专利名称:设备的性能检测方法及装置的制作方法
技术领域:
本发明涉及通信领域,具体而言,涉及一种设备的性能检测方法及装置。
背景技术:
2004年9月,互联网数据中心(IDC)首度提出“统一威胁管理(Unified ThreatManagement,简称为UTM)”的概念,即将防病毒、入侵检测和防火墙安全设备划归统一威胁管理新类别,该概念引起了业界的广泛重视,并推动了以整合式安全设备为代表的市场细分的诞生。由IDC提出的UTM是指由硬件、软件和网络技术组成的具有专门用途的设备,其主要提供一项或多项安全功能,将多种安全特性集成于一台硬件设备中,以构成一个标准的统一管理平台。从上述定义可以看出,IDC既提出了 UTM产品的具体形态,又涵盖了更加深远的逻辑范畴。从定义的前半部分来看,众多安全厂商提出的多功能安全网关、综合安全 网关、一体化安全设备等产品都可以被划归到UTM产品的范畴;而从后半部分来看,UTM的概念还体现出在信息产业经过多年发展之后,对安全体系的整体认识和深刻理解。UTM设备具备的基本功能可以包括网络防火墙、网络入侵检测、网络入侵防御以及网关防病毒。目前,针对UTM产品基准性能测试依据的标准主要包括以下两种,分别是针对传输控制协议/网络协议(TCP/IP) 2-3层的RFC2544和针对TCP/IP4-7层的RFC3511,其中,RFC2544标准可以包括吞吐率、延时、丢包率、背靠背、系统恢复和复位等测试项目;RFC3511标准可以包括TCP吞吐量、并发TCP连接数、最大TCP连接建立速率、最大TCP连接释放速率、抗磁盘操作系统(DOS)攻击、超文本传输协议(HTTP)传输速率、最大HTTP传输速率、非法数据流的处理能力、IP碎片处理能力和延时等测试项目。而模拟真实环境下的UTM性能测试主要包括应用协议吞吐量测试、DOS攻击条件下的转发性能测试、一定负载条件下的新建连接测试等。这些测试标准都已经成为了 UTM产品采购时主要参考的性能指标。然而相关技术中的测试方法通常存在如下缺陷缺陷一、测试的数据流量内容过于简单。上述的UTM产品测试方法与防火墙产品性能测试方法相同,而由于防病毒、入侵检测和防火墙安全设备划归UTM新类别,所以单纯的开启防火墙状态下测试的基准性能指标无法体现UTM的真实性能;缺陷二、测试结果无法证明被测UTM产品在测试出的指标值下能否完成其安全保障任务。UTM产品的最根本功能就是在防火墙的基础上检测并阻断攻击和病毒,在此基础上,保证正常流量能够快速的转发。但相关技术中的测试方法只是使用类似黑盒测试手段显示设备外在的性能体现。所以测试结果无法体现UTM产品最根本功能,也就失去了参考价值。
发明内容
本发明提供了一种设备的性能检测方法及装置,以至少解决相关技术中的检测方法无法准确地反映统一威胁管理产品的性能的问题。根据本发明的一个方面,提供了一种设备的性能检测方法。根据本发明的设备的性能检测方法包括对只开启防火墙的待测试设备进行测试,得到待测试设备的第一最大性能指标;对处在使用状态的待测试设备进行测试,得到待测试设备的第二最大性能指标,其中,使用状态包括开启防火墙状态、开启入侵防御状态,或者,开启防火墙状态、开启病毒防御状态,或者,开启防火墙状态、开启入侵防御状态以及开启病毒防御状态;根据第一最大性能指标和第二最大性能指标的变化率对待测试设备的性能进行评估。优选地,当第一最大性能指标和第二最大性能指标均为吞吐率和/或延时值时,对处在使用状态的待测试设备进行测试,得到待测试设备的第二最大性能指标包括选取预设包长;根据预设包长确定第二最大性能指标。
