IPS测试方法.docVIP

IPS 测试方法 测试集中在三个方面：性能（performance）、精确性（security accuracy）和可用性(usability)。 性能（performance） 任何一个 IPS 产品应该是可信的，不应该妨碍正常、合理的应用。 ： IPS产品不会影响正常使用，哪怕在很多新的tcp链接快速建立的时候。同时要传感器 在背景流提高到最大值时有能力检测并阻止攻击数据，减少漏报。 设定好一定的攻击数据后，在零背景流量情况下检验IPS产品，确保其能正确报警；然后提高背景流量，以确定传感器在何时开始漏报。 所有的测试重复在背景流量250m、500m、750m、1000m下测试。测试协议包括udp、tcp和混合协议数据，数据包453000个/s，链接状态保持 20000个/s。 可以使用ThreatEx 和Avalanche 结合测试。 响应时间： 任何一个网络中，响应时间都是很重要的。 设想，在一个局域网内循环响应时间（round trip latency）是 200-300 微妙，而NIPS将最大循环响应时间提高到2.3 毫秒，超过了7倍。如果传输一组大文件，将至少提高7倍的时间。 NIPS的响应时间应该考虑到它的应用环境，比如1-2毫秒对于保护公网是一个可以接受的时间。而在广域网，应该不低于300微妙。可以使用 Avalanche 产生。 流量管理IPS对流量进行细分并加以控制是非常必要的。它的限流功能可以实现企业网带宽资源的有序分配，达到保护企业关键业务的目的。UDP限流，使用SmartBits的SmartApplication软件向IPS发送超过限流带宽的UDP报文，如图7所示。通过比较接收到的UDP流量，判断IPS是否可以进行针对UDP的流量限制。稳定性和可靠性 这种方法将测试在各种极端情况下IPS的稳定性。 第一部分，使用包含攻击特征的数据长时间测试，IPS应当能报警并阻止攻击数据。Avalanche 发送正常的数据做背景流，同时回放攻击数据包，测试时间为一天以上（？） 第二部分，使用ISIC发送畸形的数据流来测试协议堆栈八小时以上。设备仍然可以检测并阻止攻击。isic-0.06.tgz（工具已找到，但未测试） 准区性（security accuracy） 检测的精确性 这组测试验证IPS不妨碍正常的网络行为，但是可以检测并阻止各种常见的攻击行为。两方面都很重要。 将正常的数据，和一些极端的数据放在一起，IPS让这些数据通过，不会报警。ThreatEx 的 Fuzzing 数据来测试 测试结果：IPS不报警 IPS会报警并阻止普通的攻击，端口扫描或者拒绝服务攻击。 IPS只配置检测策略 IPS配置阻止策略和检测策略 一定量的CVE编号中存在的攻击数据* 及时报警但不阻止 及时报警并阻止 端口扫描测试 及时报警但不阻止 及时报警并阻止 SYN-flood 及时报警但不阻止 及时报警并阻止 *建议包括：http,ftp,mail,database,smb,rpc,dos,后门木马,端口扫描等类型。 测试工具：ThreatEx 抵抗逃避技术 这组测试验证IPS可以检测各种常见的逃避技术。测试分为四个部分。 基本测试：IPS检测并阻止没有使用逃避技术的常见攻击。ThreatEx （也可以使用真实的攻击） 数据包分片和数据流分割：通过 fragroute 使用逃避技术发送基本的http攻击数据。fragroute 模糊URL：重复基本的http攻击数据，同时使用工具（Whisker Web server vulnerability scanner）发送通过模糊技术处理过的url。whisker-2.0.tar.gz（工具已找到，但未测试） 混合逃避技术：包括 重复基本攻击数据和特殊的攻击数据（改变默认端口；查ftp命令种插入空格；ftp数据流种插入telnet opcodes；RPC碎片）。ADMmutate-0.8.2.tar.gz（一个测试nids的工具，已找到，但未测试过） 并发链接数测试 如果IPS追踪tcp连接状态，当状态表已满，或者不能跟上新建链接的速度时，将会引起拒绝服务。也就是说IPS应当考虑到连接状态的总数量和每秒新建链接的数量。 第一部分，回放大量的攻击数据包（没有建立真正的链接）。IPS不应该报警。Iris Network Traffic Analyzer 第二部分，通过提高建立连接的数量，检测并阻止新的攻击数据，但不影响正常的数据使用。 可以使用Avalanche和Reflector进行测试可用性(usability) 经过大量的性能测试和功能测试，得到IPS产品的评估结果。其他方面的评估还应该包括：安装，配置，策略编辑，警报上传，产生报告和结果分析