如何测量一款入侵防御产品性能的真实性能

简介：采用传统的防火墙检测方法进行IPS性能检测已经过时。 天融信提出的全检测率指标，平衡吞吐量和检测率来配置IPS在实际网络环境中部署的真实需求，始终保证被测设备具有攻击检测能力，这样得到的吞吐量性能值就是IPS能正常进行自身检测功能时的最大性能值才能真实反映IPS的性能。

国内入侵防御产品市场始于2005年，经过2008年、2009年的爆发式增长，目前仍在以每年30%的增长率快速发展。 入侵防御产品迅速普及，很多用户都建了防火墙加入侵防御。 网络边界防护系统。 但时至今日，一个问题一直困扰着广大用户和一些专业评测机构，那就是如何评价或衡量一款入侵防御产品的真实性能。

当我们谈论入侵防御产品的性能时，就不得不提到防火墙。 防火墙是最古老的安全产品之一。 防火墙产品的性能评估早已为人所知。 这就是三个著名的指标：并发连接数、新连接数和吞吐量。 对于基于状态检测的防火墙，并发连接测试其连接承载能力，新增连接测试其连接处理（或基于连接的安全检测）能力，吞吐量测试其转发能力。 通过这三个指标，可以比较客观地评价防火墙的真实性能。 比如我们常说的千兆线速防火墙，是指防火墙在千兆网络上双向100%转发64字节数据包的吞吐能力。

原来的入侵防御产品性能评估方法仍然被很多用户使用如何检测网站漏洞如何检测网站漏洞，简单地由防火墙性能指标加上检测率指标组成。 检测率是指产品能够检测到的漏洞占整个漏洞集的比例。 当然，这个值越高越好。 这看似合理，但存在很多问题。 首先，很多基于单包检测的入侵防御产品并不记录完整的连接或进行协议分析。 它们仅实现简单的TCP维护和数据包之间的拼接检测。 虽然这无法阻止大多数逃逸攻击方式，但在连接性能测试中却会表现出色，甚至达到每秒新增50万个连接的惊人性能值。 其次，标准吞吐量使用UDP数据包作为测试流，但基于UDP协议的攻击事件很少。 一些入侵防御产品为此目的设置了“快速路径”，并对UDP数据包进行专门处理，使得测试所得的吞吐量值与真实环境中的实际性能存在显着差异。 最后，大多数入侵防御产品都有内部过载保护机制，以确保网络的畅通。 即当检测能力不足时，不再进行检测，而是直接转发报文。 在这种机制下，测试中获得的吞吐量性能实际上是设备在没有任何检测的情况下的最大转发性能。 显然，这个性能值对于用户来说毫无意义。

造成这些问题的根本原因是防火墙和入侵防御产品工作在网络的不同层面。 不能简单地用网络层的性能指标来评价应用层检测产品的质量。 正是基于这样的认识，国内一些行业用户改变了入侵防御产品性能的评估方法，模拟网站访问的http get数据流作为测试新增连接和吞吐量性能的依据。 众所周知，http是互联网上使用最广泛的协议。 它承载着大量的应用，也存在着严重的安全隐患。 任何入侵防御产品都不能忽略它的检测，因此可以使用http get 32​​k文件作为测试流来检验入侵防御产品对网络数据包是否具有真正的检测能力。

然而，吞吐量和检测率之间仍然存在差距。 测试吞吐量时不测试检测率，测试检测率时不测试吞吐量。 这给很多入侵防御产品厂商带来了“操作空间”，有的甚至设置了专门的“开关”。 ”用于在吞吐量和检测率测试之间进行状态转换，以获得各自的极限性能值。 事实上，对于入侵防御产品来说，吞吐量和检测率是同样重要的性能指标，而且也是密不可分的一对。 那么有没有办法将两者结合起来形成一个标准的基准指标呢？ 答案是肯定的。

天融信基于多年积累的入侵防御产品开发和测试经验，并结合国际评测机构的最新技术进展，提出了评价入侵防御产品性能的新基准指标：全检率。

全检测率的定义是：入侵防御产品在具备100%漏洞检测能力的前提下，所能达到的最大应用层吞吐量性能值。 这里有两个指标，一是100%的漏洞检测能力，二是应用层吞吐量。 两者必须同时实现，缺一不可。