对于入侵防御产品来说,正逐渐成为真实评价产品性能的重要指标

  日前,中国信息安全行业领导企业天融信,推出评价入侵防御产品性能的新标杆指标:满检速率。天融信公司在多年的入侵防御产品研发和测试经验积累基础上,结合国际测评机构的最新技术进展,提出了该评价入侵防御产品性能的新标杆指标。

  入侵防御产品性能评测方法之前世今生

  经过多年的高速度发展,入侵防御产品得到迅速普及,很多用户已经构建起防火墙加入侵防御的网络边界防护系统。但是时至今日,一个问题一直困扰着广大用户和一些专业评测机构,这就是如何评价或者说如何测量一款入侵防御产品的真实性能。

  “防火墙与入侵防御产品工作在网络的不同层面,不能简单地以网络层的性能指标来评价应用层检测产品的好坏:

  最初的入侵防御产品性能评测方法现在还在被很多用户使用,这就是简单的以防火墙性能指标加上一个检测率指标构成。这种方法有很多不合理的地方,要么只实现简单的TCP保续和报文之间的拼接检测,这样虽然无法阻止大部分逃逸攻击手段,但却会在连接性能测试中表现优异;要么使得测试得出的吞吐值与真实环境中的实际性能差异巨大;

  还有就是大多数入侵防御产品为了保障网络畅通都设有内部的过载保护机制,即当检测能力不够时不再进行检测,转而直接转发报文,在这种机制作用下,测试得到的吞吐性能实际上是设备不做任何检测的最大转发性能,显然,这种性能值对用户来讲是毫无意义的。”天融信安全网关产品线经理刘彤说。

  正是基于这一认识,国内某些行业用户已经改变了对入侵防御产品性能的评价方法,以模拟网站访问的http get数据流作为测试新建连接和吞吐性能的基础。

  众所周知,http是互联网最广泛使用的协议,承载了大量的应用,也存在着严重的安全隐患,没有哪一款入侵防御产品能够忽略对其的检测,所以以http get 32k文件作为测试流可以考察入侵防御产品真实的对网络数据报文的检测能力。

  但是吞吐与检测率之间仍然是分离的,测试吞吐时不测试检测率,测试检测率时不测试吞吐,这给很多入侵防御产品厂商带来了“操作空间”,有些甚至设置了特殊“开关”用来在吞吐与检测率测试之间进行状态转换,以取得各自的极限性能值。实际上,对于入侵防御产品来说吞吐与检测率是同样重要的性能指标,也是不可分割的一对共同体,那么有没有一种方法能够将两者结合起来形成一个标准的标杆指标呢?答案是肯定的。

  天融信公司推出的满检速率,满足了吞吐与检测率两项同样重要的性能指标。

  满检速率的定义是:在入侵防御产品100%具有漏洞检测能力的前提条件下能够达到的最大应用层吞吐性能值。这里有两个指标,一个是100%具有漏洞检测能力,另一个是应用层吞吐,两者必须同时达到,缺一不可。

  满检速率的测试方法

  满检速率的测试方法如下图所示,分为三个步骤:

  第一步是使用测试仪器测试入侵防御设备的检测率,得到入侵防御设备能够检测的漏洞列表,应至少包括常见的严重漏洞,以及能够阻止各种常用的逃逸方法,数量上至少达到1000种漏洞检测能力;

  第二步是把设备能够检测的漏洞列表组成一个攻击检测流,持续地低速循环输入入侵防御设备,因为这些攻击都是设备检测率之内的攻击,此时设备应具有100%检测出来的能力,否则应视为产品故障;

  第三步是使用测试仪器打入一个标准的http get 32k随机文件的应用层吞吐流,并不断加大这个流量直到入侵防御设备无法检测出攻击,即不再具有100%漏洞检测能力为止,此时的http get流量即可作为满检速率性能值。

  从以上的满检速率定义及其测试方法可以看到该性能值有以下特点:

