网络带宽增加带来的对设备吞吐量增长的要求比近期的北京暴雨有过之无不及,这也让吞吐量成为评价一款网关安全设备的重要指标。对于入侵防御产品来说,在100%检测漏洞时的吞吐量所能达到的峰值,正逐渐成为真实评价产品性能的重要指标。
日前,中国信息安全行业领导企业天融信,推出评价入侵防御产品性能的新标杆指标:满检速率。天融信公司在多年的入侵防御产品研发和测试经验积累基础上,结合国际测评机构的最新技术进展,提出了该评价入侵防御产品性能的新标杆指标。
入侵防御产品性能评测方法之前世今生
经过多年的高速度发展,入侵防御产品得到迅速普及,很多用户已经构建起防火墙加入侵防御的网络边界防护系统。但是时至今日,一个问题一直困扰着广大用户和一些专业评测机构,这就是如何评价或者说如何测量一款入侵防御产品的真实性能。
“防火墙与入侵防御产品工作在网络的不同层面,不能简单地以网络层的性能指标来评价应用层检测产品的好坏:
最初的入侵防御产品性能评测方法现在还在被很多用户使用,这就是简单的以防火墙性能指标加上一个检测率指标构成。这种方法有很多不合理的地方,要么只实现简单的TCP保续和报文之间的拼接检测,这样虽然无法阻止大部分逃逸攻击手段,但却会在连接性能测试中表现优异;要么使得测试得出的吞吐值与真实环境中的实际性能差异巨大;
还有就是大多数入侵防御产品为了保障网络畅通都设有内部的过载保护机制,即当检测能力不够时不再进行检测,转而直接转发报文,在这种机制作用下,测试得到的吞吐性能实际上是设备不做任何检测的最大转发性能,显然,这种性能值对用户来讲是毫无意义的。”天融信安全网关产品线经理刘彤说。
正是基于这一认识,国内某些行业用户已经改变了对入侵防御产品性能的评价方法,以模拟网站访问的http get数据流作为测试新建连接和吞吐性能的基础。
众所周知,http是互联网最广泛使用的协议,承载了大量的应用,也存在着严重的安全隐患,没有哪一款入侵防御产品能够忽略对其的检测,所以以http get 32k文件作为测试流可以考察入侵防御产品真实的对网络数据报文的检测能力。
但是吞吐与检测率之间仍然是分离的,测试吞吐时不测试检测率,测试检测率时不测试吞吐,这给很多入侵防御产品厂商带来了“操作空间”,有些甚至设置了特殊“开关”用来在吞吐与检测率测试之间进行状态转换,以取得各自的极限性能值。实际上,对于入侵防御产品来说吞吐与检测率是同样重要的性能指标,也是不可分割的一对共同体,那么有没有一种方法能够将两者结合起来形成一个标准的标杆指标呢?答案是肯定的。
天融信公司推出的满检速率,满足了吞吐与检测率两项同样重要的性能指标。
满检速率的定义是:在入侵防御产品100%具有漏洞检测能力的前提条件下能够达到的最大应用层吞吐性能值。这里有两个指标,一个是100%具有漏洞检测能力,另一个是应用层吞吐,两者必须同时达到,缺一不可。
满检速率的测试方法
满检速率的测试方法如下图所示,分为三个步骤:
第一步是使用测试仪器测试入侵防御设备的检测率,得到入侵防御设备能够检测的漏洞列表,应至少包括常见的严重漏洞,以及能够阻止各种常用的逃逸方法,数量上至少达到1000种漏洞检测能力;
第二步是把设备能够检测的漏洞列表组成一个攻击检测流,持续地低速循环输入入侵防御设备,因为这些攻击都是设备检测率之内的攻击,此时设备应具有100%检测出来的能力,否则应视为产品故障;
第三步是使用测试仪器打入一个标准的http get 32k随机文件的应用层吞吐流,并不断加大这个流量直到入侵防御设备无法检测出攻击,即不再具有100%漏洞检测能力为止,此时的http get流量即可作为满检速率性能值。

推荐阅读
现实生活中,几乎每个人都有好几张银行卡,其中也不乏很少使用的“闲置卡”。而正是这些不被“重用”的银行卡,却成了不法分子眼中的“香饽饽”。近日以来,犯罪分子“高价收购银行卡”的行为日益猖獗,不少持卡人也>>>详细阅读
本文标题:天融信满检速率成评价IPS性能新标杆
地址:http://www.lgo100.com/a/11/20120726/78254.html