2022年IPS测试方法 .pdf

IPS 测试方法测试集中在三个方面：性能（performance） 、精确性（security accuracy）和可用性(usability) 。1.性能测试（ performance ）任何一个IPS 产品应该是可信的，不应该妨碍正常、合理的应用。1)吞吐量 ：IPS产品不会影响正常使用，哪怕在很多新的tcp链接快速建立的时候。 同时要传感器在背景流提高到最大值时有能力检测并阻止攻击数据，减少漏报。设定好一定的攻击数据后，在零背景流量情况下检验IPS 产品， 确保其能正确报警；然后提高背景流量，以确定传感器在何时开始漏报。所有的测试重复在背景流量250m、500m、750m、1000m 下测试。测试协议包括udp、tcp 和混合协议数据，数据包453000 个/s，链接状态保持20000 个/s。可以使用ThreatEx 和 Avalanche 结合测试。2)响应时间：任何一个网络中，响应时间都是很重要的。设想，在一个局域网内循环响应时间（round trip latency）是200-300 微妙，而NIPS将最大循环响应时间提高到2.3 毫秒，超过了7 倍。如果传输一组大文件，将至少提高7倍的时间。NIPS 的响应时间应该考虑到它的应用环境，比如1-2 毫秒对于保护公网是一个可以接受的时间。而在广域网，应该不低于300 微妙。第一步：使用发送单个连接，计算通过IPS 的时间来估算响应时间。第二步：可以使用Avalanche 产生背景。3)流量管理（新增）IPS 对流量进行细分并加以控制是非常必要的。它的限流功能可以实现企业网带宽资源的有序分配，达到保护企业关键业务的目的。测试 UDP限流，使用SmartBits的 SmartApplication软件向 IPS 发送超过限流带宽的UDP报文，如图7 所示。通过比较接收到的UDP流量，判断IPS 是否可以进行针对UDP的流量限制。4)稳定性和可靠性这种方法将测试在各种极端情况下IPS 的稳定性。第一部分，使用包含攻击特征的数据长时间测试，IPS 应当能报警并阻止攻击数据。测试方法： Avalanche 发送正常的数据做背景流，同时回放攻击数据包，测试时间为一天以上（？）第二部分，使用ISIC 发送畸形的数据流来测试压迫协议堆栈八小时以上。设备仍然可名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 3 页 - - - - - - - - - 以检测并阻止攻击。使用工具： isic-0.06.tgz（工具已找到，但未测试）2.准区性测试（ security accuracy）1)检测的精确性 - 这组测试验证IPS 不妨碍正常的网络行为，但是可以检测并阻止各种常见的攻击行为。两方面都很重要。将正常的数据，和一些极端的数据放在一起，IPS 让这些数据通过，不会报警。测试步骤：可以选用ThreatEx 的 Fuzzing 数据来测试测试结果： IPS 不报警IPS 会报警并阻止普通的攻击，端口扫描或者拒绝服务攻击。测试方法：IPS 只配置检测策略IPS 配置阻止策略和检测策略一定量的 CVE 编号中存在的攻击数据 * 及时报警但不阻止及时报警并阻止端口扫描测试及时报警但不阻止及时报警并阻止SYN-flood 及时报警但不阻止及时报警并阻止*建议包括： http,ftp,mail,database,smb,rpc,dos,后门木马 ,端口扫描等类型。测试工具： ThreatEx 2)抵抗逃避技术- 这组测试验证IPS 可以检测各种常见的逃避技术。测试分为四个部分。基本测试 ：IPS 检测并阻止没有使用逃避技术的常见攻击。测试工具： ThreatEx （也可以使用真实的攻击）数据包分片和数据流分割：通过fragroute 使用逃避技术发送基本的http 攻击数据。（tcp 分片和 ip 分片） 。使用工具： fragroute 模糊 URL ：重复基本的http 攻击数据，同时使用工具（Whisker Web server vulnerability scanner ）发送通过模糊技术处理过的url。使用工具： whisker-2.0.tar.gz （工具已找到，但未测试）混合逃避技术 ：包括重复基本攻击数据和特殊的攻击数据（改变默认端口； 查 ftp 命令种插入空格； ftp数据流种插入telnet opcodes；RPC 碎片）。使用工具： ADMmutate-0.8.2.tar.gz （一个测试nids 的工具，已找到，但未测试过）3)并发链接数测试- 如果 IPS 追踪 tcp 连接状态，当状态表已满，或者不能跟上新建链接的速度时，将会引起拒绝服务。也就是说IPS 应当考虑到连接状态的总数量和每秒新建链接的数量。第一部分，回放大量的攻击数据包（没有建立真正的链接）。IPS 不应该报警。使用工具： Iris Network Traffic Analyzer 第二部分，通过提高建立连接的数量，检测并阻止新的攻击数据，但不影响正常的数名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 3 页 - - - - - - - - - 据使用。可以使用 Avalanche 和 Reflector进行测试。对于企业级的IPS 应至少能保持数十万的并发连接数。并发连接数：50 万；100 万；通过仪器测试其极值；3.可用性 (usability) - 经过大量的性能测试和功能测试，得到 IPS 产品的评估结果。其他方面的评估还应该包括：安装，配置，策略编辑，警报上传，产生报告和结果分析等方面。测试其他方面的时候可以同时测试。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 3 页 - - - - - - - - -