  1.可以相对客观和真实地评价入侵防御产品的攻击检测能力。由于测试过程中不间断地完整地“重放”被测设备可检测漏洞,相当于不停顿地进行检测率测试,迫使被测设备必须在整个测试过程中保持最大检测能力,加上应用层吞吐流量,可以检测出入侵防御产品在比较真实网络流量环境中的攻击检测能力。

  2.可以相对客观和真实地评价入侵防御产品的吞吐性能。在应用层吞吐流量测试过程中,始终确保被测设备具有攻击检测能力,这样得到的吞吐性能值是入侵防御产品可以正常发挥自身检测功能时的最大性能值,是具有实际参考意义的。

  3.吞吐和检测率结合,没有“操作空间”。在满检速率的测试过程中,吞吐和检测率始终是统一在一起的,当检测率不能满足“满检”要求时,吞吐即刻中止,这就要求被测试设备必须采用吞吐和检测率均衡的配置策略,不能采用偏向一方的极端设置,也就没有了“操作空间”。而吞吐和检测率均衡配置正式入侵防御产品在实际网络环境部署的真实需要,因为在真实网络环境中,流量和检测总是同时发生的。

  当前市场上入侵防御产品的性能指标和测试方法还比较混乱,没有统一的标准,导致用户在选择相关产品时存在很多误区,有些甚至是误导。目前,天融信公司已率先采用严苛的“满检速率”作为自主研发的网络卫士入侵防御产品(TopIDP产品)的企业内部评价标准。天融信还正在与国家相关权威机构合作,相信不久的将来,“满检速率”将会成为评价入侵防御产品性能的新标杆。

时间: 2024-10-27 22:52:24

对于入侵防御产品来说,正逐渐成为真实评价产品性能的重要指标的相关文章

入侵防御产品性能评测方法之前世今生

网络带宽增加带来的对设备吞吐量增长的要求比近期的北京暴雨有过之无不及,这也让吞吐量成为评价一款网关安全设备的重要指标.对于入侵防御产品来说,在100%检测漏洞时的吞吐量所能达到的峰值,正逐渐成为真实评价产品性能的重要指标. 日前,中国信息安全行业领导企业天融信,推出评价入侵防御产品性能的新标杆指标:满检速率.天融信公司在多年的入侵防御产品研发和测试经验积累基础上,结合国际测评机构的最新技术进展,提出了该评价入侵防御产品性能的新标杆指标. 入侵防御产品性能评测方法之前世今生 经过多年的高速度发展,

绿盟科技入侵防御产品获NSS Labs高级别认证

网络安全厂商绿盟科技日前宣布,其入侵防御产品(NSFOCUS IPS)获得NSS Labs Approved认证,并且被NSS Labs认定为最高级别--"Recommended",此前仅有三家顶尖国际安全厂商的IPS产品曾被NSS Labs认定为该级别.绿盟科技自主研发的IPS产品也成为国内安全厂商中惟一获得该权威机构认证的产品. 在最终的测试报告中,NSS Labs对绿盟科技的IPS产品做了如下评价:"NSFOCUS IPS的管理非常简单,直观得让人惊讶,加载有效的预定义

入侵防御设备的功能仍未得到全面应用

入侵防御设备的功能仍未得到全面应用涉及的几个原因包括可靠性.吞吐率.流量延迟和误报率.基于网络的入侵防御系统(IPS)是一种嵌入式(in-line)设备,目的在于检测及阻止多种多样的攻击:不过 新的研究显示,这种设备的使用仍然常常更像是被动监控流量的入侵检测系统.Infonetics研究公司对169名负责为所在公司管理IPS的安全专业人士进行了调查,旨在查明IPS过滤器用于阻止攻击的全部功能是不是真正得到了使用:如果没有真正得到使用,查明其中的原因.IPS厂商TippingPoint委托这家研究

