圖:滿檢速率測(cè)試方法示意圖
滿檢速率的測(cè)試方法如上圖所示����,分為三個(gè)步驟����。第一步是使用測(cè)試儀器測(cè)試入侵防御設(shè)備的檢測(cè)率,得到入侵防御設(shè)備能夠檢測(cè)的漏洞列表�,應(yīng)至少包括常 見的嚴(yán)重漏洞,以及能夠阻止各種常用的逃逸方法���,數(shù)量上至少達(dá)到1000種漏洞檢測(cè)能力;第二步是把設(shè)備能夠檢測(cè)的漏洞列表組成一個(gè)攻擊檢測(cè)流�,持續(xù)地低 速循環(huán)輸入入侵防御設(shè)備��,因?yàn)檫@些攻擊都是設(shè)備檢測(cè)率之內(nèi)的攻擊��,此時(shí)設(shè)備應(yīng)具有100%檢測(cè)出來的能力,否則應(yīng)視為產(chǎn)品故障;第三步是使用測(cè)試儀器打入 一個(gè)標(biāo)準(zhǔn)的http get 32k隨機(jī)文件的應(yīng)用層吞吐流��,并不斷加大這個(gè)流量直到入侵防御設(shè)備無(wú)法檢測(cè)出攻擊���,即不再具有100%漏洞檢測(cè)能力為止��,此時(shí)的http get流量即可作為滿檢速率性能值���。
從以上的滿檢速率定義及其測(cè)試方法可以看到該性能值有以下特點(diǎn):
1.可以相對(duì)客觀和真實(shí)地評(píng)價(jià)入侵防御產(chǎn)品的攻擊檢測(cè)能力。由于測(cè)試過程中不間斷地完整地“重放”被測(cè)設(shè)備可檢測(cè)漏洞����,相當(dāng)于不停頓地進(jìn)行檢測(cè)率測(cè) 試,迫使被測(cè)設(shè)備必須在整個(gè)測(cè)試過程中保持最大檢測(cè)能力�,加上應(yīng)用層吞吐流量,可以檢測(cè)出入侵防御產(chǎn)品在比較真實(shí)網(wǎng)絡(luò)流量環(huán)境中的攻擊檢測(cè)能力�����。
2.可以相對(duì)客觀和真實(shí)地評(píng)價(jià)入侵防御產(chǎn)品的吞吐性能�����。在應(yīng)用層吞吐流量測(cè)試過程中�,始終確保被測(cè)設(shè)備具有攻擊檢測(cè)能力,這樣得到的吞吐性能值是入侵防御產(chǎn)品可以正常發(fā)揮自身檢測(cè)功能時(shí)的最大性能值���,是具有實(shí)際參考意義的�����。
3.吞吐和檢測(cè)率結(jié)合��,沒有“操作空間”�����。在滿檢速率的測(cè)試過程中��,吞吐和檢測(cè)率始終是統(tǒng)一在一起的���,當(dāng)檢測(cè)率不能滿足“滿檢”要求時(shí),吞吐即刻中 止�,這就要求被測(cè)試設(shè)備必須采用吞吐和檢測(cè)率均衡的配置策略,不能采用偏向一方的極端設(shè)置��,也就沒有了“操作空間”�����。而吞吐和檢測(cè)率均衡配置正式入侵防御 產(chǎn)品在實(shí)際網(wǎng)絡(luò)環(huán)境部署的真實(shí)需要,因?yàn)樵谡鎸?shí)網(wǎng)絡(luò)環(huán)境中��,流量和檢測(cè)總是同時(shí)發(fā)生的���。
當(dāng)前市場(chǎng)上入侵防御產(chǎn)品的性能指標(biāo)和測(cè)試方法還比較混亂�,沒有統(tǒng)一的標(biāo)準(zhǔn)��,導(dǎo)致用戶在選擇相關(guān)產(chǎn)品時(shí)存在很多誤區(qū)����,有些甚至是誤導(dǎo)。目前�,天融信公 司已率先采用嚴(yán)苛的“滿檢速率”作為自主研發(fā)的網(wǎng)絡(luò)衛(wèi)士入侵防御產(chǎn)品(TopIDP產(chǎn)品)的企業(yè)內(nèi)部評(píng)價(jià)標(biāo)準(zhǔn)。天融信還正在與國(guó)家相關(guān)權(quán)威機(jī)構(gòu)合作�����,相信 不久的將來����,“滿檢速率”將會(huì)成為評(píng)價(jià)入侵防御產(chǎn)品性能的新標(biāo)桿��。