优选地,根据预设包长采用二分法对吞吐率进行测试确定第二最大性能指标。优选地,根据预设包长采用存储转发方式对延时值进行测试确定第二最大性能指标。优选地,当第一最大性能指标和第二最大性能指标均为应用层吞吐量时,对处在使用状态的待测试设备进行测试,得到待测试设备的第二最大性能指标包括对处在使用状态的待测试设备的测试中加入攻击样本和/或病毒样本,计算攻击样本和/或病毒样本的检出率;在攻击样本和/或病毒样本的检出率保持不变时,获取第二最大性能指标。根据本发明的另一方面,提供了一种设备的性能检测装置。根据本发明的设备的性能检测装置包括第一测试模块,用于对只开启防火墙的待测试设备进行测试,得到待测试设备的第一最大性能指标;第二测试模块,用于对处在使用状态的待测试设备进行测试,得到待测试设备的第二最大性能指标,其中,使用状态包括开启防火墙状态、开启入侵防御状态,或者,开启防火墙状态、开启病毒防御状态,或者,开启防火墙状态、开启入侵防御状态以及开启病毒防御状态;评估模块,用于根据第一最大性能指标和第二最大性能指标的变化率对待测试设备的性能进行评估。优选地,第二测试模块包括选取单元,用于当第一最大性能指标和第二最大性能指标均为吞吐率和/或延时值时,选取预设包长;确定单元,用于根据预设包长确定第二最大性能指标。优选地,确定单元,用于根据预设包长采用二分法对吞吐率进行测试确定第二最大性能指标。优选地,确定单元,用于根据预设包长采用存储转发方式对延时值进行测试确定第二最大性能指标。优选地,第二测试模块包括计算单元,用于当第一最大性能指标和第二最大性能指标均为应用层吞吐量时,对处在使用状态的待测试设备的测试中加入攻击样本和/或病毒样本,计算攻击样本和/或病毒样本的检出率;获取单兀,用于在攻击样本和/或病毒样本的检出率保持不变时,获取第二最大性能指标。通过本发明,先对只开启防火墙的待测试设备进行测试,以获取待测试设备的第一最大性能指标;再对处在使用状态的待测试设备进行测试,以获取待测试设备的第二最大性能指标,其中,上述使用状态可以包括开启防火墙状态、开启入侵防御状态,或者,开启防火墙状态、开启病毒防御状态,或者,开启防火墙状态、开启入侵防御状态以及开启病毒防御状态;根据第一最大性能指标和第二最大性能指标的变化率对待测试设备的性能进行评估,解决了相关技术中的检测方法无法准确地反映统一威胁管理产品的性能的问题,进而提供了一种统一威胁管理产品的性能测试方法,其可以与相关技术中的测试方法相互结合使用,为用户提供更加直观的反映统一威胁管理产品性能的指标参数。
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图I是根据本发明实施例的设备的性能检测方法的流程图;图2是根据本发明优选实施例的基准性能检测的网络拓扑示意图;
图3是根据本发明优选实施例的基准性能检测的流程图;图4是根据本发明优选实施例的真实环境性能检测的网络拓扑示意图;图5是根据本发明优选实施例的真实环境性能检测方法的流程图;图6是根据本发明实施例的设备的性能检测装置的结构框图;以及图7是根据本发明优选实施例的设备的性能检测装置的结构框图。
具体实施例方式下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。图I是根据本发明实施例的设备的性能检测方法的流程图。如图I所示,该方法可以包括以下处理步骤步骤S102 :对只开启防火墙的待测试设备进行测试,得到待测试设备的第一最大性能指标;步骤S104 :对处在使用状态的待测试设备进行测试,得到待测试设备的第二最大性能指标,其中,使用状态包括开启防火墙状态、开启入侵防御状态,或者,开启防火墙状态、开启病毒防御状态,或者,开启防火墙状态、开启入侵防御状态以及开启病毒防御状态;步骤S106 :根据第一最大性能指标和第二最大性能指标的变化率对待测试设备的性能进行评估。相关技术中,现有的检测方法无法准确地反映统一威胁管理产品的性能。