专利名称:规则测试设备及方法
技术领域:
本发明涉及网络安全领域,更具体地,本发明涉及一种用于对网络安全设备进行测试的规则测试设备及其方法。
背景技术:
近年来,来自网络的安全威胁正在飞速增长。诸如蠕虫、病毒、间谍软件、DDoS攻击、垃圾邮件、网络资源滥用(P2P下载、即时通讯、网络游戏、在线视频等)等之类网络安全威胁或者它们的组合极大地困扰着网络用户,并且给基于网络的企业信息系统造成严重的破坏。诸如IDS (入侵检测系统)和IPS (入侵防御系统)等网络安全设备为企业网络的安全提供了保障。这些网络安全设备中存储了各种定义网络数据模式的规则,当网络安全防护设备检测到匹配所存储的规则的网络数据时,就认定这些网络数据存在网络安全问题。 随着威胁事件以及用户上网行为的不断增加,诸如IDS和IPS之类的网络安全设备需要支持的规则也会随之急速增长,这些网络安全设备的测试人员需要测试网络安全设备是否成功采用了这些规则。通常地,为了对网络安全设备进行测试,将网络安全设备置于真实的网络环境中, 并且使网络安全设备对正常的网络数据包和异常的网络数据包进行处理。当与某个规则相对应的异常网络数据包由网络安全设备所处理并触发了该网络安全设备中的某个规则时, 则会产生与该规则相对应的事件及相应的动作(允许或阻断数据包通过)。然而,在上述方案中,测试系统需要构建真实的网络环境来触发网络安全设备中的规则,这是费时费力的。如果有大量的规则条目需要进行检测,则需要人工手动进行网络数据包集的生成和回放,这导致时间及人力成本很高。
发明内容
鉴于上述问题,提出了一种克服上述技术缺陷或者至少部分地解决上述技术问题的规则测试设备及方法。据此,根据本发明的一个方面,提供了一种规则测试设备,用于对与之进行网络通信的待测试设备进行测试,所述规则测试设备包括规则存储器,用于存储规则以及与规则相对应的预期告警信息,所述规则定义了特定的网络数据模式;回放器,用于从所述规则存储器中读取所述规则,生成与所述规则相对应的网络数据包集,并且向所述待测试设备回放所述网络数据包集;监听器,用于在一预定延时期间监听所述待测试设备触发的告警信息;以及判断器,用于从所述规则存储器中读取所述预期告警信息,从所述监听器接收所监听的告警信息,并根据所监听的告警信息是否包含所述预期告警信息来产生有关所述待测试设备是否成功利用所述规则的测试结果。可选地,如果所监听的告警信息包含所述预期告警信息,则所述判断器产生所述待测试设备成功利用所述规则的测试结果;如果所监听的告警信息不包含所述预期告警信息,则所述判断器产生所述待测试设备未成功利用所述规则的测试结果。
可选地,所述预定延时从所述回放器向所述待测试设备回放所述网络数据包集开始。可选地,所述预定延时是根据与所述网络数据包集对应的延迟时间值以及与在所述规则测试设备与所述待测试设备之间进行数据传输所需的时间相对应的时间偏差值而设置的。可选地,所述规则测试设备还包括网络数据包集存储器,用于预先存储与所述预期告警信息相对应的网络数据包集,以及其中所述回放器通过从所述网络数据包集存储器中读取所预先存储的、与所述预期告警信息相对应的网络数据包集来生成与所述规则相对应的网络数据包集。可选地,所述规则存储器存储超过一条规则,所述回放器、监听器和判断器逐条规则地对所述待测试设备进行测试。可选地,所述规则测试设备还包括管理器,用于接收所述测试结果并且根据所述测试结果生成测试报告;以及显示器,其与所述管理器连接,用于显示所述测试结果。可选地,所述测试报告包括从所述监听器接收到的告警信息的事件标识符和事件描述信息、对应的网络数据包集信息、所述待测试设备的IP地址、以及测试结果。可选地,所述告警信息是简单网络管理协议(SNMP)陷阱告警信息。可选地,所述告警信息是Syslog告警信息。根据本发明的另一方面,提供了一种规则测试方法,用于对进行网络通信的待测试设备进行测试,所述方法包括步骤读取定义了特定网络数据模式的规则,生成与所述规则相对应的网络数据包集,并且向所述待测试设备回放所述网络数据包集;在一预定延时期间监听所述待测试设备触发的告警信息;以及根据所监听的告警信息是否包含与所述规则相对应的预期告警信息来产生有关所述待测试设备是否成功利用所述规则的测试结果。