专利名称:一种测试入侵防御产品性能的方法和装置的制作方法
技术领域:
本发明涉及网络安全技术领域,尤其涉及一种测试入侵防御产品性能的方法和装置。
背景技术:
互联网在全世界范围内的高速发展给人们带来了极大的便利和海量的信息。但是,随之而来的问题就是网络的隐私性和安全性应该如何保障,也就是网络安全的问题。起初,网络安全的思想就是允许一些地址合法访问指定资源,禁止其它地址的非法访问。那么,包过滤防火墙应运而生,这种防火墙工作在网络层,通过IPdnternet ftOtocol,互联网协议)地址进行攻击过滤。而后,随着网络中所使用的协议越来越复杂, 包过滤防火墙已经无法满足使用的需要,于是出现了基于状态的防火墙。这种类型的防火墙除了 IP地址以外,还要根据协议类型和端口号来进行控制。这类防火墙的绝大多数功能都集中在传输层。但是,随着攻击技术的进步,很多攻击手段在网络层和传输层上判断都是合法的访问,但会通过一些应用层的手段,比如利用一些协议栈或系统的漏洞完成攻击。针对这种应用层的攻击,无论是包过滤防火墙还是状态防火墙都已经无法胜任防护工作,所以就出现了 IPSdntrusion Prevention System,入侵防御系统)产品。由入侵防御产品针对的攻击类型,决定了该类产品是工作在应用层的网络设备。 并且,这类产品的工作位置通常是在用户的主通信线路中连接外网和内网的关键位置,所以该产品的攻击防护能力决定了用户的安全性。同样重要的还有该产品的应用层吞吐量, 它决定了用户正常网络流量转发的快慢,很大程度上决定了该网络环境的可用性。目前对IPS产品吞吐量的普遍测试方法与测试状态防火墙产品吞吐量的方法相同,测试拓扑如图1所示,在测试设备上构造TCP (Transmission ControlProtocol,传输控制协议)报文的通信流量,每秒建立有χ个TCP连接,每个TCP连接交互数据量为y字节, 测试通常持续60秒。如果在这60秒内,所有的60x个TCP连接上的数据量都通过IPS产品转发成功,那么IPS产品的吞吐量就是(8xy)bps(bit per second)。以这样的测试方法, 每次测试通过增加每秒建立TCP连接的数量,也就是χ的数值,来增加IPS产品每秒需要处理的数据量,直到出现了 TCP连接数据转发失败,以此方式逼近IPS产品的最大吞吐量性能值。现有技术的缺陷1、测试流量数据内容过于简单。上述的IPS产品吞吐量测试方法是与防火墙产品的吞吐量测试方法相同的,但在背景技术中介绍过,防火墙产品基本上工作在传输层,所以只对流量中的IP地址、协议和端口号进行检查并判断,所以这种纯TCP流量吞吐量的测试方式比较适合于防火墙产品。但对IPS产品来说,由于工作在应用层,需要检测应用层各协议字段内容来确定流量是否安全。而IPS产品在处理这种纯TCP流量的时候,由于流量内容比较简单,所以基本不会对IPS产品的检测引擎产生什么压力,导致这种纯TCP流量测试出的IPS产品的吞吐量与该类产品在真实环境中能够处理的吞吐量通常相差非常大,从而失去参考价值。2、测试结果无法证明被测IPS产品在这样的吞吐量下还能完成其安全保障任务。 IPS产品的最根本功能就是检测并阻断攻击行为,在此基础上,保证正常流量能够快速的转发,但在现有的测试方案中,由于采用的是纯TCP数据流量,即使被测的IPS产品能够正常转发,但也无法保证在这样的吞吐量下,该设备是否还有能力检测并阻断攻击行为。所以现有测试方案的测试结果无法在IPS产品最根本功能上做出保证,也就失去了参考价值。
发明内容
本发明要解决的技术问题是,提供一种测试入侵防御产品性能的方法和装置,其测试结果能够反映出IPS产品在真实环境中的吞吐量。本发明采用的技术方案是,所述测试入侵防御产品性能的方法,包括步骤一、在IPS产品转发纯应用层流量的同时加入攻击报文;步骤二、根据IPS产品对纯应用层流量的转发情况以及对攻击报文的识别情况, 确定出IPS产品当前有效应用层吞吐量。进一步的,所述纯应用层流量为IPS产品的最大理论应用层吞吐量。进一步的,所述加入攻击报文,具体包括抓取实际环境中使用TCP协议的攻击报文;将抓取到的攻击报文重放到IPS产品中,重放时确保每个攻击报文的源IP地址与目的IP地址与其它攻击报文均不同。