IPS测试方法测试集中在三个方面:性能(performance)、精确性(securityaccuracy)和可用性(usability)。1.性能测试(performance)任何一个IPS产品应该是可信的,不应该妨碍正常、合理的应用。1)吞吐量:IPS产品不会影响正常使用,哪怕在很多新的tcp链接快速建立的时候。同时要传感器在背景流提高到最大值时有能力检测并阻止攻击数据,减少漏报。设定好一定的攻击数据后,在零背景流量情况下检验IPS产品,确保其能正确报警;然后提高背景流量,以确定传感器在何时开始漏报。所有的测试重复在背景流量250m、500m、750m、1000m下测试。测试协议包括udp、tcp和混合协议数据,数据包453000个/s,链接状态保持20000个/s。可以使用ThreatEx和Avalanche结合测试。2)响应时间:任何一个网络中,响应时间都是很重要的。设想,在一个局域网内循环响应时间(roundtriplatency)是200-300微妙,而NIPS将最大循环响应时间提高到2.3毫秒,超过了7倍。如果传输一组大文件,将至少提高7倍的时间。NIPS的响应时间应该考虑到它的应用环境,比如1-2毫秒对于保护公网是一个可以接受的时间。而在广域网,应该不低于300微妙。第一步:使用发送单个连接,计算通过IPS的时间来估算响应时间。第二步:可以使用Avalanche产生背景。3)流量管理(新增)IPS对流量进行细分并加以控制是非常必要的。它的限流功能可以实现企业网带宽资源的有序分配,达到保护企业关键业务的目的。测试UDP限流,使用SmartBits的SmartApplication软件向IPS发送超过限流带宽的UDP报文,如图7所示。通过比较接收到的UDP流量,判断IPS是否可以进行针对UDP的流量限制。4)稳定性和可靠性这种方法将测试在各种极端情况下IPS的稳定性。第一部分,使用包含攻击特征的数据长时间测试,IPS应当能报警并阻止攻击数据。测试方法:Avalanche发送正常的数据做背景流,同时回放攻击数据包,测试时间为一天以上(?)第二部分,使用ISIC发送畸形的数据流来测试压迫协议堆栈八小时以上。设备仍然可以检测并阻止攻击。使用工具:isic-0.06.tgz(工具已找到,但未测试)2.准区性测试(securityaccuracy)1)检测的精确性--这组测试验证IPS不妨碍正常的网络行为,但是可以检测并阻止各种常见的攻击行为。两方面都很重要。将正常的数据,和一些极端的数据放在一起,IPS让这些数据通过,不会报警。测试步骤:可以选用ThreatEx的Fuzzing数据来测试测试结果:IPS不报警IPS会报警并阻止普通的攻击,端口扫描或者拒绝服务攻击。测试方法:IPS只配置检测策略IPS配置阻止策略和检测策略一定量的CVE编号中存在的及时报警但不阻止及时报警并阻止攻击数据*端口扫描测试及时报警但不阻止及时报警并阻止SYN-flood及时报警但不阻止及时报警并阻止*建议包括:http,ftp,mail,database,smb,rpc,dos,后门木马,端口扫描等类型。测试工具:ThreatEx2)抵抗逃避技术--这组测试验证IPS可以检测各种常见的逃避技术。测试分为四个部分。基本测试:IPS检测并阻止没有使用逃避技术的常见攻击。测试工具:ThreatEx(也可以使用真实的攻击)数据包分片和数据流分割:通过fragroute使用逃避技术发送基本的http攻击数据。(tcp分片和ip分片)。使用工具:fragroute模糊URL:重复基本的http攻击数据,同时使用工具(WhiskerWebservervulnerabilityscanner)发送通过模糊技术处理过的url。使用工具:whisker-2.0.tar.gz(工具已找到,但未测试)混合逃避技术:包括重复基本攻击数据和特殊的攻击数据(改变默认端口;查ftp命令种插入空格;ftp数据流种插入telnetopcodes;RPC碎片)。使用工具:ADMmutate-0.8.2.tar.gz(一个测试nids的工具,已找到,但未测试过)3)并发链接数测试--如果IPS追踪tcp连接状态,当状态
表
关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf
已满,或者不能跟上新建链接的速度时,将会引起拒绝服务。也就是说IPS应当考虑到连接状态的总数量和每秒新建链接的数量。第一部分,回放大量的攻击数据包(没有建立真正的链接)。IPS不应该报警。使用工具:IrisNetworkTrafficAnalyzer第二部分,通过提高建立连接的数量,检测并阻止新的攻击数据,但不影响正常的数据使用。可以使用Avalanche和Reflector进行测试。对于企业级的IPS应至少能保持数十万的并发连接数。并发连接数:50万;100万;通过仪器测试其极值;3.可用性(usability)--经过大量的性能测试和功能测试,得到IPS产品的评估结果。其他方面的评估还应该包括:安装,配置,策略编辑,警报上传,产生报告和结果分析等方面。测试其他方面的时候可以同时测试。