根据本发明的又一方面,提供了一种规则测试系统,包括至少一个待测试设备; 以及如上所述的规则测试设备,其经由网络耦接到所述至少一个待测试设备,以便对所述至少一个待测试设备进行测试。可选地,所述规则测试系统还包括网络连接设备,其中所述至少一个待测试设备以及所述规则测试设备均连接到所述网络连接设备,以便所述规则测试设备能够同时对所述至少一个待测试设备中的每一个进行测试。如上文所述,在规则测试工作中,经常需要对待测试设备不断升级的规则进行测试,而每条规则都是一定的网络事件触发的,如果每个网络事件都是真实的网络事件,则测试最有效,但是这样会花费很大的精力。因此,本发明通过向待测试设备回放网络数据包集来使其触发告警信息,也达到了测试规则有效性的效果。然而,对于成千上万条规则,每条都手动测试,这样的工作量是很大的。因此,为了减少测试中手动重复工作并且提高测试效率,本发明将回放网络数据包集以及统计测试结果的工作实现自动化,利用自动化的规则测试手段向指定的待测试设备回放网络数据包集,同时将所产生的测试结果与预期结果相比较,以统计测试的成功和失败。这避免了人工执行网络数据包集发送以及数据条目的逐条排查确认时间,极大地减少了工作量,提高了工作效率。本发明的这些和其它方面将从下文中描述的实施例中显而易见,并且将参照下文中描述的实施例而被阐明。
通过阅读下文对于本发明的优选实施方式的详细描述,本发明的各种其它的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的, 而并不应被视为对于本发明的限制。在各个附图中,使用相似的参考符号表示相似的元件 /步骤。在附图中
图1示意性地示出了根据本发明的一个实施例的规则测试设备的框图; 图2示意性地示出了根据本发明的一个实施例的规则测试方法的流程图;以及图3示意性地示出了根据本发明的一个实施例的规则测试系统的框图。
具体实施例方式下面结合附图和优选实施方式对本发明作进一步的描述。图1示意性地示出了根据本发明的一个实施例的规则测试设备100的框图。规则测试设备100可以用于对与之进行网络通信的待测试设备(例如,诸如IPS和IDS之类的各种网络安全设备)(未示出)进行测试,以确定待测试设备中是否成功利用了一个或者多个规则。规则定义了特定的网络数据模式。由于具有网络安全问题的数据通常具有异常或者特定的数据内容或者数据特征,而规则定义了从这些数据内容或者特征中提取的特定的网络数据模式,因此,待测试设备可以根据所处理的网络数据是否匹配该待测试设备中所采用的规则来确定所处理的网络数据是否存在网络安全威胁。如图1所示,规则测试设备100包括规则存储器110、回放器120、监听器130以及判断器140。规则存储器110用于存储规则以及与规则相对应的预期告警信息。由于规则定义了特定的网络数据模式,因此,当待测试设备正确地采用了该规则并且有与该规则相对应的异常网络数据流过该待测试设备时,待测试设备应当触发与该规则相对应的预期告警信息。规则存储器110中相关联地存储了规则以及与规则相对应的预期告警信息,从而便于判断待测试设备是否恰当地触发了预期告警信息。规则存储器110中可以存储多条规则以及规则相对应的预期告警信息。针对一条规则,也可以有多条相对应的预期告警信息。所有这些都在本发明的保护范围之内。回放器120适于从规则存储器110中读取规则,生成与规则相对应的网络数据包集,并且向待测试设备回放所述网络数据包集。回放器120在获取要进行测试的规则之后, 可以在从真实网络环境中抓取出来的网络数据包集中获得与所读取的规则相对应的网络数据包,以制造攻击流量。可选地,根据本发明的规则测试设备100还可以包括网络数据包集存储器(未示出),用于预先存储与预期告警信息相对应的网络数据包集。此时,回放器120可以通过从网络数据包集存储器中读取所预先存储的、与预期告警信息相对应的网络数据包集来生成与规则相对应的网络数据包集。上面虽然给出了由回放器120基于规则生成网络数据包集的几种实现方式,但是本领域的技术人员应当理解,所有可以基于规则来生成与该规则相对应的网络数据包集的方式都在本发明的保护范围之内。