入侵防御设备的功能仍未得到全面应用涉及的原因

入侵防御设备的功能仍未得到全面应用涉及的几个原因包括可靠性.吞吐率.流量延迟和误报率.基于网络的入侵防御系统(IPS)是一种嵌入式(in-line)设备,目的在于检测及阻止多种多样的攻击:不过新的研究显示,这种设备的使用仍然常常更像是被动监控流量的入侵检测系统.Infonetics研究公司对169名负责为所在公司管理IPS的安全专业人士进行了调查,旨在查明IPS过滤器用于阻止攻击的全部功能是不是真正得到了使用:如果没有真正得到使用,查明其中的原因.IPS厂商TippingPoint委托这家研究公

入侵防御技术的未来

如果说分而治之对于解决问题是一个成功的策略,那么入侵防御仍然在分化阶段.大多数网络使用防 火墙,许多使用IDS,它们都有防病毒和反垃圾邮件的软件,并且一些网络使用IPS.但是却没有一个经销 商将这些技术结合成一个整体并进行管理,进而使得使用更简单. 提出更多全程的术语,大多数网络管理者在其网络上拥有大量的各种高效控制端口,不论是外围还是 核心.然而,正如任何一个工程师告诉你的,仅有控制端口的网络并不等同于一个受控网络.受控网络需 要测量端口.控制端口和反馈回路,以保证所有的端口均在限度里运行.当

绿盟科技IPS蝉联入侵防御硬件市场第一名

近日,国际权威咨询机构IDC发布了<2010年上半年中国IT安全硬件市场2010-2014分析与预测>报告.报告显示,绿盟科技IPS产品以18.4%的市场占有率蝉联中国入侵防御硬件市场第一名.2010年,中国IT安全硬件市场延续了快速增长的势头,上半年整体实现了18.9%的增长.其中,统一威胁管理.入侵防御和安全内容管理分别以28.6%.28.1%和64.7%的增长率成为增长最快的三类产品.根据IDC报告的统计数据显示,绿盟科技网络入侵防护系统和 网络入侵检测系统表现强劲,其市场总体份额超出国

汉柏推出了基于云计算的入侵防御系统,与传统防火墙组合为企业数据中心提供深度防御的最优选择

随着信息化和网络的普及,尤其是云计算.数据中心及互联网的发展,针对企业.机构数据中心的蠕虫病毒.漏洞攻击.注入攻击.跨站攻击.DDoS攻击等也有常态化的趋势,极大困扰着用户.尤其,云计算.各种新型互联网应用的普及,以及智能终端的多样性和网络通道的多元化,导致各种新型的攻击愈加繁杂,使得危害和破坏变得更加隐蔽.用户除了部署常规安全防御系统外,更需要一种在线部署的产品,来对各种单一或混合攻击实现实时地检测和阻断,同时要在保证高性能处理时避免误报和漏报发生. 针对数据中心入侵防御的安全需求,汉柏推出了

HP ProCurve发力防火墙及入侵防御市场

近日,HP ProCurve发布了最新的防火墙及入侵防御解决方案,以扩展其安全产品组合.此解决方案不仅降低了安全基础设施的成本,同时降低了其实施的复杂性. 做为HP ProCurve的主动防御(ProActive Defense)安全产品组合的一部分,惠普(HP)引入了全新的HP ProCurve 威胁管理服务模块(HP ProCurve Threat Management Services Module).此模块可提供防火墙.虚拟专用网络(VPN)以及入侵防御(IPS)等功能.这种多功能安全模

《Cisco ASA设备使用指南(第3版)》一1.2 入侵检测系统(IDS)与入侵防御系统(IPS)

1.2 入侵检测系统(IDS)与入侵防御系统(IPS) 当攻击者想要非法访问网络或主机,以降低其性能或窃取其信息时,入侵检测系统(IDS)就可以(在杂合模式下)将这种行为检测出来.除此之外,它们还能够检测出分布式拒绝服务(DDoS)攻击.蠕虫及病毒的爆发.图1-4所示为运行在杂合模式下的IDS设备检测安全威胁的示例. 在图1-4中,一名黑客向Web服务器发送了一个恶意的数据包.IDS设备对这个数据包进行了分析,并向监测系统(在本例中为Cisco安全管理器[Cisco Security Manag