IDS設(shè)備性能測試

摘要：入侵檢測系統(tǒng)（Intrusion Detection System，簡稱IDS），顧名思義，是對入侵行為的檢測。它通過收集和分析計算機網(wǎng)絡(luò)或計算機系統(tǒng)中若干關(guān)鍵點的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。本文將對IDS性能測試的幾項指標(biāo)和測試流程進行闡述，同時介紹一個入侵檢測漏報率測試的實例。使用的測試工具是IXIA公司的IXIA400T，軟件為IXExplorer。

1  IDS性能指標(biāo)

入侵檢測系統(tǒng)（Intrusion Detection System，簡稱IDS），顧名思義，是對入侵行為的檢測。它通過收集和分析計算機網(wǎng)絡(luò)或計算機系統(tǒng)中若干關(guān)鍵點的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象，它是網(wǎng)絡(luò)安全防護體系的重要組成部分。要全面考察IDS產(chǎn)品，除了功能、易用性等考察外，性能測試是考察IDS產(chǎn)品的重要指標(biāo)之一。IDS的性能測試指標(biāo)可以分為兩類：面向用戶和面向開發(fā)。

（1）面向用戶的指標(biāo)

面向用戶的性能指標(biāo)主要考察IDS產(chǎn)品工作性能狀況，主要包括：

●漏報率：系統(tǒng)在檢測時出現(xiàn)漏報的概率。漏報：系統(tǒng)未能識別出入侵行為，將其作為正常行為放過。

●誤報率：系統(tǒng)在檢測時出現(xiàn)誤報的概率。誤報包括將正常行為判斷為攻擊而產(chǎn)生報警；將一種攻擊錯誤的判斷為另一種攻擊而報警。

●事件庫：也叫特征庫。系統(tǒng)能夠匹配檢測的攻擊種類數(shù)量的大小，能夠橫向體現(xiàn)系統(tǒng)檢測能力。

●延遲時間：從攻擊發(fā)生到系統(tǒng)檢測到攻擊的時間。延遲時間的長短直接關(guān)系到攻擊破壞的程度。

●資源占用：系統(tǒng)工作時對資源的消耗情況。

●自身安全性：又稱健壯性。系統(tǒng)對直接以自身為攻擊目標(biāo)的攻擊的抵抗能力。

（2）面向開發(fā)的指標(biāo)

除面向用戶的性能指標(biāo)外，IDS產(chǎn)品還有一些面向開發(fā)的性能指標(biāo)，雖然這些指標(biāo)不為用戶了解，但這些指標(biāo)也甚為重要，主要包括：

●每秒數(shù)據(jù)流量：每秒數(shù)據(jù)流量是指網(wǎng)絡(luò)上每秒通過某節(jié)點的數(shù)據(jù)量。這個指標(biāo)是考察系統(tǒng)性能的重要指標(biāo)，一般用Mbit/s來衡量。流量越大，對IDS系統(tǒng)的壓力就會越大。

●每秒抓包數(shù)：每秒抓包數(shù)是指網(wǎng)絡(luò)傳感器每秒能夠捕獲的包數(shù)。反映網(wǎng)絡(luò)入侵檢測系統(tǒng)網(wǎng)絡(luò)嗅探器性能的重要的指標(biāo)。抓包數(shù)越大，產(chǎn)生漏報率的可能性就越小。

●每秒能監(jiān)控的網(wǎng)絡(luò)連接數(shù)：網(wǎng)絡(luò)連接的跟蹤能力和數(shù)據(jù)包的重組能力是網(wǎng)絡(luò)入侵檢測系統(tǒng)進行協(xié)議分析、應(yīng)用層入侵分析的基礎(chǔ)。

●每秒能夠處理的事件數(shù)：每秒能夠處理的事件數(shù)，反映了檢測分析引擎的處理能力和事件日志記錄的后端處理能力。

2  IDS性能測試要點

2.1  測試流程

知己知彼，百戰(zhàn)不殆。做性能測試也是一樣。我們不能拿到一個設(shè)備，就急急忙忙的開始搭環(huán)境，開始測試。沒有嚴(yán)格的計劃，沒有周全的布置，是不可能完成一項測試任務(wù)的。根據(jù)實際工作經(jīng)驗，我們總結(jié)了圖1的流程圖。下面將針對該流程中的幾個重點部分進行一些闡述。

