a、百兆IDS产品
在64字节UDP包和76字节TCP包99%带宽(99Mbps流量)背景压力下,东软Net Eye IDS 2100、南大苏富特Soft NIDS 200和三零盛安的鹰眼NIDS的检测能力均达到100%,数据包的捕获和检测能力超过147322个/秒,三款百兆IDS性能表现均非常优异。
b、千兆IDS产品
从四款千兆IDS的测试结果来看,各产品在网络层性能方面有所差异。在UDP背景压力测试中,我们分别测试了各款产品在不同包长度和不同流量下的性能情况。当背景数据采用64字节数据包时,4款产品在250Mbps背景压力下检测率全部能够达到100%;到50%带宽背景压力时,绿盟科技冰之眼3.5版和安氏LinkTrust ND-GigaHA的检测率能够达到100%;到75%带宽(750Mbps)和99%带宽(990Mbps)背景压力时,都只有绿盟科技冰之眼3.5版可以保持100%的检测率。
当背景数据采用594字节数据包时,4款千兆IDS产品在250Mbps背景压力下全部可以达到100%检测率,当背景压力达到50%带宽(500Mbps)时安氏LinkTrust ND-GigaHA、绿盟科技冰之眼3.5版以及天融信NGIDS-UF等3款产品检测率可保持100%,在75%带宽(750Mbps)和99%带宽(990Mbps)背景压力下都只有2款产品达到100%。当背景数据采用1518字节数据包,背景压力达99%带宽(990Mbps)时,安氏LinkTrust ND-GigaHA Trust GIGA-HA、福建海峡黑盾1000e、绿盟科技冰之眼3.5版等3款产品的检测率可以达到100%。
在TCP背景压力测试中,采用76字节背景数据包时,安氏LinkTrust ND-GigaHA、福建海峡黑盾1000e、绿盟科技冰之眼3.5版、天融信NGIDS-UF等4款IDS产品在25%带宽(250Mbps)背景压力下检测率能够达到100%;当背景压力达到50%带宽(500Mbps)时,安氏LinkTrust ND-GigaHA、绿盟科技冰之眼3.5版、天融信NGIDS-UF等3款产品的检测率能够达到100%;当背景压力达到75%(750Mbps)和99%(990Mbps)带宽时,绿盟科技冰之眼3.5版依然可以保持100%的入侵检测率。
在594字节数据包测试中,4款千兆产品在25%带宽(250Mbps)下全部达到100%检测率,在50%(500Mbps)和75%(750Mbps)及99%背景压力下,安氏LinkTrust ND-GigaHA、绿盟科技冰之眼3.5版、天融信NGIDS-UF等3款产品的检测率可以保持100%的入侵检测率。另外,当背景数据采用1518字节数据包时,即使背景压力达到99%带宽,4款千兆IDS产品的检测率均可达到100%。
3.2、应用层性能测试
在对IDS进行基于应用层的性能测试时,赛迪评测采用了先进的可模拟完全用户/浏览器行为的测试仪器Avalanche 2500、Reflector2500及其最新版本Avalanche Commander 6.24软件作为测试平台,在发送预定的稳定背景流量的同时,检验IDS对攻击包的捕获和检测能力,以测试其网络性能的优劣。
对IDS进行基于应用层的性能测试中,背景数据统一采用大小为10K的文件。在百兆IDS测试中,分别仿真HTTP应用生成25Mbps、50Mbps、75Mbps、99Mbps背景流量,来测试IDS的入侵检测能力。另外,仿真HTTP和FTP每秒新建300、500、800、1000个连接。在千兆环境下,分别仿真HTTP应用生成250Mbps、500Mbps、750Mbps、990Mbps背景流量,测试IDS在相应背景压力下的入侵检测能力。并仿真HTTP和FTP每秒新建3000、5000、8000、10000个连接,测试该应用环境下各产品的入侵检测率。
a、百兆IDS产品
在背景压力采用HTTP应用时,75%带宽(75Mbps)压力下,东软Net Eye IDS 2100和南大苏富特Soft NIDS 200的检测能力达到100%、三零盛安的鹰眼NIDS的检测能力达到97.92%,在99%带宽(99Mbps)压力下,东软Net Eye IDS 2100的检测能力达到83.33%、三零盛安的鹰眼NIDS的检测能力达到82.81%、南大苏富特Soft NIDS 200的检测能力达到75%。
在HTTP每秒新建连接测试中,每秒新建1000个连接时,东软Net Eye IDS 2100和南大苏富特Soft NIDS 200的检测能力达到100%、三零盛安的鹰眼NIDS的检测能力达到94.79%;
当基于FTP应用每秒新建800个连接时,南大苏富特Soft NIDS 200和东软Net Eye IDS 2100的检测能力达到100%、三零盛安的鹰眼NIDS的检测能力达到87.50%,在FTP每秒新建1000个连接时,南大苏富特Soft NIDS 200的检测能力达到100%、三零盛安的鹰眼NIDS的检测能力达到87.50%、东软Net Eye IDS 2100的检测能力达到85.8%。
b、千兆IDS产品
在HTTP背景压力测试中,75%带宽(750Mbps)压力下绿盟科技冰之眼入侵检测系统3.5版和安氏LinkTrust ND-GigaHA的检测能力达到100%;在FTP每秒新建10000个连接时,福建海峡黑盾1000e、天融信NGIDS-UF、安氏LinkTrust ND-GigaHA和绿盟科技冰之眼入侵检测系统3.5版的检测能力达到100%。在基于HTTP应用每秒新建连接测试中,每秒新建8000个连接时绿盟科技冰之眼入侵检测系统3.5版和安氏LinkTrust ND-GigaHA的检测能力达到100%,在每秒新建10000个连接时绿盟科技冰之眼入侵检测系统3.5版依然可以完全检测;
在HTTP流量背景下,各千兆IDS产品保持100%检测能力的最大背景压力也有较大差异,绿盟科技冰之眼3.5版达到928兆、安氏LinkTrust ND-GigaHA达到821兆、天融信NGIDS-UF达到640兆。
三、结论
综合2003-2004年度国内主流IDS产品的现状以及往年所测产品的情况,赛迪评测认为:
1、IDS产品在性能方面取得了突破性进展。
2002-2003年度百兆IDS在64字节100%压力下平均检测能力仅有40.2%,而2003-2004年度我们所测试的百兆IDS有3款已达到100%,这标志着百兆IDS产品在性能方面已经趋于成熟。而千兆IDS产品的性能也有了长足的发展,捕获数据包的能力每秒67万~85万,最高可达140多万。对大流量网络的适应能力明显增强。
2、IDS产品的检测能力逐步趋于成熟。
由于厂商对IDS产品的设计思路不同,IDS产品的检测能力存在一定差异。本次测试的13款产品,有8款产品的检测能力达到90%以上,其中的5款产品检测能力更高达98%。
3、IDS产品功能有向多样化、模块化发展的趋势。
早在2002年,部分IDS产品就具备了网络流量分析、页面重组、内容恢复、事件回放等功能,经过几年的发展,如今的IDS产品不仅功能更为完善多样,各产品的特色功能更为突出,而且功能的模块化也更有利于用户根据实际需要进行定制和应用。
您现在的位置: 中华软件网|中国软件导购网 >> 信息安全 >> 入侵检测 >> 产品评测 >> 信息安全正文
