防御系统入侵检测系统性能测试更待完善

防御系统入侵检测系统性能测试更待完善

ID:23069580

大小:51.50 KB

页数:5页

时间:2018-11-03

防御系统入侵检测系统性能测试更待完善_第1页
防御系统入侵检测系统性能测试更待完善_第2页
防御系统入侵检测系统性能测试更待完善_第3页
防御系统入侵检测系统性能测试更待完善_第4页
防御系统入侵检测系统性能测试更待完善_第5页
资源描述:

《防御系统入侵检测系统性能测试更待完善》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、防御系统入侵检测系统性能测试更待完善~教育资源库  IPS性能测试待完善  对于任何一种网络产品,我们不可能不关心它的性能,IPS也如此。问题在于我们如何科学地评价它的性能。在没有拿出合理的测试方案前,对IPS产品进行性能的评比很可能是不公平的。  如今的入侵检测系统(IDS)实现的是被动监视功能,而入侵保护系统(IPS)能够进行实时监控,具备智能处理功能,可以主动阻截和转发数据包。Gartner也预测,将来的市场属于IPS。现在,市场人员也纷纷拾起IPS这个时髦词汇并为之奔走。就像当年的VPN大潮,每个与virtualization或privacy相关

2、的产品都打上VPN的标签。如今,各式各样的IPS产品开始涌向市场。  前一段时间,美国《Netdash;吞吐量和延迟相同的。有一种观点认为,如果IPS厂商希望将这些设备放在生产环境中进行测试,那么这些设备必须具备足够的速度和可靠性,至少应当与那些被替换掉的交换机和路由器不相上下。当然,测试者也赞同这一观点。  但除此之外,大家实在无法在其他问题上达成共识,因为IPS在一些最基本的特性方面存在很大的差别。某些系统在网络上以集线器的形式存在,有一些则更像是交换机,还有一些则是以路由器的方式运行的。第2层交换机和第3层交换机的性能测试是两个完全不同的概念。  

3、可以假设这样一种情形,使用测试二层或三层设备的方法来测试IPS。在测试中,可能获得有关吞吐量、延迟、抖动等类似项目的数字。但问题是,大家绝对不可能从这些测试结果中了解系统作为IPS的表现究竟如何。测试的项目中并不包含安全性。而且此类性能测试甚至不可能通过一种有意义的方法来获得真正的性能。总之,如果将IPS系统设置为第七层检查,或是二/三层的转发,那么两者的性能表现肯定会有巨大的差别。  要想取得可比较的、可重复的性能统计数字,最大的障碍并不是说服多个厂商在IPS的定义上达成共识。最基本的测试只不过是让流量通过这些设备,并了解其具体表现。这样的测试完全是可

4、以重复的,但它也是毫无用处的。我们关心的不是这些设备能否让网络流量通过,而是这些设备在面临网络攻击时的表现究竟怎样。  这也产生了另外两个更为复杂的性能问题,即:应当通过哪些流量?应当阻断哪些攻击?当各种类型的攻击开始向IPS发难时,可以想见,各类IPS的表现也是千差万别的。IPS可能选择以随机的方式丢弃包,从而保护它身后的系统。IPS也可以对包进行延迟处理,希望通过这种方式来抵御SYNflood攻击。由于IPS在受到网络攻击时会改变自己原有的特性,因此又产生了新的问题:究竟应当对哪些特性和性能进行测试?  如果大家希望IPS能够区分正常的和恶意的流量,

5、那么就必须首先定义什么是正常的,什么是恶意的。不同的产品在设计之初以不同的方式对这类参数进行了定义,这就要看产品关注的是哪些类型的攻击。  有一种测试选项是,只向IPS发送正常的流量,但要对其进行配置,要求它搜索恶意的流量。在这种情形下,入侵保护系统只是进行搜索和监视,并且不丢弃任何包。在这种理想情况下,入侵保护系统可以在不受干扰的情况下给出性能数据。但是,这里所获得的结果与配置有很大的关系,而且与通过IPS的正常流量本身也有很大的关系。不同的流量会导致不同的系统表现。对于有些流量,入侵保护系统根本不需要进行任何深入的分析就可放行。而对于另外一些确实引发

6、响应的流量,入侵保护系统又必须保留其统计数字和计数结果。有时配置中还需要定义侦测恶意流量的探测水平。在所有各种情况下,如果同一产品的配置发生了变化,其性能也会表现出相当大的差别。  不过,在这种理想情况下,我们确实可以获得一些攻击出现时各种产品的性能信息。所以任何合理的IPS性能测试都必须包含一部分此类内容,也就是将正常的流量和恶意的流量混合在一起进行的运行测试。但这种测试的结果更难评价。  例如,可以假设要对比的产品是EcoIPS(一种基于内容的设备)和CaptusIPS(一种基于速率的设备)。我们首先驱使一些流量通过这些设备,然后再启动一个SYNfl

7、ood攻击。如果Captus系统的配置中有对SYNflood进行响应的配置内容,它将开始丢弃一些包。但是,应该启动Captus的四个不同攻击响应机制中的哪一个呢?这时候应该采集吞吐量数据还是应该终止发送流量呢?在这一过程中存在太多的选项,而且没人知道哪些选项是公正的、可重复的和可比较的。  Eco的入侵保护系统并不侦测SYNflood,它会很高兴地让所有的包都自由通过。那么,在这种情况下我们得到的是什么结果呢?结果当然是,Eco比Captus快,因为它不丢弃任何包。结果也可能是,Captus比Eco快,因为后者不能捕捉任何攻击。  谁都知道这种方法是不公

8、正的。那么,我们也可以将Captus和TopLayer放在一起进行比较,两者都是

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。