图:满检速率测试方法示意图
满检速率的测试方法如上图所示,分为三个步骤。第一步是使用测试仪器测试入侵防御设备的检测率,得到入侵防御设备能够检测的漏洞列表,应至少包括常见的严重漏洞,以及能够阻止各种常用的逃逸方法,数量上至少达到1000种漏洞检测能力;第二步是把设备能够检测的漏洞列表组成一个攻击检测流,持续地低速循环输入入侵防御设备,因为这些攻击都是设备检测率之内的攻击,此时设备应具有100%检测出来的能力,否则应视为产品故障;第三步是使用测试仪器打入一个标准的http get 32k随机文件的应用层吞吐流,并不断加大这个流量直到入侵防御设备无法检测出攻击,即不再具有100%漏洞检测能力为止,此时的http get流量即可作为满检速率性能值。
从以上的满检速率定义及其测试方法可以看到该性能值有以下特点:
1. 可以相对客观和真实地评价入侵防御产品的攻击检测能力。由于测试过程中不间断地完整地“重放”被测设备可检测漏洞,相当于不停顿地进行检测率测试,迫使被测设备必须在整个测试过程中保持最大检测能力,加上应用层吞吐流量,可以检测出入侵防御产品在比较真实网络流量环境中的攻击检测能力。
2. 可以相对客观和真实地评价入侵防御产品的吞吐性能。在应用层吞吐流量测试过程中,始终确保被测设备具有攻击检测能力,这样得到的吞吐性能值是入侵防御产品可以正常发挥自身检测功能时的最大性能值,是具有实际参考意义的。
3. 吞吐和检测率结合,没有“操作空间”。在满检速率的测试过程中,吞吐和检测率始终是统一在一起的,当检测率不能满足“满检”要求时,吞吐即刻中止,这就要求被测试设备必须采用吞吐和检测率均衡的配置策略,不能采用偏向一方的极端设置,也就没有了“操作空间”。而吞吐和检测率均衡配置正式入侵防御产品在实际网络环境部署的真实需要,因为在真实网络环境中,流量和检测总是同时发生的。
当前市场上入侵防御产品的性能指标和测试方法还比较混乱,没有统一的标准,导致用户在选择相关产品时存在很多误区,有些甚至是误导。目前,天融信公司已率先采用严苛的“满检速率”作为自主研发的网络卫士入侵防御产品(TopIDP产品)的企业内部评价标准。天融信还正在与国家相关权威机构合作,相信不久的将来,“满检速率”将会成为评价入侵防御产品性能的新标杆。
