圖:滿檢速率測試方法示意圖
滿檢速率的測試方法如上圖所示,分為三個步驟。第一步是使用測試儀器測試入侵防御設備的檢測率��,得到入侵防御設備能夠檢測的漏洞列表,應至少包括常 見的嚴重漏洞��,以及能夠阻止各種常用的逃逸方法��,數(shù)量上至少達到1000種漏洞檢測能力;第二步是把設備能夠檢測的漏洞列表組成一個攻擊檢測流�,持續(xù)地低 速循環(huán)輸入入侵防御設備�,因為這些攻擊都是設備檢測率之內(nèi)的攻擊,此時設備應具有100%檢測出來的能力����,否則應視為產(chǎn)品故障;第三步是使用測試儀器打入 一個標準的http get 32k隨機文件的應用層吞吐流,并不斷加大這個流量直到入侵防御設備無法檢測出攻擊���,即不再具有100%漏洞檢測能力為止�,此時的http get流量即可作為滿檢速率性能值����。
從以上的滿檢速率定義及其測試方法可以看到該性能值有以下特點:
1.可以相對客觀和真實地評價入侵防御產(chǎn)品的攻擊檢測能力����。由于測試過程中不間斷地完整地“重放”被測設備可檢測漏洞���,相當于不停頓地進行檢測率測 試��,迫使被測設備必須在整個測試過程中保持最大檢測能力�,加上應用層吞吐流量����,可以檢測出入侵防御產(chǎn)品在比較真實網(wǎng)絡流量環(huán)境中的攻擊檢測能力。
2.可以相對客觀和真實地評價入侵防御產(chǎn)品的吞吐性能�。在應用層吞吐流量測試過程中,始終確保被測設備具有攻擊檢測能力��,這樣得到的吞吐性能值是入侵防御產(chǎn)品可以正常發(fā)揮自身檢測功能時的最大性能值�,是具有實際參考意義的。
3.吞吐和檢測率結合��,沒有“操作空間”�。在滿檢速率的測試過程中,吞吐和檢測率始終是統(tǒng)一在一起的��,當檢測率不能滿足“滿檢”要求時,吞吐即刻中 止�����,這就要求被測試設備必須采用吞吐和檢測率均衡的配置策略����,不能采用偏向一方的極端設置,也就沒有了“操作空間”����。而吞吐和檢測率均衡配置正式入侵防御 產(chǎn)品在實際網(wǎng)絡環(huán)境部署的真實需要,因為在真實網(wǎng)絡環(huán)境中�����,流量和檢測總是同時發(fā)生的��。
當前市場上入侵防御產(chǎn)品的性能指標和測試方法還比較混亂����,沒有統(tǒng)一的標準�,導致用戶在選擇相關產(chǎn)品時存在很多誤區(qū),有些甚至是誤導�。目前��,天融信公 司已率先采用嚴苛的“滿檢速率”作為自主研發(fā)的網(wǎng)絡衛(wèi)士入侵防御產(chǎn)品(TopIDP產(chǎn)品)的企業(yè)內(nèi)部評價標準��。天融信還正在與國家相關權威機構合作��,相信 不久的將來�,“滿檢速率”將會成為評價入侵防御產(chǎn)品性能的新標桿���。