采用如图I所示的方法,先对只开启防火墙的待测试设备进行测试,以获取待测试设备的第一最大性能指标;再对处在使用状态的待测试设备进行测试,以获取待测试设备的第二最大性能指标,其中,上述使用状态可以包括以下之一开启防火墙状态、开启入侵防御状态;开启防火墙状态、开启病毒防御状态;开启防火墙状态、开启入侵防御状态以及开启病毒防御状态;根据第一最大性能指标和第二最大性能指标的变化率对待测试设备的性能进行评估,解决了相关技术中的检测方法无法准确地反映统一威胁管理产品的性能的问题,进而提供了一种统一威胁管理产品的性能测试方法,其可以与相关技术中的测试方法相互结合使用,为用户提供更加直观的反映统一威胁管理产品性能的指标参数。
需要说明的是,关于统一威胁管理产品的性能测试方法可以包括以下两个部分
(I)基准性能检测;(2)真实环境性能检测。在本发明提供的技术方案中,基准性能检测方法中的测试指标可以包括吞吐率、延时值和新建连接速率;真实环境检测方法可以包括攻击样本和/或病毒样本检出率以及在网络保持检出率的同时待测试设备的应用层吞吐量。优选地,在步骤S104中,当弟一最大性能指标和弟_■最大性能指标均为吞吐率和/或延时值时,对处在使用状态的待测试设备进行测试,得到待测试设备的第二最大性能指标可以包括以下操作步骤SI :选取预设包长;步骤S2 :根据预设包长确定第二最大性能指标。 在优选实施例中,吞吐率是指在没有帧丢失的情况下,待测试设备能够接受的最大速率,吞吐率的结果以“比特/秒”或者“字节/秒”表示;延时值是指已知待测试设备在某种帧长下的吞吐率,以特定长度帧的吞吐率所对应的发送速率向待测试设备发送该长度的帧,并在入口处的某一帧上标记时戳,经待测试设备传输后,在出口处也标记时戳,两个时戳之间的差值即为延时值,延时值以“毫秒或微妙”表示。在优选实施过程中,根据预设包长采用二分法对吞吐率进行测试确定第二最大性能指标。在优选实施例中,可以采用二分法实现吞吐率测试,具体测试方法如下初始速率设定为100%,如果发送的帧与接收的帧数量不相等,则使用50%速率继续测试;若此时发送的帧与接收的帧数量相等,则再使用75%速率进行测试,以此类推。在优选实施过程中,根据预设包长采用存储转发方式对延时值进行测试确定第二最大性能指标。在优选实施例中,延时值的测试方法可以包括比特转发和存储转发两种计算方式方式一、比特转发方式可以包括将入口处输入帧第I个比特到达被测设备至出口处输出帧的第I个比特输出时所用的时间间隔计为延时值;方式二、存储转发方式可以包括将入口处输入帧最后I个比特到达被测设备至出口输出帧的第I个比特输出时所用的时间间隔计为延时值;在该优选实施例中,采用存储转发的计算方式。下面结合图2和图3所示的优选实施方式对上述优选实施过程做进一步的描述。图2是根据本发明优选实施例的基准性能检测的网络拓扑示意图。如图2所示连接待测试设备,分别检测待测试设备在只开启防火墙策略和“防火墙+入侵防御+防病毒策略”全开状态下的吞吐率和延时值,并根据测试结果计算吞吐下降率和延时值变化幅度。在双向全双工模式下,对两个待测统一威胁管理设备A和B的一对接口分别测试在只开启防火墙策略和“防火墙+入侵防御+防病毒策略”全开状态下的吞吐率和延时值。该测试分别采用64、512、1518共三种RFC2544中定义的标准包长,并记录待测试设备在最优吞吐率时的延时值。测试结果如表I和表2所示表I
权利要求
1.一种设备的性能检测方法,其特征在于,包括 对只开启防火墙的待测试设备进行测试,得到所述待测试设备的第一最大性能指标; 对处在使用状态的所述待测试设备进行测试,得到所述待测试设备的第二最大性能指标,其中,所述使用状态包括开启防火墙状态、开启入侵防御状态,或者,所述开启防火墙状态、开启病毒防御状态,或者,所述开启防火墙状态、所述开启入侵防御状态以及所述开启病毒防御状态; 根据所述第一最大性能指标和所述第二最大性能指标的变化率对所述待测试设备的性能进行评估。