圖1  測試流程圖

2.2  測試環(huán)境

測試環(huán)境的搭建是測試部署中較為重要的部分，它直接影響測試結(jié)果的準(zhǔn)確性。為了使測試處于可控狀態(tài)，避免更多的外部因素干擾測試結(jié)果的分析，在進行IDS性能測試時需要搭建一個封閉的網(wǎng)絡(luò)環(huán)境。圖2是我們進行鷹眼網(wǎng)絡(luò)入侵檢測系統(tǒng)產(chǎn)品面向用戶的漏報率性能指標(biāo)測試的環(huán)境圖。需要注意的是，該拓?fù)鋱D只是較通用的一個，在實際使用中，根據(jù)測試指標(biāo)的不同，可能會有不同的測試環(huán)境部署。

圖2  面向用戶的漏報率性能指標(biāo)測試環(huán)境圖

2.3  背景流構(gòu)造

針對IDS設(shè)備不同的性能指標(biāo)測試，測試的部署、實施也不同。例如IDS設(shè)備的漏報率測試，它需要考察設(shè)備在不同背景流量下的攻擊檢測能力，實施時需要構(gòu)造網(wǎng)絡(luò)或應(yīng)用背景流量。

測試實施過程中，通常這些背景流量的構(gòu)造會借助測試儀表或測試軟件來完成，有很多儀表廠商致力于網(wǎng)絡(luò)互聯(lián)設(shè)備性能測試設(shè)備的研制與生產(chǎn)，例如IXIA公司、Agilent公司等，這些測試設(shè)備提供了網(wǎng)絡(luò)互聯(lián)設(shè)備性能測試與評估手段。這些測試儀表都遵循相關(guān)的RFC標(biāo)準(zhǔn)，不但可以對網(wǎng)絡(luò)互聯(lián)設(shè)備進行性能測試，而且可以構(gòu)造豐富的Stream，F(xiàn)low，幫助用戶定義測試流量和進行流量分析。

2.4  攻擊數(shù)據(jù)產(chǎn)生

產(chǎn)生攻擊數(shù)據(jù)是進行IDS設(shè)備性能測試的重要環(huán)節(jié)之一，測試的指標(biāo)不同，構(gòu)造的攻擊數(shù)據(jù)也不同，既有對單一攻擊性能的測試，例如漏報率性能測試，也有對全面檢測能力的測試，例如事件庫性能測試。在鷹眼網(wǎng)絡(luò)入侵檢測系統(tǒng)產(chǎn)品性能測試中，我們采用了下列兩種攻擊數(shù)據(jù)的構(gòu)造方式：

（1）使用真實的攻擊工具

該方法的優(yōu)勢在于能夠很好地模擬實際攻擊環(huán)境，仿真度最高；但缺點是可能對測試環(huán)境造成破壞，并且實現(xiàn)方式比較復(fù)雜，會增加測試時長。

（2）使用抓包回放工具

該方法使用工具，如Ethereal等，抓取錄制攻擊數(shù)據(jù)報文，然后使用IRIS等工具，回放攻擊報文，模擬攻擊數(shù)據(jù)。該方法的優(yōu)勢在于實現(xiàn)快捷，操作方便，可以大大提高效率；但是錄制攻擊過程比較復(fù)雜，而且需要及時的更新錄制新的攻擊工具產(chǎn)生的數(shù)據(jù)。

2.5  測試分析

部署周全的測試計劃、搭建完善的測試環(huán)境、構(gòu)造準(zhǔn)確的測試數(shù)據(jù)、記錄真實的測試結(jié)果是設(shè)備性能測試過程所必需的，而測試結(jié)果的準(zhǔn)確分析是體現(xiàn)整個測試過程成果的重要階段，它需要采用科學(xué)、客觀、真實、有效的測試分析方法。

IDS性能測試是基于IDS系統(tǒng)整體工作的基礎(chǔ)上的，因此，測試結(jié)果數(shù)據(jù)僅僅具有指示性，并不能明確指出性能瓶頸的所在。在分析時可以遵循這樣的一個步驟來分析，即：觀察、初步假設(shè)、預(yù)測、回歸測試、分析、結(jié)論。

IDS的使用環(huán)境比較復(fù)雜，可能影響到測試結(jié)果的參數(shù)比較多，要根據(jù)實際的性能測試指標(biāo)來具體分析。例如IDS漏報率指標(biāo)測試中，影響該指標(biāo)的參數(shù)有：負(fù)載流量大小、包長大小、流量的協(xié)議類型、工作的探頭數(shù)、插件的設(shè)置等。而且在進行性能測試時還需要考慮CPU，MEMERY大小，緩存大小等參數(shù)因素。

下面列舉兩個實例來闡述在進行性能測試時如何從測試現(xiàn)象來進行測試分析，以幫助測試人員來理解測試分析的過程。

3  IDS性能測試實例

入侵檢測漏報率衡量的是IDS產(chǎn)品在一定背景流量下設(shè)備引擎的檢測能力，在實例中我們選用IXIA公司的IXIA 400T作背景流量產(chǎn)生儀。IXIA公司是高性能IP網(wǎng)絡(luò)測試解決方案的全球一流提供商。IXIA公司專注于開發(fā)IP網(wǎng)絡(luò)測試解決方案，以專家的眼光幫助客戶測試性能極限并找出缺陷。