然后,回放器120获得待测试设备的IP地址,并且向待测试设备逐一回放这些网络数据包。在回放每一个网络数据包时,都记录当前的时间。目的是便于排查问题,比如设备出现异常等情况,记录更多的信息可以便于问题的跟进和解决。在指定的网络数据包都回放完后,回放器120自动停止运行,以进行后续的测试过程。接着,待测试设备触发告警信息。该告警信息可选地是SNMP trap(简单网络管理协议陷阱)告警信息。SNMP是一系列协议组和规范,它们提供了一种从网络上的设备中收集网络管理信息的方法。SNMP也为设备向网络管理工作站报告问题和错误提供了一种方法。 SNMP trap信息是基于事件发送的,即只有当事件发生后才会发送,当其被应用于设备的规则告警上时,一旦触发规则告警的事件发生,就会发送SNMP trap告警信息,为管理者传递规则告警的实时情况,以便于管理者更快地知道设备的实时防护状况。而且,SNMP trap消息具有OID字段,能够很好地区分各种类型的告警信息,以便于确认各个告警条目。因此, 在不影响网络监控设备的工作流程的前提下,可以提供待测试设备事件触发的同步机制, 能够保证待测试设备实时、准确并无遗漏地触发SNMP trap告警信息。可替换地,该告警信息也可以是Syslog告警信息。Syslog是一种工业标准的协议,可以用来记录设备的日志。Syslog协议提供了一种传递方式,其允许设备通过网络将事件信息传递给事件信息接收器(也被称为日志服务器)。在通常情况下,通过Syslog协议将日志信息以用户数据报协议(UDP)的方式传送到远端的日志服务器,该远端的日志服务器需要通过syslogd来监听UDP端口 514,并根据syslog. conf中的配置来处理日志信息,将指定事件归档,以供后台数据库和响应之用。由于每个进程、应用程序、和操作系统都或多或少地被独立操作,在Syslog信息内容中会有不一致的地方,此时,可以根据配置需要而进行自定义。在根据本发明的实施例中,当触发规则告警的事件发生时,待测试设备触发告警信息,并通过Syslog协议将触发的告警信息转换为Syslog告警信息。然而,本发明并不仅限于这两种类型的告警信息,同样可以采用其它类型的产生告警信息的方式。监听器130在一预定延时期间监听待测试设备触发的告警信息,并且将告警信息输出到判断器140。其中该预定延时从回放器120向待测试设备回放所述网络数据包集开始,其可以包含与网络数据包对应的延迟时间值、以及与在规则测试设备100与待测试设备之间进行数据传输所需的时间对应的时间偏差值。可选地,该预定延时还可以包含待测试设备触发告警信息所需要的时间。此处的时延设计,是考虑到回放所有的网络数据包需要时间,网络数据包到达待测试设备需要时间,待测试设备触发告警需要时间,告警信息到达规则测试设备100中的监听器130也需要时间。另外,将所述时间偏差值设置为可调,这就能够很好地适应不同网络环境的需要, 一旦网络环境发生变化,可以根据实际测试结果对该时间偏差值进行调整网络时延较大时,使该时间偏差值的值加大;网络时延较小时,使该时间偏差值降低。根据本发明,上述延时的设计是为了使测试结果更加准确,因此应当考虑实际情况对延时值进行合理的设置,因为如果将延时设置得过长,就体现不了自动化规则测试的优势,而如果将延时设置得过短,就会造成规则测试结果的不精确。可选地,在告警信息是SNMP trap告警信息的情况下,监听器130开启一个SNMP trap会话,实时监听待测试设备触发的SNMP trap告警信息,此时监听器130的作用相当于SNMP trap告警信息的客户端;监听器130每接收到一条SNMP trap告警信息,就将其转换为如下信息条列发送SNMP trap告警信息的待测试设备的IP地址、当前接收到的告警信息的事件标识符(eventjd)、以及当前时间,以用于在判断器140中进行的判断。可替换地,在告警信息是Syslog告警信息的情况下,监听器130充当如上所述的日志服务器以接收Syslog告警信息,每接收到一条Syslog告警信息,就将其转换为如下信息条列发送Syslog告警信息的待测试设备的IP地址、当前接收到的告警信息的事件标识符(eventjd)、以及当前时间,以用于在判断器140中进行的判断。