进一步的,所述根据IPS产品对纯应用层流量的转发情况以及对攻击报文的识别情况,确定出IPS产品当前有效应用层吞吐量,具体包括设IPS产品对纯应用层流量全部转发成功为第一条件,IPS产品对攻击报文全部识别成功为第二条件;判断第一条件和第二条件是否同时满足,若是,则读取IPS产品统计的当前应用层流量,即IPS产品当前有效应用层吞吐量;否则削减纯应用层流量的数值后,重复执行步骤一,直到第一条件和第二条件同时满足为止。进一步的,该方法还包括步骤三、根据IPS产品对攻击报文的识别情况,确定出IPS产品的攻击报文检测率。本发明还提供一种测试入侵防御产品性能的装置,包括如下组成部分测试设备,用于构造在IPS产品中转发的纯应用层流量;重放设备,用于在IPS产品转发纯应用层流量的同时,向IPS产品发送攻击报文;测试结果确定设备,用于根据IPS产品对纯应用层流量的转发情况以及对攻击报文的识别情况,确定出IPS产品当前有效应用层吞吐量。进一步的,所述纯应用层流量为IPS产品的最大理论应用层吞吐量。进一步的,所述重放设备,具体包括抓包模块,用于抓取实际环境中使用TCP协议的攻击报文;导入模块,用于将抓取到的攻击报文重放到IPS产品中,重放时确保每个攻击报文的源IP地址与目的IP地址与其它攻击报文均不同。
进一步的,设IPS产品对纯应用层流量全部转发成功为第一条件,IPS产品对攻击报文全部识别成功为第二条件;所述测试结果确定设备,具体包括判断模块,用于判断第一条件和第二条件是否同时满足,若是,则调用读取模块; 否则调用调整模块;调整模块,用于削减纯应用层流量的数值后,重复调用测试设备和重放设备,直到第一条件和第二条件同时满足为止,调用读取模块;读取模块,用于读取IPS产品统计的当前应用层流量,即IPS产品当前有效应用层
吞吐量。进一步的,所述装置还包括检测率计算模块,用于根据IPS产品对攻击报文的识别情况,确定出IPS产品的攻击报文检测率。采用上述技术方案,本发明所述测试入侵防御产品性能的方法和装置具有下列优占.
^ \\\ ·1、针对入侵防御产品的特点,使用应用层协议的流量对入侵防御产品的检测引擎产生较大的压力,以接近该类产品实际工作环境的流量去验证此类产品的真实吞吐量性能。2、在施加应用层流量的同时还加入了适量的攻击流量,以验证在这样的吞吐量下入侵防御产品是否还能够正常检测出所有攻击报文,以保证其安全性功能的正常执行。这样的正常应用流量结合攻击流量的情形更加贴近入侵防御产品在实际工作环境中的流量组成,能够验证出入侵防御产品在保证其安全性功能的基础上所表现出来的真实应用层的吞吐量性能值。3、在一定应用层流量的基础上测试出入侵防御产品阻断攻击行为的能力。
图1为现有技术中测试网络拓扑示意图;图2为本发明第一实施例测试入侵防御产品性能的方法流程图;图3为本发明第二实施例测试入侵防御产品性能的装置结构示意图;图4为本发明第三实施例测试网络拓扑情况示意图;图5为本发明第三实施例测试设备和重放设备对入侵防御产品应用层吞吐量的测试过程示意图。
具体实施例方式为更进一步阐述本发明为达成预定目的所采取的技术手段及功效,以下结合附图及较佳实施例,对本发明的技术方案详细说明如后。本发明第一实施例,如图2所示,一种测试入侵防御产品性能的方法,包括如下具体步骤步骤S101,测试周期内,在IPS产品转发纯应用层流量的同时加入攻击报文。优选的,纯应用层流量为IPS产品的最大理论应用层吞吐量。
具体的,步骤SlOl中,加入攻击报文的过程,包括Al,从实际环境中一次完整的使用TCP协议的攻击过程中抓取攻击报文;A2,将抓取到的攻击报文重放到IPS产品中,重放时确保每个攻击报文的源IP地址和目的IP地址与其它攻击报文均不同。步骤S102,设IPS产品对纯应用层流量全部转发成功为第一条件,IPS产品对攻击报文全部识别成功为第二条件,判断第一条件和第二条件是否同时满足,若是,则执行步骤 S104 ;否则执行步骤S103 ;步骤S103,削减纯应用层流量的数值后,重复执行步骤SlOl开始后续的测试周期,直到第一条件和第二条件同时满足为止,执行步骤S104;若纯应用层流量的数值削减到0之前,第一条件和第二条件仍然不能同时满足,则说明IPS产品出现故障异常,不可用。