摘要:入侵检测系统(Intrusion Detection System,简称IDS),顾名思义,是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。本文将对IDS性能测试的几项指标和测试流程进行阐述,同时介绍一个入侵检测漏报率测试的实例。使用的测试工具是IXIA公司的IXIA400T,软件为IXExplorer。
1 IDS性能指标
入侵检测系统(Intrusion Detection System,简称IDS),顾名思义,是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象,它是网络安全防护体系的重要组成部分。要全面考察IDS产品,除了功能、易用性等考察外,性能测试是考察IDS产品的重要指标之一。IDS的性能测试指标可以分为两类:面向用户和面向开发。
(1)面向用户的指标
面向用户的性能指标主要考察IDS产品工作性能状况,主要包括:
●漏报率:系统在检测时出现漏报的概率。漏报:系统未能识别出入侵行为,将其作为正常行为放过。
●误报率:系统在检测时出现误报的概率。误报包括将正常行为判断为攻击而产生报警;将一种攻击错误的判断为另一种攻击而报警。
●事件库:也叫特征库。系统能够匹配检测的攻击种类数量的大小,能够横向体现系统检测能力。
●延迟时间:从攻击发生到系统检测到攻击的时间。延迟时间的长短直接关系到攻击破坏的程度。
●资源占用:系统工作时对资源的消耗情况。
●自身安全性:又称健壮性。系统对直接以自身为攻击目标的攻击的抵抗能力。
(2)面向开发的指标
除面向用户的性能指标外,IDS产品还有一些面向开发的性能指标,虽然这些指标不为用户了解,但这些指标也甚为重要,主要包括:
●每秒数据流量:每秒数据流量是指网络上每秒通过某节点的数据量。这个指标是考察系统性能的重要指标,一般用Mbit/s来衡量。流量越大,对IDS系统的压力就会越大。
●每秒抓包数:每秒抓包数是指网络传感器每秒能够捕获的包数。反映网络入侵检测系统网络嗅探器性能的重要的指标。抓包数越大,产生漏报率的可能性就越小。
●每秒能监控的网络连接数:网络连接的跟踪能力和数据包的重组能力是网络入侵检测系统进行协议分析、应用层入侵分析的基础。
●每秒能够处理的事件数:每秒能够处理的事件数,反映了检测分析引擎的处理能力和事件日志记录的后端处理能力。
2 IDS性能测试要点
2.1 测试流程
知己知彼,百战不殆。做性能测试也是一样。我们不能拿到一个设备,就急急忙忙的开始搭环境,开始测试。没有严格的计划,没有周全的布置,是不可能完成一项测试任务的。根据实际工作经验,我们总结了图1的流程图。下面将针对该流程中的几个重点部分进行一些阐述。
2.2 测试环境
测试环境的搭建是测试部署中较为重要的部分,它直接影响测试结果的准确性。为了使测试处于可控状态,避免更多的外部因素干扰测试结果的分析,在进行IDS性能测试时需要搭建一个封闭的网络环境。图2是我们进行鹰眼网络入侵检测系统产品面向用户的漏报率性能指标测试的环境图。需要注意的是,该拓扑图只是较通用的一个,在实际使用中,根据测试指标的不同,可能会有不同的测试环境部署。