[发明专利]一种网络病毒监控设备测试系统及方法

说明书

技术领域

本发明涉及测试领域，尤其涉及一种网络病毒监控设备测试系统及方法。

背景技术

大型企业、政府和地方电信网络的日益庞大，致使内部网络节点众多，并且结构复杂，内部一旦有少量节点感染蠕虫并疯狂扫描，即可造成网络出口的瘫痪。所以网络监控设备的需求日益增强，其功能和性能是否能够达到预期目标，直接关系到网络的安全性和稳定性，那么网络监控设备的自动化测试也就日趋重要。

目前，绝大多数网络病毒监控设备监测的是整个庞大的网络，一旦设备出现问题，最终可能会造成整个网络出现瘫痪。目前大多数情况下客户测试网络病毒监控设备都是采用手动方式，该方式存在人为因素，不同人测试的结果可能会有不同，无法保证100%正确。而且由于目前病毒传输方式的多样化，现有的普通测试很难模拟多种协议，如果模拟多种协议，传统的数据传输需要建立新的TCP连接，而新建连接往往需要自定义端口，同时需要在防火墙等设备上放行该端口，这样会给整个网络带来安全隐患。

再者，传统的测试没有办法确定是由于操作的原因还是网络监控设备的原因导致的样本不能被检出。

因此网络病毒监控设备的功能和性能的自动化测试变得尤为重要。

发明内容

针对以上不足，本发明要解决的技术问题是提供一种网络病毒监控设备的测试系统及方法，本方法能够自动化的测试网络病毒监控设备，并且可以在不需要建立新连接的基础上同时模拟多种协议，构造标准样本集测试网络病毒监控设备。

本发明公开了一种自动化测试网络病毒监控设备功能和性能的系统和方法。

一种网络病毒监控设备测试系统，包括：网络服务器，测试服务器以及网络病毒监控设备，其中，

网络服务器，用于提供各种网络服务，包含有HTTP服务、FTP服务以及SAMBA服务，并且存储用于向测试服务器发送的标准病毒测试样本集；

测试服务器，与网络服务器相连接，用于提供各种测试脚本以及测试工具，接收网络服务器中的测试样本；

网络病毒监控设备，检测由网络服务器与测试服务器提供服务所形成的网络流量。

进一步的，该系统还可以包括：

在网络服务器、测试服务器与网络病毒监控设备之间，还可以连接一台镜像交换机，用于镜像网络服务器和测试服务器的网络流量，镜像的网络流量传给网络病毒监控设备进行检测。

进一步的，该系统还可以包括背景流量服务器，背景流量服务器与网络服务器和测试服务器相连接，若有镜像交换机，背景流量服务器的网络流量传送至镜像交换机；

背景流量服务器，发送数据包到背景流量并发服务器，用于模拟用户行为，形成系统环境的背景流量。

进一步的，该系统仍可以包括背景流量并发服务器，背景流量并发服务器与网络服务器、测试服务器、背景流量服务器相连接，若有镜像交换机，背景流量并发服务器的网络流量也传送至镜像交换机；

背景流量并发服务器，接收来自背景流量服务器发送来的数据包，并回放数据包，形成网络流量回路，模拟系统的并发背景流量。

该系统中所提到的设备均采用双网卡配置，一个网卡用于控制和管理正常的网络流量；一个网卡用于模拟病毒流量，将模拟的流量隔离在一个封闭的网络环境里面，避免带有病毒的流量影响工作网络。

网络服务器中的标准病毒测试样本集，包括：第一测试标准样本集，第二测试标准样本集以及第三测试标准样本集；

第一测试标准样本集是主流杀毒软件均可检出的样本集合，选取杀毒软件的数量可以根据实际测试情况选取，杀毒软件的数量选取的越多，第一测试标准样本集中的样本就越精确；

第二测试标准样本集是在网络病毒监控设备的最佳检测模式下可检测出的样本集合，这些样本也应该在有各种背景流量干扰或者增加测试流量大小和增加测试样本数量的情况下，仍然能够检出；

最佳检测模式是指在千兆级网络病毒监控设备的最佳检测模式指在无任何干扰的情况下，样本传输速度为该监控设备传输速度的1/1000；百兆级网络病毒监控设备的最佳检测模式指在无任何干扰的情况下，样本传输速度为该监控设备传输速度的1/100。

第三测试标准样本集是主流杀毒软件扫描后均认为正常的白名单文件。其构造方法包括：一台安装有正版windows系统的设备，在其系统目录下，选取100个可执行文件，可执行文件的数量可根据实际情况自定义，并使用多家主流杀毒软件进行扫描，确保没有病毒文件存在。在正版windows中，可执行文件是病毒文件的可能性已经很小，再经过杀毒软件的二次过滤，样本集中的文件基本上可认定为白名单文件。