IDS設(shè)備性能測(cè)試

摘要：入侵檢測(cè)系統(tǒng)（Intrusion Detection System，簡(jiǎn)稱(chēng)IDS），顧名思義，是對(duì)入侵行為的檢測(cè)。它通過(guò)收集和分析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。本文將對(duì)IDS性能測(cè)試的幾項(xiàng)指標(biāo)和測(cè)試流程進(jìn)行闡述，同時(shí)介紹一個(gè)入侵檢測(cè)漏報(bào)率測(cè)試的實(shí)例。使用的測(cè)試工具是IXIA公司的IXIA400T，軟件為IXExplorer。

1  IDS性能指標(biāo)

入侵檢測(cè)系統(tǒng)（Intrusion Detection System，簡(jiǎn)稱(chēng)IDS），顧名思義，是對(duì)入侵行為的檢測(cè)。它通過(guò)收集和分析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象，它是網(wǎng)絡(luò)安全防護(hù)體系的重要組成部分。要全面考察IDS產(chǎn)品，除了功能、易用性等考察外，性能測(cè)試是考察IDS產(chǎn)品的重要指標(biāo)之一。IDS的性能測(cè)試指標(biāo)可以分為兩類(lèi)：面向用戶(hù)和面向開(kāi)發(fā)。

（1）面向用戶(hù)的指標(biāo)

面向用戶(hù)的性能指標(biāo)主要考察IDS產(chǎn)品工作性能狀況，主要包括：

●漏報(bào)率：系統(tǒng)在檢測(cè)時(shí)出現(xiàn)漏報(bào)的概率。漏報(bào)：系統(tǒng)未能識(shí)別出入侵行為，將其作為正常行為放過(guò)。

●誤報(bào)率：系統(tǒng)在檢測(cè)時(shí)出現(xiàn)誤報(bào)的概率。誤報(bào)包括將正常行為判斷為攻擊而產(chǎn)生報(bào)警；將一種攻擊錯(cuò)誤的判斷為另一種攻擊而報(bào)警。

●事件庫(kù)：也叫特征庫(kù)。系統(tǒng)能夠匹配檢測(cè)的攻擊種類(lèi)數(shù)量的大小，能夠橫向體現(xiàn)系統(tǒng)檢測(cè)能力。

●延遲時(shí)間：從攻擊發(fā)生到系統(tǒng)檢測(cè)到攻擊的時(shí)間。延遲時(shí)間的長(zhǎng)短直接關(guān)系到攻擊破壞的程度。

●資源占用：系統(tǒng)工作時(shí)對(duì)資源的消耗情況。

●自身安全性：又稱(chēng)健壯性。系統(tǒng)對(duì)直接以自身為攻擊目標(biāo)的攻擊的抵抗能力。

（2）面向開(kāi)發(fā)的指標(biāo)

除面向用戶(hù)的性能指標(biāo)外，IDS產(chǎn)品還有一些面向開(kāi)發(fā)的性能指標(biāo)，雖然這些指標(biāo)不為用戶(hù)了解，但這些指標(biāo)也甚為重要，主要包括：

●每秒數(shù)據(jù)流量：每秒數(shù)據(jù)流量是指網(wǎng)絡(luò)上每秒通過(guò)某節(jié)點(diǎn)的數(shù)據(jù)量。這個(gè)指標(biāo)是考察系統(tǒng)性能的重要指標(biāo)，一般用Mbit/s來(lái)衡量。流量越大，對(duì)IDS系統(tǒng)的壓力就會(huì)越大。

●每秒抓包數(shù)：每秒抓包數(shù)是指網(wǎng)絡(luò)傳感器每秒能夠捕獲的包數(shù)。反映網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)嗅探器性能的重要的指標(biāo)。抓包數(shù)越大，產(chǎn)生漏報(bào)率的可能性就越小。

●每秒能監(jiān)控的網(wǎng)絡(luò)連接數(shù)：網(wǎng)絡(luò)連接的跟蹤能力和數(shù)據(jù)包的重組能力是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)進(jìn)行協(xié)議分析、應(yīng)用層入侵分析的基礎(chǔ)。