3.1  實例一

（1）配置

背景流：使用IXExplorer發(fā)送。協(xié)議為TCP；源、目的IP在192.168.123.0～192.168.123.255之間隨機變動；源、目的MAC地址固定；端口隨機變動；包長為64byte；流數(shù)＝1條。

攻擊包：匿名登錄ftp服務(wù)器攻擊。使用IRIS發(fā)送。delay＝1ms。

IDS：單探頭；規(guī)則全配；服務(wù)全開。

（2）現(xiàn)象

其他條件不變，負(fù)載低于50％時，漏報率為0；負(fù)載為50％時，漏報率為2％；加大到80％時，漏報率陡增至100％（見圖3）。

圖3  實例一測試圖

（3）分析

負(fù)載加大，包長不變的情況下，嗅探網(wǎng)卡抓包數(shù)也在加大，同時系統(tǒng)需要處理的包數(shù)也在增大；從現(xiàn)象中能夠看到，系統(tǒng)在負(fù)載達到50％后性能降低厲害，可能是系統(tǒng)資源被占用過多引起；查看系統(tǒng)的CPU占用情況和內(nèi)存使用情況，發(fā)現(xiàn)負(fù)載達到50％后，內(nèi)存占用率急劇升高，在負(fù)載達到80％時，內(nèi)存僅剩余10M，系統(tǒng)處于不響應(yīng)狀態(tài)。

（4）結(jié)論

一般的情況下，系統(tǒng)的內(nèi)存在占用到70％后，已經(jīng)處于資源緊張的告警期；所以，我們可以判定，系統(tǒng)的處理能力在負(fù)載為50％時處于一個性能瓶頸，應(yīng)當(dāng)優(yōu)化系統(tǒng)在高負(fù)載情況下的處理能力。

3.2  實例二

（1）配置

背景流：使用IXExplorer發(fā)送。源、目的IP在192.168.123.0-192.168.123.255之間隨機變動；源、目的MAC地址固定；端口隨機變動；包長＝64byte；流數(shù)＝1條。

攻擊包：unicode攻擊。使用IRIS發(fā)送。Delay＝1ms。

系統(tǒng)：單探頭；規(guī)則全配；服務(wù)全開。

（2）現(xiàn)象

●背景流協(xié)議為TCP協(xié)議，負(fù)載低于40％時，系統(tǒng)漏報率保持為0；高于40％時，漏報率出現(xiàn)較快提升；100％負(fù)載時，漏報率高達80％。

●背景流協(xié)議為UDP協(xié)議，負(fù)載低于50％時，系統(tǒng)漏報率保持為0；高于50％時，漏報率出現(xiàn)提升；100％負(fù)載時，漏報率達到了70％（見圖4）。

圖4  實例二測試圖

（3）分析

首先，排除外部因素造成這兩組測試結(jié)果的差異。

其次，考慮到協(xié)議不同是這兩組測試的主要不同點，對2種協(xié)議的差異進行分析。眾所周知，UDP協(xié)議是面向無連接的協(xié)議，TCP是面向連接的協(xié)議。TCP傳輸不僅要完成三次握手，而且要對IP數(shù)據(jù)包進行組裝，以形成完整的會話數(shù)據(jù)，有時網(wǎng)絡(luò)傳感器還要對TCP傳輸進行流重組。所以，TCP的處理比UDP復(fù)雜的多，占用的CPU、內(nèi)存等系統(tǒng)資源也要多的多。

（4）結(jié)論

背景流協(xié)議類型的不同對系統(tǒng)的處理能力提出了不同的要求，應(yīng)當(dāng)以處理高要求協(xié)議的能力作為系統(tǒng)處理能力的設(shè)計標(biāo)準(zhǔn)。

4  結(jié)束語

IDS發(fā)展到今天，已經(jīng)從最開始作為防火墻的一個補充輔助角色，成長為一個獨立的、在網(wǎng)絡(luò)安全體系中占據(jù)重要地位的安全防護設(shè)備。因此，IDS產(chǎn)品性能的好壞，是決定一個安全體系的整體性能優(yōu)劣的關(guān)鍵因素之一，做好IDS性能測試非常重要。目前，隨著IDS應(yīng)用的擴大、技術(shù)的發(fā)展，對IDS產(chǎn)品的性能測試也提出更高的要求，這就要求測試人員要不斷學(xué)習(xí)新知識、新技術(shù)，在測試中提高技能，積累測試部署、實施、分析的經(jīng)驗。