判断器140从规则存储器110中读取预期告警信息,从监听器130接收所监听的告警信息,并根据所监听的告警信息是否包含所述预期告警信息来产生有关所述待测试设备是否成功利用所述规则的测试结果。其中,如果判断所监听的各告警信息的事件标识符(eventjd)中包含预期告警信息的事件标识符,则判断器140产生所述待测试设备成功利用所述规则的测试结果(pass); 如果所监听的各告警信息的事件标识符(eventjd)中不包含预期告警信息的事件标识符, 则判断器140产生所述待测试设备未成功利用所述规则的测试结果(fail)。如上所述,判断所监听的各告警信息的事件标识符中是否“包含”预期告警信息的事件标识符,而不是简单地描述为判断是否从所监听的告警信息就是预期告警信息,原因是回放器120生成的与所述规则相对应的网络数据包集可能会触发多条相关的告警信息, 例如,一个攻击的特征是夹杂在通过http下载的包中,此时待测试设备会触发攻击的告警信息,同时也会触发http下载的告警信息,这些告警信息都是正确的告警信息。但是我们关心的是否有攻击的告警信息,所以要强调这种“包含”的关系。可选地,在要对规则存储器110中的多条规则进行测试的情况下,回放器120、监听器130和判断器140可以逐条规则地对待测试设备进行测试。而且,这种测试可以以自动化的方式进行,即,在回放器120、监听器130和判断器140针对一条规则对待测试设备 199进行了测试之后,还可以自动地读取下一条规则进行测试。可选地,根据本发明的规则测试设备100还包括管理器,用于接收测试结果并且根据测试结果生成测试报告;以及显示器,其与所述管理器连接,用于显示所述测试结果。无论测试结果是成功还是失败,都将测试结果记录到管理器中,并生成相应的测试报告,该测试报告包括从监听器130接收到的告警信息的事件标识符和事件描述信息、 对应的网络数据包的信息、待测试设备的IP地址、以及测试结果。产生测试报告可以帮助在规则测试结束后方便地对每个待测试设备的测试成功和失败的数量进行统计,同时也方便后续对历史测试结果的追踪查询。另外,在规则测试设备100中配备的显示器能够实现对于当前告警信息是否符合预期的实时查看。这样更有利于控制规则测试过程。如果发现开始的部分就有大量的测试结果为失败的条目,那么就可以暂停当前的规则测试,排查可能的原因,以保证测试结果的准确性和有效性。图2示出了根据本发明的一个实施例的规则测试方法200的流程图。所述规则测试方法200以步骤201开始,在步骤201中,读取定义了特定网络数据模式的规则,所述规则以及与其相对应的预期告警信息可以存储在参照图1描述的实施例中的规则存储器110中。类似于参照图1描述的实施例,可选地,所述规则可以是多条规则,针对一条规则,也可以有多条相对应的预期告警信息。然后,在步骤202中,生成与所读取的规则相对应的网络数据包集。所述与所读取的规则相对应的网络数据包集可以是从自真实网络环境中抓取出来的网络数据包集中获得的,其用途是制造攻击流量。可选地,规则测试方法200还可以在步骤201之后、步骤202之前包括预先存储与所述预期告警信息相对应的网络数据包集的步骤(未示出)。其中,所述网络数据包集可以被预先存储在参照图1描述的实施例中的网络数据包集存储器中。在此情况下,所述生成与所述规则相对应的网络数据包集的步骤202包括读取所预先存储的、与所述预期告警信息相对应的网络数据包集来生成与所述规则相对应的网络数据包集。同样,上面虽然给出了基于规则生成网络数据包集的几种实现方式,但是本领域的技术人员应当理解,所有可以基于规则来生成与该规则相对应的网络数据包集的方式都在本发明的保护范围之内。随后,在步骤203中,向所述待测试设备回放在步骤202中生成的与规则相对应的网络数据包集,以制造攻击流量。类似于参照图1描述的实施例,在回放每一个网络数据包时,都记录当前的时间。目的是便于排查问题,比如设备出现异常等情况,记录更多的信息可以便于问题的跟进和解决。在指定的网络数据包都回放完后,进行后续的测试过程。上面描述的步骤201、202、以及203适于由参照图1描述的实施例中的回放器120 执行。随后,待测试设备触发告警信息。类似于参照图1描述的实施例,所述告警信息可以是SNMP trap告警信息、Syslog告警信息、以及其它类型的适合的信息。