第32卷 第20期 VoL32 ・计算机工程 2006年1O月 October 2OO6 №2o Computer Engineering 安全技术・ 一文章编号t 100o—3428(2o06)2o__o14o__03 文献标识码t A 中圈分类号:TP306+.2 种针对网络信息安全系统的测试方法 刘莹 ,田野 。 (1.中国科学院计算技术研究所,北京100080;2.中国科学院研究生院,北京100039) 擅耍:随着网络的高速发展,网络信息安全产品日益成熟,但是针对这类产品的测试方法的研究却仍不完善。文章基于ServerScope测 试仪的软硬件结构,提出了一种新的测试网络信息安全产品的方法。该方法继承了ServerScope软件结构上面向用户的特点,同时利用 SetwerScope硬件刀片服务器的特点,在系统中同时模拟客户端和服务端,易生成网络信息安全系统所特有的交互式负载。该方法弥补了传 统回放方法负载单一的不足,并且简化了复杂的测试环境,使得测试更加易行、有效。 关翻:网络信息安全系统;ServerScope;交互式负载;性能评测 Performance Evaluation for Network Information Security System LIU Ying 一.TIAN Ye ’2 (1.Institute of Computing Technology,Chinese Academy of Sciences,Beijing 100080; 2.Graduate School of Chinese Academy of Sciences,Beijing 100039) [Abstract|With hte fast development of network,network information security systems(NISS)make a long progress.But pefrormance evaluation for NISS is found tO be challenging.The paper illustrates a new method based on the architecture of ServerScope to test NISS.To generate the interactive network trafic especifally needed by NISS,some blades can play he rtole of the servers and some do he tclients.This method makes up the disadvantage of replaying the same trafic and sifmplifies the testing environment SO that it ensures that the implementation of test is easy and eficifent. [Key words|Network information security system;ServerScope;Interactive workload;Performance evaluation 网络信息安全系统主要是指用于保证用户的网络系统和 信息安全系统正常运行的各种软硬件产品,包括防火墙、入 侵检测系统(IDS)、信息加密系统、安全认证系统、防病毒系 统和安全评估系统等。它们可以及时发现网络攻击行为、病 种方法简单易行,但是负载的内容缺乏灵活性,且负载特征 不具有网络流量的普遍性;(2)如图1所示,分别用两台主机 产生前景目标流和背景噪声流,两种负载再通过交换设备混 合为测试需要的网络流量,发送至测试系统。第2种方法虽 然在某种程度上弥补了第1种方法的不足,但是用于测试的 硬件设备较多,测试环境较为复杂,不易操作。 毒以及不正当的内容,并有效地帮助系统应对突发事件。 虽然网络信息安全系统得到了长足的发展,但是针对它 们的性能评价方法却仍不完善。由于缺少统一的、成熟的测 试方法、标准和测试软件,大多数用户并不能切实地对产品 进行实际的横向对比。 本文利用ServerScopeI ̄1性能测试仪的可扩展性和面向用 户的特点,提出了一种简单、有效的测试方法。 1相关工作 网络信息安全系统按照在网络中的接入形式,主要分为 串接设备和旁路设备,因此测试方法也可分为串接测试和旁 路测试。 串接测试,主要用来测试以防火墙为代表的串接设备。 ………一一 l捕包设备 圈1常用盼同络信■安全|Ic件盼■试环境 这类设备多以静态的方式侦测进出网络内部的通信参数,符 合条件的通信予以放行,否则截断。串接测试比较简单,与 传统的测试路由器、交换机等网络设备方法基本相同,只是 2我们的工作 ServerScope是一种面向用户的,旨在评测用户系统实际 性能的评测系统。图2(a)为ServerScope的软件结构,分为控 基金项目:国家“863”计划基金资助项目(2002AA1044l0);中科院 计算所创新课题资助项目(20026030) 测试负载不仅包括单一的数据包,也包括完整的网络连接。 旁路测试,主要用来测试IDS、内容安全软件等具有旁 路监听性质的设备。这类设备以动态的方式侦测进出网络内 部的通信内容,不符合条件的通信内容予以相应处置。由于 该类产品的旁路特点,通常采用以下两种测试方法:(1)回放 网络流量的方法,即用网络监听工具将网络流量记录到文件 作者簧介:刘博士生 莹(1978一),女,博士生,主研方向:计算机系统的 性能评测,网络性能评测,大规模数据密集型应用性能评测;田野, 中,然后用回放工具将文件的内容朴素地发送到网络中。这 一收藕日期:2005—12—28 E-mail:liuy@ncic.ac.ca l4 一 维普资讯 http://www.cqvip.com