步骤S104,读取IPS产品统计的当前应用层流量,即IPS产品当前有效应用层吞吐量。步骤S105、根据IPS产品对攻击报文的识别情况,确定出IPS产品的攻击报文检测率。具体的,在一定应用层流量的基础上,可用IPS产品已检测出的攻击报文数量除以步骤 SlOl中重放的攻击报文数量,得出IPS产品对攻击报文的检测率。本发明第二实施例,如图3所示,一种测试入侵防御产品性能的装置,包括如下组成部分测试设备10,用于在测试周期内,构造在IPS产品中转发的纯应用层流量。优选的,纯应用层流量为IPS产品的最大理论应用层吞吐量。重放设备20,用于在IPS产品转发纯应用层流量的同时,向IPS产品发送攻击报文。重放设备20,具体包括抓包模块21,用于从实际环境中一次完整的使用TCP协议的攻击过程中抓取攻击报文;导入模块22,用于将抓取到的攻击报文重放到IPS产品中,重放时确保每个攻击报文的源IP地址与目的IP地址与其它攻击报文均不同。测试结果确定设备30,用于根据IPS产品对纯应用层流量的转发情况以及对攻击报文的识别情况,确定出IPS产品当前有效应用层吞吐量以及对攻击报文的检测率。具体的,设IPS产品对纯应用层流量全部转发成功为第一条件,IPS产品对攻击报文全部识别成功为第二条件。测试结果确定设备30,具体包括判断模块31,用于判断第一条件和第二条件是否同时满足,若是,则调用读取模块 33;否则调用调整模块32;调整模块32,用于削减纯应用层流量的数值后,重复调用测试设备10和重放设备 20中的导入模块22开始后续的测试周期,直到第一条件和第二条件同时满足为止,调用读取模块33 ;若纯应用层流量的数值削减到0之前,第一条件和第二条件仍然不能同时满足, 则说明IPS产品出现故障异常,不可用。读取模块33,用于读取IPS产品统计的当前应用层流量,即IPS产品当前有效应用
层吞吐量。检测率计算模块34,用于根据IPS产品对攻击报文的识别情况,确定出IPS产品的攻击报文检测率。具体的,在判断模块31判断第一条件和第二条件是否同时满足时,即,在
7一定应用层流量的基础上,检测率计算模块34用IPS产品已检测出的攻击报文数量除以导入模块22重放的攻击报文数量,得出IPS产品对攻击报文的检测率。本发明第三实施例,在第一、二实施例的基础上介绍一个测试IPS产品应用层吞吐量以及阻断攻击能力的实例。网络拓扑情况如图4所示,所需硬件设备一台或多台用于发送应用层流量的测试设备、一台用于重放攻击报文的重放PC(Pers0nal Computer) 0若测试设备选用BPS测试仪表,则同时可具有重放攻击报文的功能,无须采用专门的重放设备;若测试设备选用 AVALANCHE测试仪表,则只具有发送应用层流量的功能,此时可以采用双网卡重放PC作为重放设备,来提供重放攻击报文的流量。在重放设备上安装报文重放软件,如LINUX系统下的tcpreplay软件或其它重放软件等,双网卡是为了在报文重放过程中模拟攻击双方的交互,一个网卡发送“攻击者一被攻击者”的报文,另一个网卡发送“被攻击者一攻击者”的报文。测试过程中,在测试设备构造并发送应用层流量的同时,在重放设备上开始重放攻击报文,并且每次重放软件都会修改报文中的源IP地址和目的IP地址,以保证每次重放的攻击过程与其它攻击过程使用的源IP地址以及目的IP地址都不相同。并且,在重放设备上控制报文重放的速度,保证每秒钟重放多少次攻击报文过程,并控制整个测试过程的总攻击报文重放次数。测试拓扑描述使用测试设备的一对测试接口,如需要多台测试设备共同制造应用层流量,那么则需要将这些测试设备上所有模拟客户端的接口连接到交换机1上,以汇总所有从这些接口发出的用于模拟客户端的流量,将这些流量通过交换机1的一个接口连接到IPS产品的一个接口上。同时,将这些测试设备所有模拟服务器端的接口连接到交换机2上,以汇总所有从这些接口发出的用于模拟服务器端的流量,将这些流量通过交换机2 的一个接口连接到IPS产品的另一个接口上。由于IPS产品所工作的位置通常在用户内网与外网之间,所以绝大多数采用透明通信方式接入,在这个测试中,也使用透明模式作为通信模式进行测试。