防御系統入侵檢測系統性能測試更待完善

對于任何一種網絡產品，我們不可能不關心它的性能，IPS也如此。問題在于我們如何科學地評價它的性能。在沒有拿出合理的測試方案前，對IPS產品進行性能的評比很可能是不公平的。

　　如今的入侵檢測系統(IDS)實現的是被動監視功能，而入侵保護系統(IPS)能夠進行實時監控，具備智能處理功能，可以主動阻截和轉發數據包。Gartner也預測，將來的市場屬于IPS?，F在，市場人員也紛紛拾起IPS這個時髦詞匯并為之奔走。就像當年的VPN大潮，每個與virtualization或privacy相關的產品都打上VPN的標簽。如今，各式各樣的IPS產品開始涌向市場。

　　前一段時間，美國《Network World》對市場上的11款IPS產品進行了評測。但并沒有對各個產品的性能進行測試，這種做法引起了我們的注意。我們將他們針對這一問題的解釋翻譯出來，希望對您有所啟發。

　　先來看看他們是如何測試這些IPS產品的。

　　如何測試?

　　測試者將參測IPS設備分別放到位于不同城市的真實的網絡環境中。選擇的受保護系統是惠普的ProLiant DL330服務器，運行未加補丁的Unix和Windows操作系統，還有一臺運行V11.3版IOS的Cisco路由器。這些設備都被放入洛杉磯和圣荷塞的數據中心。每個受保護系統都有一個IPS設備加以保護，并與數據中心中的其他流量共存。

　　接下來，他們設置了各個IPS設備的功能。測試者的原則是盡可能多地使用這些設備的功能，從而為系統提供最優的保護。嘗試使用設備每一種特性，比如掃描和簽名等。此外，測試者還定義了自己的白名單和黑名單地址及服務，并將其置入每一臺設備，還開啟設備的阻斷功能(如果該產品支持這一功能的話)。

　　當那些不可避免的攻擊真正出現時，測試者對報警和監視機制進行了分析。觀察這些產品能夠監測到哪些流量，它們在阻斷數據流時表現出的能力和靈活性是怎樣的，以及它們的管理系統如何支持各種真實的網絡拓撲。

　　為什么不測試性能?

　　在開始測試之前，測試者曾公開向廠商征求意見，請他們提出自己的看法，包括應當測試哪些項目，以及如何測試等。有三家廠商極力建議測試性能。

　　但問題是，這三家廠商所建議的測試方法卻大相徑庭。只有基本的測試標準—吞吐量和延遲相同的。有一種觀點認為，如果IPS廠商希望將這些設備放在生產環境中進行測試，那么這些設備必須具備足夠的速度和可靠性，至少應當與那些被替換掉的交換機和路由器不相上下。當然，測試者也贊同這一觀點。

　　但除此之外，大家實在無法在其他問題上達成共識，因為IPS在一些最基本的特性方面存在很大的差別。某些系統在網絡上以集線器的形式存在，有一些則更像是交換機，還有一些則是以路由器的方式運行的。第2層交換機和第3層交換機的性能測試是兩個完全不同的概念。

　　可以假設這樣一種情形，使用測試二層或三層設備的方法來測試IPS。在測試中，可能獲得有關吞吐量、延遲、抖動等類似項目的數字。但問題是，大家絕對不可能從這些測試結果中了解系統作為IPS的表現究竟如何。測試的項目中并不包含安全性。而且此類性能測試甚至不可能通過一種有意義的方法來獲得真正的性能?？傊?，如果將IPS系統設置為第七層檢查，或是二/三層的轉發，那么兩者的性能表現肯定會有巨大的差別。

　　要想取得可比較的、可重復的性能統計數字，最大的障礙并不是說服多個廠商在IPS的定義上達成共識。最基本的測試只不過是讓流量通過這些設備，并了解其具體表現。這樣的測試完全是可以重復的，但它也是毫無用處的。我們關心的不是這些設備能否讓網絡流量通過，而是這些設備在面臨網絡攻擊時的表現究竟怎樣。

