過程與其它攻擊過程使用的源IP地址以及目的IP地址都不相同�����。并且�,在重放設備上控制報文重放的速度,保證每秒鐘重放多少次攻擊報文過程�,并控制整個測試過程的總攻擊報文重放次數(shù)。測試拓撲描述使用測試設備的一對測試接口��,如需要多臺測試設備共同制造應用層流量�����,那么則需要將這些測試設備上所有模擬客戶端的接口連接到交換機1上��,以匯總所有從這些接口發(fā)出的用于模擬客戶端的流量�����,將這些流量通過交換機1的一個接口連接到IPS產(chǎn)品的一個接口上�。同時��,將這些測試設備所有模擬服務器端的接口連接到交換機2上���,以匯總所有從這些接口發(fā)出的用于模擬服務器端的流量���,將這些流量通過交換機2 的一個接口連接到IPS產(chǎn)品的另一個接口上���。由于IPS產(chǎn)品所工作的位置通常在用戶內網(wǎng)與外網(wǎng)之間,所以絕大多數(shù)采用透明通信方式接入��,在這個測試中���,也使用透明模式作為通信模式進行測試�。IPS產(chǎn)品的配置IPS產(chǎn)品需要加載默認配置,該默認配置應該是IPS產(chǎn)品廠家推薦給用戶的基本配置��,包含已經(jīng)加載好的推薦的攻擊檢測規(guī)則,即不需改變配置�����,IPS產(chǎn)品即可開始測試�。如圖5所示�����,測試設備和重放設備對IPS產(chǎn)品應用層吞吐量的測試過程如下步驟Si��,測試設備使用純HTTP (Hyper Text Transfer Protocol����,超文本傳輸協(xié)議)流量測試出IPS產(chǎn)品的最大理論應用層吞吐量。本步驟測試的目的是���,將測試出的最大理論應用層吞吐量作為后續(xù)測試的初始值X�����。步驟S2��,在本次測試周期內��,以初始值X為吞吐量基礎值構造HTTP流量在IPS產(chǎn)品上轉發(fā)����,同時加入重放設備從真實攻擊過程中抓取的攻擊報文�����,這一加入攻擊報文的過程也可以被稱為重放,總攻擊報文重放次數(shù)記錄為A����。優(yōu)選的重放速度為每秒150 200次,不宜選擇過小,這樣對IPS產(chǎn)品造不成什么壓力�;也不宜選擇過大,因為通常正常的網(wǎng)絡環(huán)境中��,每秒鐘不會有太多的攻擊發(fā)生�,選擇在這個范圍內��,比較貼近真實環(huán)境中攻擊報文發(fā)生的頻率?����?偣魣笪闹胤糯螖?shù)A等于每秒重放次數(shù)乘以測試周期的時間�。測試周期的時間長度優(yōu)選為60秒�����。步驟S3���,本次測試周期的測試完成后�����,判斷以初始值X為指標打入的HTTP流量是否全部由IPS產(chǎn)品正常轉發(fā)����,如是,則執(zhí)行步驟S4����,否則執(zhí)行步驟S6。具體的�����,根據(jù)測試設備上的統(tǒng)計信息可以做出判斷��,由于應用層的HTTP流量是基于建立的TCP連接傳輸?shù)?��,如果所有的TCP連接都正常打開��,傳輸HTTP數(shù)據(jù)后����,都能正常關閉���,那么認為以初始值X為指標打入的HTTP流量都成功轉發(fā)�;如果在測試設備上看到統(tǒng)計信息中存在失敗的TCP連接,那么認為以初始值X為指標打入的HTTP流量沒有全部成功轉發(fā)��。步驟S4�����,判斷重放的全部A次攻擊報文是否全部被IPS產(chǎn)品檢測出����,若是,則證明在被測設備成功轉發(fā)全部HTTP流量的基礎上����,識別出了全部的攻擊報文,執(zhí)行步驟S8,否則執(zhí)行步驟S5��。具體的���,在IPS產(chǎn)品上察看本次測試周期中IPS產(chǎn)品檢測到的同樣攻擊報文的次數(shù),記錄為Al次����。判斷總攻擊報文重放次數(shù)A和IPS產(chǎn)品檢測出的攻擊報文次數(shù)Al是否相等�,如果相等�,則證明IPS產(chǎn)品在成功轉發(fā)全部HTTP流量的基礎上,識別了全部的攻擊報文���;如果不相等�����,則證明IPS產(chǎn)品在當前HTTP流量基礎上�����,無法識別全部的攻擊報文����,出現(xiàn)了漏檢攻擊報文的現(xiàn)象����。