IPS测试方法
IPS 测试方法
测试集中在三个方面:性能(performance)、精确性(security accuracy)和可用性(usability)。
性能(performance)
任何一个 IPS 产品应该是可信的,不应该妨碍正常、合理的应用。
:
IPS产品不会影响正常使用,哪怕在很多新的tcp链接快速建立的时候。同时要传感器 在背景流提高到最大值时有能力检测并阻止攻击数据,减少漏报。
设定好一定的攻击数据后,在零背景流量情况下检验IPS产品,确保其能正确报警;然后提高背景流量,以确定传感器在何时开始漏报。
所有的测试重复在背景流量250m、500m、750m、1000m下测试。测试协议包括udp、tcp和混合协议数据,数据包453000个/s,链接状态保持 20000个/s。
可以使用ThreatEx 和Avalanche 结合测试。
响应时间:
任何一个网络中,响应时间都是很重要的。
设想,在一个局域网内循环响应时间(round trip latency)是 200-300 微妙,而NIPS将最大循环响应时间提高到2.3 毫秒,超过了7倍。如果传输一组大文件,将至少提高7倍的时间。
NIPS的响应时间应该考虑到它的应用环境,比如1-2毫秒对于保护公网是一个可以接受的时间。而在广域网,应该不低于300微妙。可以使用 Avalanche 产生。
流量管理IPS对流量进行细分并加以控制是非常必要的。它的限流功能可以实现企业网带宽资源的有序分配,达到保护企业关键业务的目的。UDP限流,使用SmartBits的SmartApplication软件向I