●每秒能夠處理的事件數(shù)：每秒能夠處理的事件數(shù)，反映了檢測(cè)分析引擎的處理能力和事件日志記錄的后端處理能力。

2  IDS性能測(cè)試要點(diǎn)

2.1  測(cè)試流程

知己知彼，百戰(zhàn)不殆。做性能測(cè)試也是一樣。我們不能拿到一個(gè)設(shè)備，就急急忙忙的開(kāi)始搭環(huán)境，開(kāi)始測(cè)試。沒(méi)有嚴(yán)格的計(jì)劃，沒(méi)有周全的布置，是不可能完成一項(xiàng)測(cè)試任務(wù)的。根據(jù)實(shí)際工作經(jīng)驗(yàn)，我們總結(jié)了圖1的流程圖。下面將針對(duì)該流程中的幾個(gè)重點(diǎn)部分進(jìn)行一些闡述。

圖1  測(cè)試流程圖

2.2  測(cè)試環(huán)境

測(cè)試環(huán)境的搭建是測(cè)試部署中較為重要的部分，它直接影響測(cè)試結(jié)果的準(zhǔn)確性。為了使測(cè)試處于可控狀態(tài)，避免更多的外部因素干擾測(cè)試結(jié)果的分析，在進(jìn)行IDS性能測(cè)試時(shí)需要搭建一個(gè)封閉的網(wǎng)絡(luò)環(huán)境。圖2是我們進(jìn)行鷹眼網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)產(chǎn)品面向用戶(hù)的漏報(bào)率性能指標(biāo)測(cè)試的環(huán)境圖。需要注意的是，該拓?fù)鋱D只是較通用的一個(gè)，在實(shí)際使用中，根據(jù)測(cè)試指標(biāo)的不同，可能會(huì)有不同的測(cè)試環(huán)境部署。

圖2  面向用戶(hù)的漏報(bào)率性能指標(biāo)測(cè)試環(huán)境圖

2.3  背景流構(gòu)造

針對(duì)IDS設(shè)備不同的性能指標(biāo)測(cè)試，測(cè)試的部署、實(shí)施也不同。例如IDS設(shè)備的漏報(bào)率測(cè)試，它需要考察設(shè)備在不同背景流量下的攻擊檢測(cè)能力，實(shí)施時(shí)需要構(gòu)造網(wǎng)絡(luò)或應(yīng)用背景流量。

測(cè)試實(shí)施過(guò)程中，通常這些背景流量的構(gòu)造會(huì)借助測(cè)試儀表或測(cè)試軟件來(lái)完成，有很多儀表廠(chǎng)商致力于網(wǎng)絡(luò)互聯(lián)設(shè)備性能測(cè)試設(shè)備的研制與生產(chǎn)，例如IXIA公司、Agilent公司等，這些測(cè)試設(shè)備提供了網(wǎng)絡(luò)互聯(lián)設(shè)備性能測(cè)試與評(píng)估手段。這些測(cè)試儀表都遵循相關(guān)的RFC標(biāo)準(zhǔn)，不但可以對(duì)網(wǎng)絡(luò)互聯(lián)設(shè)備進(jìn)行性能測(cè)試，而且可以構(gòu)造豐富的Stream，F(xiàn)low，幫助用戶(hù)定義測(cè)試流量和進(jìn)行流量分析。

2.4  攻擊數(shù)據(jù)產(chǎn)生

產(chǎn)生攻擊數(shù)據(jù)是進(jìn)行IDS設(shè)備性能測(cè)試的重要環(huán)節(jié)之一，測(cè)試的指標(biāo)不同，構(gòu)造的攻擊數(shù)據(jù)也不同，既有對(duì)單一攻擊性能的測(cè)試，例如漏報(bào)率性能測(cè)試，也有對(duì)全面檢測(cè)能力的測(cè)試，例如事件庫(kù)性能測(cè)試。在鷹眼網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)產(chǎn)品性能測(cè)試中，我們采用了下列兩種攻擊數(shù)據(jù)的構(gòu)造方式：

（1）使用真實(shí)的攻擊工具

該方法的優(yōu)勢(shì)在于能夠很好地模擬實(shí)際攻擊環(huán)境，仿真度最高；但缺點(diǎn)是可能對(duì)測(cè)試環(huán)境造成破壞，并且實(shí)現(xiàn)方式比較復(fù)雜，會(huì)增加測(cè)試時(shí)長(zhǎng)。