之后,在步骤204中,在一预定延时期间监听所述待测试设备触发的告警信息。同样,该预定延时也具有参照图1描述的实施例中那样的设置,即,该预定延时从向所述待测试设备回放所述网络数据包集开始,可以包含与网络数据包对应的延迟时间值、以及与待测试设备进行数据传输所需的时间对应的时间偏差值。同样,将所述时间偏差值设置为可调,这就能够很好地适应不同网络环境的需要,一旦网络环境发生变化,可以根据实际测试结果对该时间偏差值进行调整。上述步骤204适于由参照图1描述的实施例中的监听器 130执行。随后,在步骤205中,根据所监听的告警信息是否包含与所述规则相对应的预期告警信息来产生有关所述待测试设备是否成功利用所述规则的测试结果的。步骤205适于由参照图1描述的实施例中的判断器140执行。其中,可选地,类似于参照图1描述的实施例,如果判断所监听的各告警信息的事件标识符(eventjd)中包含预期告警信息的事件标识符,则产生所述待测试设备成功利用所述规则的测试结果(pass);如果所监听的各告警信息的事件标识符(eventjd)中不包含预期告警信息的事件标识符,则产生所述待测试设备未成功利用所述规则的测试结果 (fail)。可选地,在要对多条规则进行测试的情况下,可以根据上述步骤201、202、203、 204、以及205,逐条规则地对待测试设备进行测试。而且,这种测试可以以自动化的方式进行,即,在根据上述步骤201-205针对一条规则对待测试设备进行了测试之后,还可以自动地读取下一条规则进行测试。
可选地,规则测试方法200在步骤205之后还可以包括以下步骤接收所述测试结果并且根据所述测试结果生成测试报告;以及显示所述测试结果。类似于参照图1描述的实施例,这些步骤的目的是帮助在规则测试结束后方便地对每个待测试设备的测试成功和失败的数量进行统计,同时也方便后续对历史测试结果的追踪查询;以及实现对于当前告警信息是否符合预期的实时查看,以更有利于控制规则测试过程。图3示出了根据本发明的一个实施例的规则测试系统500的框图。规则测试系统 500包括至少一个测试设备400、以及规则测试设备100。规则测试设备100可以是参照图1描述的实施例中的规则测试设备,其经由网络耦接到至少一个待测试设备400,以便对至少一个待测试设备400进行测试。其中,规则测试系统500中的待测试设备400和规则测试设备100可以如参照图1描述的实施例中那样进行操作。可选地,规则测试系统500还包括网络连接设备300,其中至少一个待测试设备 400以及规则测试设备100均连接到网络连接设备300,以便规则测试设备100可以同时对至少一个待测试设备400中的每一个进行测试。其中,可选地,网络连接设备300可以是集线器(Hub)、路由器、或者类似设备。另外,可选地,规则测试设备100在此选用双网卡,一个网卡连接内网,另一个网卡与该网络连接设备300连接。利用网络连接设备300进行广播的特点是实现对多台待测试设备400的同时测试。规则测试设备100将网络数据包集发送到网络连接设备300的一端,以对穿过网络连接设备300另一端的每一个接口,向各待测试设备400进行广播。待测试设备400可以具有多个网络接口,其中一个网口接在内网中,目的有二 一是方便控制;二是为了与规则测试设备100正常地通信,以将告警信息方式发送到规则测试设备100中。另外,可选地,待测试设备400是通过旁路部署的方式与网络连接设备300 进行连接的。另外,由于是同时批量测试多台待测试设备400中规则的有效性,因此记录每台待测试设备400的IP地址。并且,为了有针对性地察看测试结果,在最后生成的测试报告中要针对不同的待测试设备400分别出不同的报告。本发明使用自动化的规则测试设备和方法,使网络防护类产品规则测试的效率大大提高,这从以下几个方面可以看到
