IDS設備性能測試

摘要：入侵檢測系統（Intrusion Detection System，簡稱IDS），顧名思義，是對入侵行為的檢測。它通過收集和分析計算機網絡或計算機系統中若干關鍵點的信息，檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象。本文將對IDS性能測試的幾項指標和測試流程進行闡述，同時介紹一個入侵檢測漏報率測試的實例。使用的測試工具是IXIA公司的IXIA400T，軟件為IXExplorer。

1  IDS性能指標

        入侵檢測系統（Intrusion Detection System，簡稱IDS），顧名思義，是對入侵行為的檢測。它通過收集和分析計算機網絡或計算機系統中若干關鍵點的信息，檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象，它是網絡安全防護體系的重要組成部分。要全面考察IDS產品，除了功能、易用性等考察外，性能測試是考察IDS產品的重要指標之一。IDS的性能測試指標可以分為兩類：面向用戶和面向開發。

（1）面向用戶的指標

        面向用戶的性能指標主要考察IDS產品工作性能狀況，主要包括：

●漏報率：系統在檢測時出現漏報的概率。漏報：系統未能識別出入侵行為，將其作為正常行為放過。

●誤報率：系統在檢測時出現誤報的概率。誤報包括將正常行為判斷為攻擊而產生報警；將一種攻擊錯誤的判斷為另一種攻擊而報警。

●事件庫：也叫特征庫。系統能夠匹配檢測的攻擊種類數量的大小，能夠橫向體現系統檢測能力。

●延遲時間：從攻擊發生到系統檢測到攻擊的時間。延遲時間的長短直接關系到攻擊破壞的程度。

●資源占用：系統工作時對資源的消耗情況。

●自身安全性：又稱健壯性。系統對直接以自身為攻擊目標的攻擊的抵抗能力。

（2）面向開發的指標

        除面向用戶的性能指標外，IDS產品還有一些面向開發的性能指標，雖然這些指標不為用戶了解，但這些指標也甚為重要，主要包括：

●每秒數據流量：每秒數據流量是指網絡上每秒通過某節點的數據量。這個指標是考察系統性能的重要指標，一般用Mbit/s來衡量。流量越大，對IDS系統的壓力就會越大。

●每秒抓包數：每秒抓包數是指網絡傳感器每秒能夠捕獲的包數。反映網絡入侵檢測系統網絡嗅探器性能的重要的指標。抓包數越大，產生漏報率的可能性就越小。

●每秒能監控的網絡連接數：網絡連接的跟蹤能力和數據包的重組能力是網絡入侵檢測系統進行協議分析、應用層入侵分析的基礎。

●每秒能夠處理的事件數：每秒能夠處理的事件數，反映了檢測分析引擎的處理能力和事件日志記錄的后端處理能力。

2  IDS性能測試要點

2.1  測試流程

        知己知彼，百戰不殆。做性能測試也是一樣。我們不能拿到一個設備，就急急忙忙的開始搭環境，開始測試。沒有嚴格的計劃，沒有周全的布置，是不可能完成一項測試任務的。根據實際工作經驗，我們總結了圖1的流程圖。下面將針對該流程中的幾個重點部分進行一些闡述。

2.2  測試環境

        測試環境的搭建是測試部署中較為重要的部分，它直接影響測試結果的準確性。為了使測試處于可控狀態，避免更多的外部因素干擾測試結果的分析，在進行IDS性能測試時需要搭建一個封閉的網絡環境。圖2是我們進行鷹眼網絡入侵檢測系統產品面向用戶的漏報率性能指標測試的環境圖。需要注意的是，該拓撲圖只是較通用的一個，在實際使用中，根據測試指標的不同，可能會有不同的測試環境部署。

原文轉自：http://www.kjueaiud.com