IPS产品的配置IPS产品需要加载默认配置,该默认配置应该是IPS产品厂家推荐给用户的基本配置,包含已经加载好的推荐的攻击检测规则,即不需改变配置,IPS产品即可开始测试。如图5所示,测试设备和重放设备对IPS产品应用层吞吐量的测试过程如下步骤Si,测试设备使用纯HTTP (Hyper Text Transfer Protocol,超文本传输协议)流量测试出IPS产品的最大理论应用层吞吐量。本步骤测试的目的是,将测试出的最大理论应用层吞吐量作为后续测试的初始值X。步骤S2,在本次测试周期内,以初始值X为吞吐量基础值构造HTTP流量在IPS产品上转发,同时加入重放设备从真实攻击过程中抓取的攻击报文,这一加入攻击报文的过程也可以被称为重放,总攻击报文重放次数记录为A。优选的重放速度为每秒150 200次,不宜选择过小,这样对IPS产品造不成什么压力;也不宜选择过大,因为通常正常的网络环境中,每秒钟不会有太多的攻击发生,选择在这个范围内,比较贴近真实环境中攻击报文发生的频率。总攻击报文重放次数A等于每秒重放次数乘以测试周期的时间。测试周期的时间长度优选为60秒。步骤S3,本次测试周期的测试完成后,判断以初始值X为指标打入的HTTP流量是否全部由IPS产品正常转发,如是,则执行步骤S4,否则执行步骤S6。具体的,根据测试设备上的统计信息可以做出判断,由于应用层的HTTP流量是基于建立的TCP连接传输的,如果所有的TCP连接都正常打开,传输HTTP数据后,都能正常关闭,那么认为以初始值X为指标打入的HTTP流量都成功转发;如果在测试设备上看到统计信息中存在失败的TCP连接,那么认为以初始值X为指标打入的HTTP流量没有全部成功转发。步骤S4,判断重放的全部A次攻击报文是否全部被IPS产品检测出,若是,则证明在被测设备成功转发全部HTTP流量的基础上,识别出了全部的攻击报文,执行步骤S8,否则执行步骤S5。具体的,在IPS产品上察看本次测试周期中IPS产品检测到的同样攻击报文的次数,记录为Al次。判断总攻击报文重放次数A和IPS产品检测出的攻击报文次数Al是否相等,如果相等,则证明IPS产品在成功转发全部HTTP流量的基础上,识别了全部的攻击报文;如果不相等,则证明IPS产品在当前HTTP流量基础上,无法识别全部的攻击报文,出现了漏检攻击报文的现象。步骤S5,用IPS产品检测出的攻击报文次数Al除以总攻击报文重放次数A,得到在转发HTTP流量为X的情况下,IPS产品对攻击报文检测率。步骤S6,判断当前测试周期中实际转发的HTTP流量Y是否大于初始值X的10%, 若是,则执行步骤S7,否则测试终止。因为整个测试方案是采用步近的方式逼近被测试设备的真实吞吐量,每当被测设备无法转发全部的HTTP流量或无法检测全部攻击导致测试失败的时候,都需要将测试的 HTTP流量降低,所以需要判断,如果Y大于X的10%的话,则可以开始下一次测试;如果Y 不大于X的10%的话,那么说明加入攻击流量后,IPS产品的真实应用层吞吐量还不到初始值X的10%,此时可以认为,该IPS产品存在严重问题,基本不可用,记录该被测入侵防御产品存在严重问题,无法完成测试,测试终止。本发明中的步进10%可以根据IPS产品的设计吞吐量灵活选择,比如,对于设计吞吐量为千兆的IPS产品,步进可以选为10 % 20 %,优选为10 % ;对于设计吞吐量为百兆的IPS产品,步进可以选为5% 10%,优选为5%。步骤S7,将初始值X减去初始值X的10%所得到的值作为新的初始值X,重新执行步骤S2开始后续测试周期。步骤S8,直接记录本次测试周期中使用的初始值X为IPS产品真实的应用层吞吐量性能值结果。本发明所述测试入侵防御产品性能的方法和装置具有下列优点1、针对入侵防御产品的特点,使用应用层协议的流量对入侵防御产品的检测引擎产生较大的压力,以接近该类产品实际工作环境的流量去验证此类产品的真实吞吐量性能。2、在施加应用层流量的同时还加入了适量的攻击流量,以验证在这样的吞吐量下入侵防御产品是否还能够正常检测出所有攻击报文,以保证其安全性功能的正常执行。这样的正常应用流量结合攻击流量的情形更加贴近入侵防御产品在实际工作环境中的流量组成,能够验证出入侵防御产品在保证其安全性功能的基础上所表现出来的真实应用层的吞吐量性能值。3、在一定应用层流量的基础上测试出入侵防御产品阻断攻击行为的能力。通过具体实施方式