步驟S5,用IPS產(chǎn)品檢測出的攻擊報文次數(shù)Al除以總攻擊報文重放次數(shù)A����,得到在轉發(fā)HTTP流量為X的情況下,IPS產(chǎn)品對攻擊報文檢測率��。步驟S6,判斷當前測試周期中實際轉發(fā)的HTTP流量Y是否大于初始值X的10%��, 若是����,則執(zhí)行步驟S7,否則測試終止。因為整個測試方案是采用步近的方式逼近被測試設備的真實吞吐量���,每當被測設備無法轉發(fā)全部的HTTP流量或無法檢測全部攻擊導致測試失敗的時候�����,都需要將測試的 HTTP流量降低�����,所以需要判斷����,如果Y大于X的10%的話����,則可以開始下一次測試�����;如果Y 不大于X的10%的話,那么說明加入攻擊流量后����,IPS產(chǎn)品的真實應用層吞吐量還不到初始值X的10%,此時可以認為���,該IPS產(chǎn)品存在嚴重問題�����,基本不可用����,記錄該被測入侵防御產(chǎn)品存在嚴重問題����,無法完成測試,測試終止����。本發(fā)明中的步進10%可以根據(jù)IPS產(chǎn)品的設計吞吐量靈活選擇,比如,對于設計吞吐量為千兆的IPS產(chǎn)品���,步進可以選為10 % 20 %��,優(yōu)選為10 % ��;對于設計吞吐量為百兆的IPS產(chǎn)品�����,步進可以選為5% 10%����,優(yōu)選為5%��。步驟S7�,將初始值X減去初始值X的10%所得到的值作為新的初始值X,重新執(zhí)行步驟S2開始后續(xù)測試周期�����。步驟S8��,直接記錄本次測試周期中使用的初始值X為IPS產(chǎn)品真實的應用層吞吐量性能值結果�����。本發(fā)明所述測試入侵防御產(chǎn)品性能的方法和裝置具有下列優(yōu)點1�����、針對入侵防御產(chǎn)品的特點�,使用應用層協(xié)議的流量對入侵防御產(chǎn)品的檢測引擎產(chǎn)生較大的壓力,以接近該類產(chǎn)品實際工作環(huán)境的流量去驗證此類產(chǎn)品的真實吞吐量性能�。2、在施加應用層流量的同時還加入了適量的攻擊流量����,以驗證在這樣的吞吐量下入侵防御產(chǎn)品是否還能夠正常檢測出所有攻擊報文,以保證其安全性功能的正常執(zhí)行�。這樣的正常應用流量結合攻擊流量的情形更加貼近入侵防御產(chǎn)品在實際工作環(huán)境中的流量組成,能夠驗證出入侵防御產(chǎn)品在保證其安全性功能的基礎上所表現(xiàn)出來的真實應用層的吞吐量性能值���。3����、在一定應用層流量的基礎上測試出入侵防御產(chǎn)品阻斷攻擊行為的能力��。通過具體實施方式
的說明����,應當可對本發(fā)明為達成預定目的所采取的技術手段及功效得以更加深入且具體的了解�,然而所附圖示僅是提供參考與說明之用�,并非用來對本發(fā)明加以限制。
權利要求
1.一種測試入侵防御產(chǎn)品性能的方法��,其特征在于��,包括步驟一����、在入侵防御系統(tǒng)IPS產(chǎn)品轉發(fā)純應用層流量的同時加入攻擊報文; 步驟二�����、根據(jù)IPS產(chǎn)品對純應用層流量的轉發(fā)情況以及對攻擊報文的識別情況���,確定出IPS產(chǎn)品當前有效應用層吞吐量��。
2.根據(jù)權利要求1所述的方法�����,其特征在于����,所述純應用層流量為IPS產(chǎn)品的最大理論應用層吞吐量。
3.根據(jù)權利要求1所述的方法��,其特征在于��,所述加入攻擊報文��,具體包括 抓取實際環(huán)境中使用傳輸控制協(xié)議TCP的攻擊報文����;將抓取到的攻擊報文重放到IPS產(chǎn)品中���,重放時確保每個攻擊報文的源IP地址與目的 IP地址與其它攻擊報文均不同��。