制层、管理层、服务层和负载层,它们分别与图2(b)硬件结 构中的服务节点和测试节点相对应。 括入侵事件、用户自定义的匹配字符串等。这里,用户可以 根据提供的操作系统种类和发生的网络层次进行选择。目标 事件的收集和整理是有相当难度的,需要花费大量时间。因 此这里可以参考前人的一些做法 。 2.2负载的比较 在通常的网络设备测试中,一般是由测试方直接向被测 方发送负载进行测试,而在测试旁路设备时,测试负载不再 fa)软件结构 是单一的测试请求,而是用户与服务器问的交互过程。 图1所示的测试环境虽然可以生成交互式的测试负载, 邕但是硬件环境较为复杂,需要多台测试主机,因此测试代价 也比较高。ServerScope的硬件特点刚好解决了测试内容和测 试环境的两方面需求。测试时,将一部分刀片作为服务器节 点,把另一部分刀片作为客户端节点发送请求。刀片体积小, 性价比高,这种方法不仅从软件上实现客户端和服务器的真 实交互,弥补了回放方法的不足,更从硬件上节省了测试开 销,使得测试更加简单易行。 (b)硬件结构 3测试结果 测试对象为Snort的2.1.2版本,一种基于规则匹配的网 图2 ServerScope系统结构 ServerScope可以按照用户需求定制测试负载,插件式增 减测试负载程序,动态调节负载比例,自定义负载流量模型, 具有低成本运作、可扩展性、对象客户化和易用性等特点。 硬件结构中的测试节点采用刀片式计算机,具有高密度、易 部署、简化连接、易于管理和低成本的特点。 下面将根据ServerScope的良好的可扩展的软件结构和 硬件特点,详细介绍一种简单、灵活的测试网络信息安全系 统的方法。 络入侵检测系统。参与测试的节点配置为两颗lnte1(R) XEON“…CPU 180GHz,2GB内存,运行RedHat7.3(kernel .2.4.18—14smp),100Mbps网卡(以下测试节点配置均同此)。 3.1基本网络处理性能 试 实验中使用ServerScope的TCP/IP发包负载发生器进行 测试。首先分别发送不带匹配字符串的64B和1 518B的TCP 包,观察snort的基本捕包性能,然后发送带有字符串“123” 的同样大小、数量、速率的数据包测试snort的规则匹配性能。 测试时,测试节点与被测节点直联。 规则文件为snort.rule,规则内容为“alert tcp any any一> 10.10.99.98 any(content:”123”;msg:”456”;)”。执行以下4种命 Ⅲ 令,如表1所示。 表1 试1.r令 命令名称 log 64/1518 dlog64/1518 2.1潮试方法 研究表明,传统的测试交换机、路由器的方法对于测试 IDS等旁路设备是不够的,它只能说明系统的基本网络处理 能力,并不能全面地测试系统的信息安全监测的性能 。所 以ServerScope已有的TCP/IP负载发生器” 虽然具有发包长 度可变、按长度比例发送、速率可调等特点,却不能满足该 类系统的特征测试。为此,添加背景噪声流和前景目标流两 个模块,如图3所示。 内容 c+lo ̄+d64/l5l8 (1)64B小包 每次发送100万个包进行测试,测试结果如图4所示。 苷0 l 蓦0.5 I II I 誊 0 。 豳 口log64 :可打 碾 : --------------.-----。-^.。.。^. -。-。- 74 764 50 000 20 000 l 5 000 l0 000 口dlog64 发包速率(p, ) I。----・・・-・・・・・-・--。--・----------。● 图3 试软件的体系结构 (a)测试snort的捕包性能 背景噪声流模块分为网络应用种类、网络流量模型、网 络流量突发事件3个部分,用以描述和模拟正常的网络情况。 其中,根据实际测量和测试需要,设计了HTTP、FTP、E—mail 等网络应用,加上原有的TCP/IP负载发生器,一起作为背景 门. 噪声流的网络负载。在网络流量模型部分中提供马尔可夫模 型、自相似模型等已知模型,用户也可以自行定义流量模型, 口c+log+d64 75 l 32 50 000 20 000 l0 000 5 000 发包速率(p/s) 口C 琶 设定负载类型问的比例关系。突发事件的提出源于网络流量 自身的突发性以及模拟一些特殊环境,用户可以根据突发事 件的发生时刻、持续时问以及流量幅度进行描述。 (b)测试snort的规则匹配性能 图4甩64BTCP包 试snort性售 当发包速率为75 132pps,网络带宽占用率为38.47%, 此时snort的捕包成功率只有14%,对应的规则匹配成功率 l4l一 前景目标流模块产生的是一些有针对性的异常行为,包 维普资讯 http://www.cqvip.com
