網絡帶寬增加帶來的對設備吞吐量增長的要求比近期的北京暴雨有過之無不及,這也讓吞吐量成為評價一款網關安全設備的重要指標。對于入侵防御產品來說,在100%檢測漏洞時的吞吐量所能達到的峰值,正逐漸成為真實評價產品性能的重要指標。
日前,中國信息安全行業領導企業天融信,推出評價入侵防御產品性能的新標桿指標:滿檢速率。天融信公司在多年的入侵防御產品研發和測試經驗積累基礎上,結合國際測評機構的最新技術進展,提出了該評價入侵防御產品性能的新標桿指標。
入侵防御產品性能評測方法之前世今生
經過多年的高速度發展,入侵防御產品得到迅速普及,很多用戶已經構建起防火墻加入侵防御的網絡邊界防護系統。但是時至今日,一個問題一直困擾著廣大用戶和一些專業評測機構,這就是如何評價或者說如何測量一款入侵防御產品的真實性能。
“防火墻與入侵防御產品工作在網絡的不同層面,不能簡單地以網絡層的性能指標來評價應用層檢測產品的好壞:
最初的入侵防御產品性能評測方法現在還在被很多用戶使用,這就是簡單的以防火墻性能指標加上一個檢測率指標構成。這種方法有很多不合理的地方,要么只實現簡單的TCP保續和報文之間的拼接檢測,這樣雖然無法阻止大部分逃逸攻擊手段,但卻會在連接性能測試中表現優異;要么使得測試得出的吞吐值與真實環境中的實際性能差異巨大;
還有就是大多數入侵防御產品為了保障網絡暢通都設有內部的過載保護機制,即當檢測能力不夠時不再進行檢測,轉而直接轉發報文,在這種機制作用下,測試得到的吞吐性能實際上是設備不做任何檢測的最大轉發性能,顯然,這種性能值對用戶來講是毫無意義的。”天融信安全網關產品線經理劉彤說。
正是基于這一認識,國內某些行業用戶已經改變了對入侵防御產品性能的評價方法,以模擬網站訪問的http get數據流作為測試新建連接和吞吐性能的基礎。
眾所周知,http是互聯網最廣泛使用的協議,承載了大量的應用,也存在著嚴重的安全隱患,沒有哪一款入侵防御產品能夠忽略對其的檢測,所以以http get 32k文件作為測試流可以考察入侵防御產品真實的對網絡數據報文的檢測能力。
但是吞吐與檢測率之間仍然是分離的,測試吞吐時不測試檢測率,測試檢測率時不測試吞吐,這給很多入侵防御產品廠商帶來了“操作空間”,有些甚至設置了特殊“開關”用來在吞吐與檢測率測試之間進行狀態轉換,以取得各自的極限性能值。實際上,對于入侵防御產品來說吞吐與檢測率是同樣重要的性能指標,也是不可分割的一對共同體,那么有沒有一種方法能夠將兩者結合起來形成一個標準的標桿指標呢?答案是肯定的。
天融信公司推出的滿檢速率,滿足了吞吐與檢測率兩項同樣重要的性能指標。
滿檢速率的定義是:在入侵防御產品100%具有漏洞檢測能力的前提條件下能夠達到的最大應用層吞吐性能值。這里有兩個指標,一個是100%具有漏洞檢測能力,另一個是應用層吞吐,兩者必須同時達到,缺一不可。
滿檢速率的測試方法
滿檢速率的測試方法如下圖所示,分為三個步驟:
第一步是使用測試儀器測試入侵防御設備的檢測率,得到入侵防御設備能夠檢測的漏洞列表,應至少包括常見的嚴重漏洞,以及能夠阻止各種常用的逃逸方法,數量上至少達到1000種漏洞檢測能力;
第二步是把設備能夠檢測的漏洞列表組成一個攻擊檢測流,持續地低速循環輸入入侵防御設備,因為這些攻擊都是設備檢測率之內的攻擊,此時設備應具有100%檢測出來的能力,否則應視為產品故障;
第三步是使用測試儀器打入一個標準的http get 32k隨機文件的應用層吞吐流,并不斷加大這個流量直到入侵防御設備無法檢測出攻擊,即不再具有100%漏洞檢測能力為止,此時的http get流量即可作為滿檢速率性能值。
推薦閱讀
現實生活中,幾乎每個人都有好幾張銀行卡,其中也不乏很少使用的“閑置卡”。而正是這些不被“重用”的銀行卡,卻成了不法分子眼中的“香餑餑”。近日以來,犯罪分子“高價收購銀行卡”的行為日益猖獗,不少持卡人也>>>詳細閱讀
本文標題:天融信滿檢速率成評價IPS性能新標桿
地址:http://www.xglongwei.com/a/11/20120726/78254.html
網友點評
精彩導讀
科技快報
品牌展示