首先,本发明的应用环境的部署简单,支持对批量待测试设备同时进行测试。参与规则测试的待测试设备的加入成本较低-提供与待测试设备数目相当的网络连接设备端口即可(待测试设备也可以级连)。对于待测试设备只需要将监听端口设置为与网络连接设备相连;对于规则测试设备来说,只需要架设web服务,相比于前面提到的现有技术中对真实网络攻击环境的搭建(其中每一个攻击环境的搭建可能要耗费大量的人力和资源),本发明具有很大的优势。本发明通过向待测试设备回放网络数据包集来使其触发告警信息,同样达到了测试规则有效性的效果。另外,为了减少测试中手动重复工作并且提高测试效率,本发明将回放网络数据包集以及统计测试结果的工作实现自动化,利用自动化的规则测试手段向指定的待测试设备回放网络数据包集,同时将所产生的测试结果与预期结果相比较,以统计测试的成功和失败。这避免了人工执行网络数据包集发送以及数据条目的逐条排查确认时间,极大地减少了工作量,提高了工作效率。另外,本发明使用基于事件而触发的SNMP trap告警信息或者Syslog告警信息等等,从而实现了待测试设备事件触发的同步机制,能够保证待测试设备实时、准确并无遗漏地触发告警信息。另外,本发明具有对于网络环境的良好适用性。本发明提出向待测试设备回放网络数据包集之后在一预定延时内到达监听器的告警信息有效,该预定延时之后到达判断器的告警信息无效,该预定延时等于与数据包对应的延迟时间值和与在规则测试设备与待测试设备之间进行数据传输所需的时间对应的时间偏差值之和,并将该时间偏差值设置为可调。本发明排除了设备本身以及在设备之间进行传输的延时影响,对网络环境的要求降低, 能够很好地适应不同的网络环境的需要,增加了灵活性。本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的规则测试设备中的一些或者全部部件的一些或者全部功能。本发明还可以被实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中, 不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
权利要求
1.一种规则测试设备(100),用于对与之进行网络通信的待测试设备进行测试,所述规则测试设备(100)包括规则存储器(110),用于存储规则以及与规则相对应的预期告警信息,所述规则定义了特定的网络数据模式;回放器(120),用于从所述规则存储器(110)中读取所述规则,生成与所述规则相对应的网络数据包集,并且向所述待测试设备回放所述网络数据包集;监听器(130),用于在一预定延时期间监听所述待测试设备触发的告警信息;以及判断器(140),用于从所述规则存储器(110)中读取所述预期告警信息,从所述监听器 (130)接收所监听的告警信息,并根据所监听的告警信息是否包含所述预期告警信息来产生有关所述待测试设备是否成功利用所述规则的测试结果。
2.如权利要求1所述的规则测试设备,其中如果所监听的告警信息包含所述预期告警信息,则所述判断器(140)产生所述待测试设备成功利用所述规则的测试结果;如果所监听的告警信息不包含所述预期告警信息,则所述判断器(140)产生所述待测试设备未成功利用所述规则的测试结果。
3.如权利要求1所述的规则测试设备,所述预定延时从所述回放器(120)向所述待测试设备回放所述网络数据包集开始。
4.根据权利要求1-3中的任一个所述的规则测试设备,其中所述预定延时是根据与所述网络数据包集对应的延迟时间值以及与在所述规则测试设备(100)与所述待测试设备之间进行数据传输所需的时间相对应的时间偏差值而设置的。
5.根据权利要求1-3中的任一个所述的规则测试设备,还包括网络数据包集存储器, 用于预先存储与所述预期告警信息相对应的网络数据包集,以及其中所述回放器(120)通过从所述网络数据包集存储器中读取所预先存储的、与所述预期告警信息相对应的网络数据包集来生成与所述规则相对应的网络数据包集。
6.根据权利要求1-3中的任一项所述的规则测试设备,其中所述规则存储器(110)存储超过一条规则,所述回放器(120)、监听器(130)和判断器(140)逐条规则地对所述待测试设备进行测试。
7.根据权利要求1-3中的任一项所述的规则测试设备,其中所述规则测试设备(100) 还包括管理器,用于接收所述测试结果并且根据所述测试结果生成测试报告;以及显示器,其与所述管理器连接,用于显示所述测试结果。
8.根据权利要求7所述的规则测试设备,其中所述测试报告包括从所述监听器(130) 接收到的告警信息的事件标识符和事件描述信息、对应的网络数据包集信息、所述待测试设备的IP地址、以及测试结果。
