一种用于网络安全监测设备的测试系统和测试床的制作方法
本发明属于网络安全领域,涉及针对网络安全设备的测试床构建方法,特别涉及对网络安全监测设备的测试床。
背景技术:
网络入侵检测系统、网络安全审计系统等网络安全监测设备在网络信息系统中的普及性应用,产生了对这些设备进行安全性测试的现实需求。最早,对网络安全监测设备的测试通常是手工进行的,利用一些黑客工具软件来产生安全事件,但这种测试非常耗时耗力,测试环境的搭建和复原都十分麻烦,使得测试效率非常低下;随后,出现了录播重放技术,通过提取网络攻击等安全事件的特征,或直接捕获网络攻击数据包,然后通过特征包或网络攻击数据包的重放来进行测试;由于重放的网络流量并不是真实的网络攻击数据,常会引起网络安全监测设备误警或漏警,从而得不到正确测试结果,为了提高网络数据的真实度,又出现了可定制的录播重放技术,即可根据现场测试环境,对网络数据包中的参数(ip地址、时间戳等)进行修改后再进行流量重放。
当然,上面提到的仅仅是单一的测试技术,即使是可定制的流量重播技术,也仅仅是把网络攻击流量输送到交换机中,而并没有使网络攻击流量在网络信息系统中正常流动(即一个交换机中的跨端口数据交换,或多交换机之间的数据交换),本质上讲这些网络流量仍然是假的。而且,目前的对网络安全监测设备的测试,还没有利用系统化的测试床,测试环境的搭建都非常随意和简单,难以对网络安全监测设备的监测能力进行充分的测试。
因此,如何使测试的网络安全事件流量是真实产生的,并且是可定制自动产生的,是提高测试效率的关键。而且,在解决自动化测试效率问题后,如何规范测试内容、测试环境和测试过程,也已成为目前网络安全监测设备测试中亟待解决的技术问题。为此,本发明提出了一种用于网络安全监测设备的测试系统和测试床,来对测试工具、测试环境、测试内容和测试方法等多个方面进行明确规范,从而有效解决测试中存在的上述问题。
技术实现要素:
本发明的目的,是为网络入侵检测系统和网络流量监控审计系统等网络安全监测设备的测试,提供一种自动化的测试系统和规范化的测试床,使测试工具、测试方法、测试环境、测试内容和测试结果评判等测试要素得到清晰的描述,从而解决目前测试中存在的准确性、效率低、内容不完整、过程不规范等种种问题,大幅促进测试标准化水平、测试能力和效率的提高。
本发明提供的一种用于网络安全监测设备的测试系统,由管理控制模块、安全事件模块和背景流量模块组成,其特征在于,管理控制模块用于测试系统的管理配置,创建测试项目,对测试过程进行控制调度,分析测试数据得到测试结果,出具测试报告;安全事件模块用于产生网络安全事件数据,并发送到测试床中;背景流量模块用于产生测试所需的网络背景流量数据,并发送到测试床中;管理控制模块、安全事件模块和背景流量模块通过网络进行连接。
所述测试系统的管理控制模块包括测试管理单元、数据收集与分析单元、测试用例库和测试报告单元;其中,所述测试管理单元用于管理测试项目和配置测试用例,控制测试进程;所述数据收集与分析单元用于收集并分析受测网络安全监测设备的监测数据,给出测试结果;所述测试用例库用于管理维护所述测试系统的所有测试用例,使每个测试用例与每个网络安全事件数据一一对应;所述测试报告单元用于根据测试结果生成测试报告。
所述数据收集与分析单元还具有与受测网络安全监测设备的交互接口,能够通过该接口自动获得受测网络安全监测设备对网络安全事件的监测数据。
所述测试系统的安全事件模块包括安全事件库和安全事件产生单元;其中,所述安全事件库用于管理维护网络安全事件数据,使每个网络安全事件数据与每个测试用例一一对应;所述安全事件产生单元用于根据网络安全事件数据在测试床中产生网络安全事件。所述安全事件产生单元分为客户端和服务端,作为网络通信的两端,可根据测试用例的要求,部署与测试床中的不同交换机连接,在测试床中产生网络安全事件。
所述网络安全事件至少包括网络漏洞利用、挂马网站访问、木马远程控制与攻击、蠕虫攻击、sql注入攻击、跨站脚本攻击和ddos攻击。
所述测试系统的背景流量模块分为发送单元和接收单元,作为网络通信的两端,可根据测试用例的要求,部署与测试床中的不同交换机连接,根据协议类型、包大小和流量大小参数,在测试床中定制产生测试所需的网络背景流量。