　　這也產生了另外兩個更為復雜的性能問題，即：應當通過哪些流量?應當阻斷哪些攻擊?當各種類型的攻擊開始向IPS發難時，可以想見，各類IPS的表現也是千差萬別的。IPS可能選擇以隨機的方式丟棄包，從而保護它身后的系統。IPS也可以對包進行延遲處理，希望通過這種方式來抵御SYN flood攻擊。由于IPS在受到網絡攻擊時會改變自己原有的特性，因此又產生了新的問題：究竟應當對哪些特性和性能進行測試?

　　如果大家希望IPS能夠區分正常的和惡意的流量，那么就必須首先定義什么是正常的，什么是惡意的。不同的產品在設計之初以不同的方式對這類參數進行了定義，這就要看產品關注的是哪些類型的攻擊。

　　有一種測試選項是，只向IPS發送正常的流量，但要對其進行配置，要求它搜索惡意的流量。在這種情形下，入侵保護系統只是進行搜索和監視，并且不丟棄任何包。在這種理想情況下，入侵保護系統可以在不受干擾的情況下給出性能數據。但是，這里所獲得的結果與配置有很大的關系，而且與通過IPS的正常流量本身也有很大的關系。不同的流量會導致不同的系統表現。對于有些流量，入侵保護系統根本不需要進行任何深入的分析就可放行。而對于另外一些確實引發響應的流量，入侵保護系統又必須保留其統計數字和計數結果。有時配置中還需要定義偵測惡意流量的探測水平。在所有各種情況下，如果同一產品的配置發生了變化，其性能也會表現出相當大的差別。

　　不過，在這種理想情況下，我們確實可以獲得一些攻擊出現時各種產品的性能信息。所以任何合理的IPS性能測試都必須包含一部分此類內容，也就是將正常的流量和惡意的流量混合在一起進行的運行測試。但這種測試的結果更難評價。

　　例如，可以假設要對比的產品是Econet IPS(一種基于內容的設備)和Captus IPS(一種基于速率的設備)。我們首先驅使一些流量通過這些設備，然后再啟動一個SYN flood攻擊。如果Captus系統的配置中有對SYN flood進行響應的配置內容，它將開始丟棄一些包。但是，應該啟動Captus的四個不同攻擊響應機制中的哪一個呢?這時候應該采集吞吐量數據還是應該終止發送流量呢?在這一過程中存在太多的選項，而且沒人知道哪些選項是公正的、可重復的和可比較的。

　　Econet的入侵保護系統并不偵測SYN flood，它會很高興地讓所有的包都自由通過。那么，在這種情況下我們得到的是什么結果呢?結果當然是，Econet比Captus快，因為它不丟棄任何包。結果也可能是，Captus比Econet快，因為后者不能捕捉任何攻擊。

　　誰都知道這種方法是不公正的。那么，我們也可以將Captus和Top Layer放在一起進行比較，兩者都是基于速率的IPS設備。在這種情況下，我們遇到的關鍵問題就是配置。如果只是讓它們對通過包的數量進行計數，那么整個測試就沒有什么意義了。我們也可以讓它們丟棄一些包或延遲連接。如果要在零損失環境中測量吞吐量和延遲，測試的意義也就不存在了。隨著IPS行為的改變，其響應時間也會發生變化。這兩種設備根本就不存在相同的設置，也就是說，兩種設備不可能以相同的方式來對同一問題做出響應。所以，我們所能做的只是簡單地讓包通過這些設備，根本談不上有意義的性能測量。

　　要進行IPS的測試會遇到諸多困難和障礙，進行性能方向的比較和評價也是必要的，特別重要的是要針對IPS的作用進行有意義的性能測試。

原文轉自：http://www.anti-gravitydesign.com