的说明,应当可对本发明为达成预定目的所采取的技术手段及功效得以更加深入且具体的了解,然而所附图示仅是提供参考与说明之用,并非用来对本发明加以限制。
权利要求
1.一种测试入侵防御产品性能的方法,其特征在于,包括步骤一、在入侵防御系统IPS产品转发纯应用层流量的同时加入攻击报文; 步骤二、根据IPS产品对纯应用层流量的转发情况以及对攻击报文的识别情况,确定出IPS产品当前有效应用层吞吐量。
2.根据权利要求1所述的方法,其特征在于,所述纯应用层流量为IPS产品的最大理论应用层吞吐量。
3.根据权利要求1所述的方法,其特征在于,所述加入攻击报文,具体包括 抓取实际环境中使用传输控制协议TCP的攻击报文;将抓取到的攻击报文重放到IPS产品中,重放时确保每个攻击报文的源IP地址与目的 IP地址与其它攻击报文均不同。
4.根据权利要求1所述的方法,其特征在于,所述根据IPS产品对纯应用层流量的转发情况以及对攻击报文的识别情况,确定出IPS产品当前有效应用层吞吐量,具体包括设IPS产品对纯应用层流量全部转发成功为第一条件,IPS产品对攻击报文全部识别成功为第二条件;判断第一条件和第二条件是否同时满足,若是,则读取IPS产品统计的当前应用层流量,即IPS产品当前有效应用层吞吐量;否则削减纯应用层流量的数值后,重复执行步骤一,直到第一条件和第二条件同时满足为止。
5.根据权利要求1至4中任一权利要求所述的方法,其特征在于,该方法还包括 步骤三、根据IPS产品对攻击报文的识别情况,确定出IPS产品的攻击报文检测率。
6.一种测试入侵防御产品性能的装置,其特征在于,包括如下组成部分 测试设备,用于构造在IPS产品中转发的纯应用层流量;重放设备,用于在IPS产品转发纯应用层流量的同时,向IPS产品发送攻击报文; 测试结果确定设备,用于根据IPS产品对纯应用层流量的转发情况以及对攻击报文的识别情况,确定出IPS产品当前有效应用层吞吐量。
7.根据权利要求6所述的装置,其特征在于,所述纯应用层流量为IPS产品的最大理论应用层吞吐量。
8.根据权利要求6所述的装置,其特征在于,所述重放设备,具体包括 抓包模块,用于抓取实际环境中使用TCP协议的攻击报文;导入模块,用于将抓取到的攻击报文重放到IPS产品中,重放时确保每个攻击报文的源IP地址与目的IP地址与其它攻击报文均不同。
9.根据权利要求6所述的装置,其特征在于,设IPS产品对纯应用层流量全部转发成功为第一条件,IPS产品对攻击报文全部识别成功为第二条件;所述测试结果确定设备,具体包括判断模块,用于判断第一条件和第二条件是否同时满足,若是,则调用读取模块;否则调用调整模块;调整模块,用于削减纯应用层流量的数值后,重复调用测试设备和重放设备,直到第一条件和第二条件同时满足为止,调用读取模块;读取模块,用于读取IPS产品统计的当前应用层流量,即IPS产品当前有效应用层吞吐量。
10.根据权利要求6至9中任一权利要求所述的装置,其特征在于,所述装置还包括 检测率计算模块,用于根据IPS产品对攻击报文的识别情况,确定出IPS产品的攻击报文检测率。
全文摘要
本发明公开了一种测试入侵防御产品性能的方法和装置,该方法包括在IPS产品转发纯应用层流量的同时加入攻击报文;根据IPS产品对纯应用层流量的转发情况以及对攻击报文的识别情况,确定出IPS产品当前有效应用层吞吐量。该装置包括测试设备、重放设备和测试结果确定设备。本发明针对IPS产品的特点,使用应用层协议的流量对IPS产品的检测引擎产生较大的压力,以接近该类产品实际工作环境的流量去验证此类产品的真实吞吐量性能。本发明能够验证出IPS产品在保证其安全性功能的基础上所表现出来的真实应用层的吞吐量性能值以及阻断攻击行为的能力。
文档编号H04L12/26GK102255910SQ20111019329
公开日2011年11月23日 申请日期2011年7月11日 优先权日2011年7月11日
发明者张红学, 窦尧 申请人:北京天融信科技有限公司