只有5%;调节发包速率,使发包速度降到50 000pps时,捕 包成功率升至24%,而对应的规则匹配成功率仍不到1O%; 当发包速率降为2O 000pps时,性能有明显好转,捕包成功 表2 WebStone负羹分胃 率达到了66%,规则匹配性能也上升到26%。当发包速率减 为 10 000pps时,没有丢包现象,而此时规则匹配性能仍 不乐观,直到发包速率降为5 000pps时,规则匹配成功率为 100%,但此时的网络吞吐率只有2.56%。 (2)1 518B大包 测试结果如表3所示。当激活log操作时,需要记录数 据包,消耗大量的磁盘IO操作,所以此时记录到session.1og 每次发送10万个包进行测试,测试结果如图5所示。由 于大包的网络延迟较大,因此性能明显好于小包,并且由于 文件中的连接数相对较少,当建立18 200次连接时,记录成 功率约只有48.9%。但是随着客户端请求数的增加,在省去 log操作的情况下,session.1og的记录也出现丢失现象,当建 数据包的payload所占包长度比例较大,因此有无参数“d” 性能差别很大。在无需记录payload内容时,发送速率达到 线速8 126pps的情况下,捕包记录成功可达到100%,这一 结果可以从64B小包的实验中得到解释。当需要记录包的数 据内容时,l0g的成功率只有50%,此时的规则匹配记录成 功率分别为44%(+d)和66%(一d)。当发包速度调整至2 000pps 时,二者的成功率都接近100%,此时网络带宽的吞吐率约为 24-3% 立24 343次连接时,丢失率为8%。 表3 WebStone测试snort鳍果 褥 督 翘 颦 露 露 匡 鋈墓 8 l26 5 000 1og4总结 本文提出了一种新的测试网络信息安全系统的测试方 法。该方法利用ServerScope的可扩展性,从软件上实现测试 负载的多样性,从硬件上简化了测试的复杂性。它弥补了回 2 000 l 000 曰dl。g-1518 口1518 发包速率(p, ) (a)测试snort的捕包性能 放方法负载单一的缺点,并根据流量模型和突发事件模拟真 实网络环境。它通过插件的方式任意增减负载的种类,从而 增强了测试的灵活性,为测试提供了更广阔的测试内容的空 褥 雷 圃 馁 8 09l 雾 5 000 间;同时它通过用刀片作为服务节点,既实现了测试流的交 互性,又简化了测试环境的部署。目前该测试方法已经成功 地应用到snort等安全系统的测试中,并取得了较好的效果。 笔者将在下一步工作中有针对性地开发一些负载发生软 l 000 2 000 0 c+log+d1518 0 c 发包速率(p/s) 件,使之更加接近用户的测试需求。此外,负载发生性能也 (b)测试snort的规则匹配性能 是影响测试结果的一个主要因素,对测试软件体系结构的探 讨和性能的深入优化也是下一步工作的重点。 圈5用1518BTCP包测试snort性健 (3)dx结 参考文献 1焦丽梅,孙凝晖,褚兴军.ServerScope:一种新的性能评测系统的 提出….计算机工程与应用,2003,39(13):55—57. 2 Hall M,Wiley K.Capacity Verification for High Speed Network 小包和大包的测试表明,snort处理小包的能力还是十分 有限的,攻击者可以利用系统的这一缺陷将攻击行为隐藏在 大量的小包中,使其不易发现。 3.2连接处理性能 试 包测试虽然速度快、数量大,但是真正的攻击往往是隐 匿在完整的TCP连接中,所以基于连接的性能测试比包测试 更加有意义。基于连接的监测也逐渐被IDS开发者所重视。 这里选用了WebStone2.5作为测试工具。WebStone作为 一Intrusion Detection Systems[C].Proceedings of the Recent Advances in Intrusion Detection,2002. 3 Antonatos S,Anagnostakis K G,Markatos E P.Generating Realistic Workloads for Network Intrusion Detection Systems[C].Proc.of ACM WOSP’04,2004. 4 Antonatos S,Anagnostakis K G,Polychronakis M,et a1.Perlbrmance 种较为成熟的Web服务器测试工具,主要用来测试Web 服务器的单位时间请求数和吞吐率。它自带PCM网站的历史 网页作为负载,用户也可以根据自己的需求增减负载,并可 以按照网页的大小、类型定制负载和动态/静态请求,这里常 用的是GET请求方式。测试时选用3个节点分别安装 Webclient、Webmaster和Appache2.0.49,作为客户端Cnode, Analysis of Content Matching Intrusion Detection Systems[C]. Proceedings of he 4 IEEE/tIPSJ Symposium on Applications and the Intemet,2004. 5刘莹,焦丽梅,孙凝晖.基于ServerScope的TCP/IP负载发生器 的研究[J1.小型微型计算机系统,2005,26(5):850—854. 6 Hubona G S,Burton—Jones.Modeling the User Acceptance of 控制节点Mnode和服务节点Snode。并将3节点与被测的 sn0n系统通过hub连接,让snoa监听Cnode与Snode间的 交互流量。 E—Mail[C].IEEE Proceedings of the 36 Hawaii International Conference on System Sciences,2003. 7 Undercoffer,Pinkston J.Modeling Computer Attacks:A Target— 实验中根据Zipf分布,定义文件的被访问概率,具体情 况如表2所示。 一centric Ontology for Intrusion Detection[C].proc.of RAID’03,2003. 142一
因篇幅问题不能全部显示,请点此查看更多更全内容