本发明提供的一种用于网络安全监测设备的测试床,包括网络系统,其特征在于,网络系统具有由至少三级树形级联的交换机组成的网络,每台交换机均设置至少一个端口为镜像端口;网络系统与所述测试系统以及受测网络安全监测设备通过网络进行连接,支撑所述测试系统和受测网络安全监测设备的运行。
所述测试床中交换机的镜像端口与受测网络安全监测设备的网络引擎连接,使其能够获取网络安全事件数据和背景流量数据。当所述测试床的所有交换机均设置n个(n>1)镜像端口时,就能够支持同时对n个受测网络安全监测设备的测试。
本发明的有益效果是,通过提供一种全新的测试系统和测试床,明确规范了测试网络安全监测设备的测试工具、测试环境、测试内容和测试方法,解决了当前测试中存在的效率低、准确性不够和测试内容不全等问题,大幅度提高了测试能力和效率。
附图说明
图1是本发明测试系统的结构框图。
图2是本发明测试床的结构框图。
图3是本发明测试床的一种应用部署示意图。
图4是一种利用测试系统和测试床进行测试的方法的流程图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细的说明。
图1是本发明测试系统的结构框图。所述测试系统由管理控制模块、安全事件模块和背景流量模块组成;其中管理控制模块用于测试系统的管理配置,创建测试项目,对测试过程进行控制调度,分析测试数据得到测试结果,出具测试报告;安全事件模块用于产生网络安全事件数据,并发送到测试床中;背景流量模块用于产生测试所需的网络背景流量数据,并发送到测试床中;管理控制模块、安全事件模块和背景流量模块通过网络进行连接。
所述测试系统的管理控制模块包括测试管理单元、数据收集与分析单元、测试用例库和测试报告单元;其中,所述测试管理单元用于管理测试项目和配置测试用例,控制测试进程;所述数据收集与分析单元用于收集并分析受测网络安全监测设备的监测数据,给出测试结果;所述测试用例库用于管理维护所述测试系统的所有测试用例,使每个测试用例与每个网络安全事件数据一一对应;所述测试报告单元用于根据测试结果生成测试报告。
所述测试系统的管理控制模块以软件形式实现,运行在单独的服务器上,通常会连接在测试床的一级交换机上。管理控制模块会为每个受测网络安全监测系统的测试创建一个测试项目,然后从测试用例库中选择相应的测试用例构成该测试项目的测试用例集。
所述数据收集与分析单元还具有与受测网络安全监测设备的交互接口,能够通过该接口自动获得受测网络安全监测设备对网络安全事件的监测数据。该接口定义了标准化的数据接口规范,受测网络安全监测设备能够根据该标准接口规范,定制监测数据提交接口,从而使所述数据收集与分析单元能够自动获取受测网络安全监测设备的监测数据。该接口还支持定制,可根据受测网络安全监测系统的监测数据提交接口规范,进行接口的定制。该接口的关键内容包括:
交互接口::=<受测网络安全监测设备标识><网络安全事件标识><网络安全事件描述><发生时间>。
所述测试系统的安全事件模块包括安全事件库和安全事件产生单元;其中,所述安全事件库用于管理维护网络安全事件数据,使每个网络安全事件数据与每个测试用例一一对应;所述安全事件产生单元用于根据网络安全事件数据在测试床中产生网络安全事件。所述安全事件产生单元分为客户端和服务端,作为网络通信的两端,可根据测试用例的要求,部署与测试床中的不同交换机连接,在测试床中产生网络安全事件。
所述网络安全事件至少包括网络漏洞利用、挂马网站访问、木马远程控制与攻击、蠕虫攻击、sql注入攻击、跨站脚本攻击和ddos攻击。
每一个网络安全事件是一次完整网络攻击的网络数据,通常包括通信双方多次的往来数据。这里通过安全事件产生单元的客户端和服务端,真实模拟网络攻击方和被攻击方的攻击和应答数据,在网络中完整展现网络攻击行为。重要的是,网络攻击数据是在网络中真实流动的,可跨子网、跨交换机流动,这与过去录播重放技术只往交换机里某个端口灌流量完全不同。