（2）使用抓包回放工具

該方法使用工具，如Ethereal等，抓取錄制攻擊數(shù)據(jù)報(bào)文，然后使用IRIS等工具，回放攻擊報(bào)文，模擬攻擊數(shù)據(jù)。該方法的優(yōu)勢(shì)在于實(shí)現(xiàn)快捷，操作方便，可以大大提高效率；但是錄制攻擊過(guò)程比較復(fù)雜，而且需要及時(shí)的更新錄制新的攻擊工具產(chǎn)生的數(shù)據(jù)。

2.5  測(cè)試分析

部署周全的測(cè)試計(jì)劃、搭建完善的測(cè)試環(huán)境、構(gòu)造準(zhǔn)確的測(cè)試數(shù)據(jù)、記錄真實(shí)的測(cè)試結(jié)果是設(shè)備性能測(cè)試過(guò)程所必需的，而測(cè)試結(jié)果的準(zhǔn)確分析是體現(xiàn)整個(gè)測(cè)試過(guò)程成果的重要階段，它需要采用科學(xué)、客觀、真實(shí)、有效的測(cè)試分析方法。

IDS性能測(cè)試是基于IDS系統(tǒng)整體工作的基礎(chǔ)上的，因此，測(cè)試結(jié)果數(shù)據(jù)僅僅具有指示性，并不能明確指出性能瓶頸的所在。在分析時(shí)可以遵循這樣的一個(gè)步驟來(lái)分析，即：觀察、初步假設(shè)、預(yù)測(cè)、回歸測(cè)試、分析、結(jié)論。

IDS的使用環(huán)境比較復(fù)雜，可能影響到測(cè)試結(jié)果的參數(shù)比較多，要根據(jù)實(shí)際的性能測(cè)試指標(biāo)來(lái)具體分析。例如IDS漏報(bào)率指標(biāo)測(cè)試中，影響該指標(biāo)的參數(shù)有：負(fù)載流量大小、包長(zhǎng)大小、流量的協(xié)議類(lèi)型、工作的探頭數(shù)、插件的設(shè)置等。而且在進(jìn)行性能測(cè)試時(shí)還需要考慮CPU，MEMERY大小，緩存大小等參數(shù)因素。

下面列舉兩個(gè)實(shí)例來(lái)闡述在進(jìn)行性能測(cè)試時(shí)如何從測(cè)試現(xiàn)象來(lái)進(jìn)行測(cè)試分析，以幫助測(cè)試人員來(lái)理解測(cè)試分析的過(guò)程。

3  IDS性能測(cè)試實(shí)例

入侵檢測(cè)漏報(bào)率衡量的是IDS產(chǎn)品在一定背景流量下設(shè)備引擎的檢測(cè)能力，在實(shí)例中我們選用IXIA公司的IXIA 400T作背景流量產(chǎn)生儀。IXIA公司是高性能IP網(wǎng)絡(luò)測(cè)試解決方案的全球一流提供商。IXIA公司專(zhuān)注于開(kāi)發(fā)IP網(wǎng)絡(luò)測(cè)試解決方案，以專(zhuān)家的眼光幫助客戶(hù)測(cè)試性能極限并找出缺陷。

3.1  實(shí)例一

（1）配置

背景流：使用IXExplorer發(fā)送。協(xié)議為T(mén)CP；源、目的IP在192.168.123.0～192.168.123.255之間隨機(jī)變動(dòng)；源、目的MAC地址固定；端口隨機(jī)變動(dòng)；包長(zhǎng)為64byte；流數(shù)＝1條。

攻擊包：匿名登錄ftp服務(wù)器攻擊。使用IRIS發(fā)送。delay＝1ms。

IDS：?jiǎn)翁筋^；規(guī)則全配；服務(wù)全開(kāi)。

（2）現(xiàn)象

其他條件不變，負(fù)載低于50％時(shí)，漏報(bào)率為0；負(fù)載為50％時(shí)，漏報(bào)率為2％；加大到80％時(shí)，漏報(bào)率陡增至100％（見(jiàn)圖3）。