4.根據(jù)權利要求1所述的方法��,其特征在于��,所述根據(jù)IPS產(chǎn)品對純應用層流量的轉發(fā)情況以及對攻擊報文的識別情況�,確定出IPS產(chǎn)品當前有效應用層吞吐量����,具體包括設IPS產(chǎn)品對純應用層流量全部轉發(fā)成功為第一條件��,IPS產(chǎn)品對攻擊報文全部識別成功為第二條件���;判斷第一條件和第二條件是否同時滿足,若是�����,則讀取IPS產(chǎn)品統(tǒng)計的當前應用層流量�����,即IPS產(chǎn)品當前有效應用層吞吐量����;否則削減純應用層流量的數(shù)值后,重復執(zhí)行步驟一�����,直到第一條件和第二條件同時滿足為止��。
5.根據(jù)權利要求1至4中任一權利要求所述的方法���,其特征在于��,該方法還包括 步驟三����、根據(jù)IPS產(chǎn)品對攻擊報文的識別情況,確定出IPS產(chǎn)品的攻擊報文檢測率�����。
6.一種測試入侵防御產(chǎn)品性能的裝置����,其特征在于���,包括如下組成部分 測試設備�����,用于構造在IPS產(chǎn)品中轉發(fā)的純應用層流量�;重放設備�����,用于在IPS產(chǎn)品轉發(fā)純應用層流量的同時����,向IPS產(chǎn)品發(fā)送攻擊報文��; 測試結果確定設備�,用于根據(jù)IPS產(chǎn)品對純應用層流量的轉發(fā)情況以及對攻擊報文的識別情況���,確定出IPS產(chǎn)品當前有效應用層吞吐量��。
7.根據(jù)權利要求6所述的裝置��,其特征在于�����,所述純應用層流量為IPS產(chǎn)品的最大理論應用層吞吐量��。
8.根據(jù)權利要求6所述的裝置���,其特征在于,所述重放設備�����,具體包括 抓包模塊,用于抓取實際環(huán)境中使用TCP協(xié)議的攻擊報文�;導入模塊,用于將抓取到的攻擊報文重放到IPS產(chǎn)品中�,重放時確保每個攻擊報文的源IP地址與目的IP地址與其它攻擊報文均不同。
9.根據(jù)權利要求6所述的裝置����,其特征在于,設IPS產(chǎn)品對純應用層流量全部轉發(fā)成功為第一條件���,IPS產(chǎn)品對攻擊報文全部識別成功為第二條件��;所述測試結果確定設備�����,具體包括判斷模塊,用于判斷第一條件和第二條件是否同時滿足����,若是,則調用讀取模塊���;否則調用調整模塊��;調整模塊��,用于削減純應用層流量的數(shù)值后�,重復調用測試設備和重放設備,直到第一條件和第二條件同時滿足為止�,調用讀取模塊;讀取模塊�����,用于讀取IPS產(chǎn)品統(tǒng)計的當前應用層流量���,即IPS產(chǎn)品當前有效應用層吞吐量���。
10.根據(jù)權利要求6至9中任一權利要求所述的裝置,其特征在于���,所述裝置還包括 檢測率計算模塊�����,用于根據(jù)IPS產(chǎn)品對攻擊報文的識別情況����,確定出IPS產(chǎn)品的攻擊報文檢測率。
全文摘要
本發(fā)明公開了一種測試入侵防御產(chǎn)品性能的方法和裝置�,該方法包括在IPS產(chǎn)品轉發(fā)純應用層流量的同時加入攻擊報文;根據(jù)IPS產(chǎn)品對純應用層流量的轉發(fā)情況以及對攻擊報文的識別情況��,確定出IPS產(chǎn)品當前有效應用層吞吐量�。該裝置包括測試設備、重放設備和測試結果確定設備��。本發(fā)明針對IPS產(chǎn)品的特點�����,使用應用層協(xié)議的流量對IPS產(chǎn)品的檢測引擎產(chǎn)生較大的壓力�����,以接近該類產(chǎn)品實際工作環(huán)境的流量去驗證此類產(chǎn)品的真實吞吐量性能��。本發(fā)明能夠驗證出IPS產(chǎn)品在保證其安全性功能的基礎上所表現(xiàn)出來的真實應用層的吞吐量性能值以及阻斷攻擊行為的能力�����。
文檔編號H04L12/26GK102255910SQ20111019329
公開日2011年11月23日 申請日期2011年7月11日 優(yōu)先權日2011年7月11日
發(fā)明者張紅學, 竇堯 申請人:北京天融信科技有限公司