所述测试系统的背景流量模块分为发送单元和接收单元,作为网络通信的两端,可根据测试用例的要求,部署与测试床中的不同交换机连接,根据协议类型、包大小和流量大小参数,在测试床中定制产生测试所需的网络背景流量。与安全事件产生单元原理一致,这里通过发送单元和接收单元,真实模拟网络会话的请求方和应答方,在网络中真实产生网络流量,并可跨子网、跨交换机流动,这与过去录播重放技术只往交换机里某个端口灌流量完全不同。
网络背景流量用于测试网络安全监测设备的性能,通常,网络安全监测系统能够在干净、无流量的网络环境中准确发现网络攻击事件,而一旦出现一定量的网络背景流量数据,网络安全监测设备可能由于性能不足而出现丢包或分析出错的情况,导致误报率或漏报率的产生。不同协议类型、包大小和流量大小的网络背景流量数据,能够从多个方面测试网络安全监测设备的性能。
图2是本发明测试床的结构框图。该测试床包括一具有特殊要求和配置的网络系统。该网络系统具有由至少三级树形级联的交换机组成的网络,每台交换机均设置至少一个端口为镜像端口;网络系统与所述测试系统以及受测网络安全监测设备通过网络进行连接,支撑所述测试系统和受测网络安全监测设备的运行。
所述网络系统中交换机的镜像端口与受测网络安全监测设备的网络引擎连接,使其能够获取网络安全事件数据和背景流量数据。当所述测试床的所有交换机均设置n个(n>1)镜像端口时,就能够支持同时对n个受测网络安全监测设备的测试。
通常,网络安全监测设备分为网络引擎和监测控制台两部分,且网络引擎有多台分布式部署在网络的不同子网中。网络引擎与交换机的镜像端口连接,这样能够有条件获取流经交换机的所有数据;监测控制台则部署在网络的核心层中,通常与一级(核心)交换机连接。网络引擎负责采集网络数据、进行监测分析,发现网络安全事件,并向监测控制台告警。监测控制台除了显示告警数据,还能够对多个分布式网络引擎的告警数据进行综合分析,得到更深入全面的安全事件信息。如果在网络中的所有交换机均设置2个镜像端口,就能够同时对2个网络安全监测设备进行测试。同理,如果在网络中的所有交换机均设置3个镜像端口,就能够同时对3个网络安全监测设备进行测试。同时测试支持的最大数量,取决于交换机的性能,如果其端口镜像能力难以支持线速的流量镜像,造成明显的丢包,那么就会影响测试的准确性。
图3是本发明测试床的一种应用部署示意图。为便于清楚说明本发明,这里采用了一个最直观简洁的测试床结构。该测试床由三台交换机组成,分别为一级、二级、三级交换机;三级交换机的级联端口与二级交换机普通端口连接,二级交换机的级联端口与一级交换机普通端口连接;这样部署来模拟一个典型三层网络的核心层、汇聚层和接入层。三台交换机均仅设置一个镜像端口。受测的网络安全监测设备有三个网络引擎,分别与三个交换机的镜像端口连接;其监测控制台与一级交换机连接。本发明测试系统的管理控制模块,与一级交换机连接;安全事件模块的安全事件产生单元,其客户端与三级交换机连接,其服务端与一级交换机连接,这样能够产生流经整个三层网络的网络安全事件数据;背景流量模块的发送单元与三级交换机连接,接收单元与一级交换机连接,这样也能够产生流经整个三层网络的网络背景流量数据。
图4是一种利用测试系统和测试床进行测试的方法的流程图。该方法包括如下几个主要步骤:
s1:测试系统的管理控制模块创建测试项目,选择相应的测试用例形成测试用例集,然后一个一个测试用例依次开始测试;
s2:根据具体的测试用例,测试系统的安全事件模块(和背景流量模块)在测试床中产生网络安全事件数据(和背景流量数据);
s3:受测网络安全监测系统监测网络安全事件;
s4:测试系统的管理控制模块获取受测网络安全监测系统的监测数据,分析得到该测试用例的测试结果;
s5:重复s2~s5直至测试用例集中所有的测试用例测试完成;
s6:测试系统的管理控制模块统计分析测试项目中所有测试用例的测试结果,出具测试报告。
在步骤s2中,功能测试并不需要背景流量模块,只有性能测试需要。
以上所述实施例仅表达了本发明的具体实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
- 还没有人留言评论。精彩留言会获得点赞!