圖3  實(shí)例一測(cè)試圖

（3）分析

負(fù)載加大，包長(zhǎng)不變的情況下，嗅探網(wǎng)卡抓包數(shù)也在加大，同時(shí)系統(tǒng)需要處理的包數(shù)也在增大；從現(xiàn)象中能夠看到，系統(tǒng)在負(fù)載達(dá)到50％后性能降低厲害，可能是系統(tǒng)資源被占用過(guò)多引起；查看系統(tǒng)的CPU占用情況和內(nèi)存使用情況，發(fā)現(xiàn)負(fù)載達(dá)到50％后，內(nèi)存占用率急劇升高，在負(fù)載達(dá)到80％時(shí)，內(nèi)存僅剩余10M，系統(tǒng)處于不響應(yīng)狀態(tài)。

（4）結(jié)論

一般的情況下，系統(tǒng)的內(nèi)存在占用到70％后，已經(jīng)處于資源緊張的告警期；所以，我們可以判定，系統(tǒng)的處理能力在負(fù)載為50％時(shí)處于一個(gè)性能瓶頸，應(yīng)當(dāng)優(yōu)化系統(tǒng)在高負(fù)載情況下的處理能力。

3.2  實(shí)例二

（1）配置

背景流：使用IXExplorer發(fā)送。源、目的IP在192.168.123.0-192.168.123.255之間隨機(jī)變動(dòng)；源、目的MAC地址固定；端口隨機(jī)變動(dòng)；包長(zhǎng)＝64byte；流數(shù)＝1條。

攻擊包：unicode攻擊。使用IRIS發(fā)送。Delay＝1ms。

系統(tǒng)：?jiǎn)翁筋^；規(guī)則全配；服務(wù)全開(kāi)。

（2）現(xiàn)象

●背景流協(xié)議為T(mén)CP協(xié)議，負(fù)載低于40％時(shí)，系統(tǒng)漏報(bào)率保持為0；高于40％時(shí)，漏報(bào)率出現(xiàn)較快提升；100％負(fù)載時(shí)，漏報(bào)率高達(dá)80％。

●背景流協(xié)議為UDP協(xié)議，負(fù)載低于50％時(shí)，系統(tǒng)漏報(bào)率保持為0；高于50％時(shí)，漏報(bào)率出現(xiàn)提升；100％負(fù)載時(shí)，漏報(bào)率達(dá)到了70％（見(jiàn)圖4）。

圖4  實(shí)例二測(cè)試圖

（3）分析

首先，排除外部因素造成這兩組測(cè)試結(jié)果的差異。

其次，考慮到協(xié)議不同是這兩組測(cè)試的主要不同點(diǎn)，對(duì)2種協(xié)議的差異進(jìn)行分析。眾所周知，UDP協(xié)議是面向無(wú)連接的協(xié)議，TCP是面向連接的協(xié)議。TCP傳輸不僅要完成三次握手，而且要對(duì)IP數(shù)據(jù)包進(jìn)行組裝，以形成完整的會(huì)話(huà)數(shù)據(jù)，有時(shí)網(wǎng)絡(luò)傳感器還要對(duì)TCP傳輸進(jìn)行流重組。所以，TCP的處理比UDP復(fù)雜的多，占用的CPU、內(nèi)存等系統(tǒng)資源也要多的多。

（4）結(jié)論

背景流協(xié)議類(lèi)型的不同對(duì)系統(tǒng)的處理能力提出了不同的要求，應(yīng)當(dāng)以處理高要求協(xié)議的能力作為系統(tǒng)處理能力的設(shè)計(jì)標(biāo)準(zhǔn)。

4  結(jié)束語(yǔ)

IDS發(fā)展到今天，已經(jīng)從最開(kāi)始作為防火墻的一個(gè)補(bǔ)充輔助角色，成長(zhǎng)為一個(gè)獨(dú)立的、在網(wǎng)絡(luò)安全體系中占據(jù)重要地位的安全防護(hù)設(shè)備。因此，IDS產(chǎn)品性能的好壞，是決定一個(gè)安全體系的整體性能優(yōu)劣的關(guān)鍵因素之一，做好IDS性能測(cè)試非常重要。目前，隨著IDS應(yīng)用的擴(kuò)大、技術(shù)的發(fā)展，對(duì)IDS產(chǎn)品的性能測(cè)試也提出更高的要求，這就要求測(cè)試人員要不斷學(xué)習(xí)新知識(shí)、新技術(shù)，在測(cè)試中提高技能，積累測(cè)試部署、實(shí)施、分析的經(jīng)驗(yàn)。