9.如权利要求1-8中的任一个所述的规则测试设备,其中所述告警信息是简单网络管理协议陷阱告警信息。
10.如权利要求1-8中的任一个所述的规则测试设备,其中所述告警信息是Syslog告警信息。
11.一种规则测试方法(200),用于对进行网络通信的待测试设备进行测试,所述方法 (200)包括步骤读取定义了特定网络数据模式的规则(201),生成与所述规则相对应的网络数据包集 (202),并且向所述待测试设备回放所述网络数据包集(203);在一预定延时期间监听所述待测试设备触发的告警信息(204);以及根据所监听的告警信息是否包含与所述规则相对应的预期告警信息来产生有关所述待测试设备是否成功利用所述规则的测试结果(205)。
12.如权利要求11所述的规则测试方法,其中如果所监听的告警信息包含所述预期告警信息,则产生所述待测试设备成功利用所述规则的测试结果;如果所监听的告警信息不包含所述预期告警信息,则产生所述待测试设备未成功利用所述规则的测试结果。
13.如权利要求11所述的规则测试方法,所述预定延时从向所述待测试设备回放所述网络数据包集开始。
14.根据权利要求11-13中的任一个所述的规则测试方法,其中所述预定延时是根据与所述网络数据包集对应的延迟时间值以及与在所述规则测试设备(100)与所述待测试设备之间进行数据传输所需的时间相对应的时间偏差值而设置的。
15.根据权利要求11-13中的任一个所述的规则测试方法,还包括预先存储与所述预期告警信息相对应的网络数据包集的步骤,以及其中所述生成与所述规则相对应的网络数据包集包括读取所预先存储的、与所述预期告警信息相对应的网络数据包集来生成与所述规则相对应的网络数据包集。
16.根据权利要求11-13中的任一项所述的规则测试方法,其中所述规则包括超过一条规则,所述规则测试方法(200)逐条规则地对所述待测试设备进行测试。
17.根据权利要求11-13中的任一项所述的规则测试方法,所述方法(200)还包括步骤接收所述测试结果并且根据所述测试结果生成测试报告;以及显示所述测试结果。
18.根据权利要求17中所述的规则测试方法,其中所述测试报告包括所监听的告警信息的事件标识符和事件描述信息、对应的网络数据包集信息、所述待测试设备的IP地址、以及测试结果。
19.如权利要求11-18中的任一个所述的规则测试方法,其中所述告警信息是简单网络管理协议陷阱告警信息。
20.如权利要求11-18中的任一个所述的规则测试方法,其中所述告警信息是Syslog告敏_自口目 ι 口 ; K、。
21.一种规则测试系统(500),包括 至少一个待测试设备(400);以及如权利要求1-9中的任一项所述的规则测试设备(100),经由网络耦接到所述至少一个待测试设备(400),以便对所述至少一个待测试设备(400)进行测试。
22.如权利要求19所述的规则测试系统,还包括网络连接设备(300),其中所述至少一个待测试设备(400)以及所述规则测试设备(100)均连接到所述网络连接设备(300),以便所述规则测试设备(100)能够同时对所述至少一个待测试设备(400)中的每一个进行测试ο
全文摘要
本发明公开了一种规则测试设备(100),用于对与之进行网络通信的待测试设备进行测试,其包括规则存储器(110),用于存储规则以及与规则相对应的预期告警信息,所述规则定义了特定的网络数据模式;回放器(120),用于从所述规则存储器(110)中读取所述规则,生成与所述规则相对应的网络数据包集,并且向所述待测试设备回放所述网络数据包集;监听器(130),用于在一预定延时期间监听所述待测试设备触发的告警信息;以及判断器(140),用于从所述规则存储器(110)中读取所述预期告警信息,从所述监听器(130)接收所监听的告警信息,并根据所监听的告警信息是否包含所述预期告警信息来产生有关所述待测试设备是否成功利用所述规则的测试结果。
文档编号H04L12/26GK102209006SQ20111005204
公开日2011年10月5日 申请日期2011年3月4日 优先权日2011年3月4日
发明者刘海霞, 张秀梅, 白敏 , 韩红英, 韩鹏 申请人:北京神州绿盟信息安全科技股份有限公司