2.根据权利要求I所述的方法,其特征在于,当所述第一最大性能指标和所述第二最大性能指标均为吞吐率和/或延时值时,对处在所述使用状态的所述待测试设备进行测 试,得到所述待测试设备的所述第二最大性能指标包括 选取预设包长; 根据所述预设包长确定所述第二最大性能指标。
3.根据权利要求2所述的方法,其特征在于,根据所述预设包长采用二分法对所述吞吐率进行测试确定所述第二最大性能指标。
4.根据权利要求2所述的方法,其特征在于,根据所述预设包长采用存储转发方式对所述延时值进行测试确定所述第二最大性能指标。
5.根据权利要求I所述的方法,其特征在于,当所述第一最大性能指标和所述第二最大性能指标均为应用层吞吐量时,对处在所述使用状态的所述待测试设备进行测试,得到所述待测试设备的所述第二最大性能指标包括 对处在所述使用状态的所述待测试设备的测试中加入攻击样本和/或病毒样本,计算所述攻击样本和/或所述病毒样本的检出率; 在所述攻击样本和/或所述病毒样本的检出率保持不变时,获取所述第二最大性能指标。
6.一种设备的性能检测装置,其特征在于,包括 第一测试模块,用于对只开启防火墙的待测试设备进行测试,得到所述待测试设备的第一最大性能指标; 第二测试模块,用于对处在使用状态的所述待测试设备进行测试,得到所述待测试设备的第二最大性能指标,其中,所述使用状态包括开启防火墙状态、开启入侵防御状态,或者,所述开启防火墙状态、开启病毒防御状态,或者,所述开启防火墙状态、所述开启入侵防御状态以及所述开启病毒防御状态; 评估模块,用于根据所述第一最大性能指标和所述第二最大性能指标的变化率对所述待测试设备的性能进行评估。
7.根据权利要求6所述的装置,其特征在于,所述第二测试模块包括 选取单元,用于当所述第一最大性能指标和所述第二最大性能指标均为吞吐率和/或延时值时,选取预设包长; 确定单元,用于根据所述预设包长确定所述第二最大性能指标。
8.根据权利要求7所述的装置,其特征在于,所述确定单元,用于根据所述预设包长采用二分法对所述吞吐率进行测试确定所述第二最大性能指标。
9.根据权利要求7所述的装置,其特征在于,所述确定单元,用于根据所述预设包长采用存储转发方式对所述延时值进行测试确定所述第二最大性能指标。
10.根据权利要求6所述的装置,其特征在于,所述第二测试模块包括 计算单元,用于当所述第一最大性能指标和所述第二最大性能指标均为应用层吞吐量时,对处在所述使用状态的所述待测试设备的测试中加入攻击样本和/或病毒样本,计算所述攻击样本和/或所述病毒样本的检出率; 获取单元,用于在所述攻击样本和/或所述病毒样本的检出率保持不变时,获取所述第二最大性能指标。
全文摘要
本发明公开了一种设备的性能检测方法及装置,在上述方法中,对只开启防火墙的待测试设备进行测试,得到待测试设备的第一最大性能指标;对处在使用状态的待测试设备进行测试,得到待测试设备的第二最大性能指标,其中,使用状态包括开启防火墙状态、开启入侵防御状态,或者,开启防火墙状态、开启病毒防御状态,或者,开启防火墙状态、开启入侵防御状态以及开启病毒防御状态;根据第一最大性能指标和第二最大性能指标的变化率对待测试设备的性能进行评估。根据本发明提供的技术方案,可以与相关技术中的测试方法相互结合使用,为用户提供更加直观的反映统一威胁管理产品性能的指标参数。
文档编号H04L12/26GK102970186SQ20121051119
公开日2013年3月13日 申请日期2012年12月3日 优先权日2012年12月3日
发明者王瑞 申请人:网神信息技术(北京)股份有限公司, 网神科技(北京)有限公司