网络安全产品的稳定性测试方法和控制台

技术领域

本发明涉及通信技术领域，尤其涉及一种网络安全产品的稳定性测试方 法和控制台。

背景技术

目前，网络安全产品出厂或销售前，测试人员需要对网络安全产品的 稳定性进行测试，获取稳定工作时网络安全产品能够处理的最大混合流 量。

现有技术中，测试人员需要采用混合流量产生工具或仪表模拟出初始 混合流量，将初始混合流量提供给网络安全产品，以对网络安全产品的稳 定性进行测试。网络安全产品对初始混合流量进行处理时，测试人员会采 集网络安全产品的CPU利用率或内存使用率等性能指标，根据采集到的 性能指标分析网络安全产品是否能够稳定工作，并根据分析结果调整初始 混合流量，从而确定网络安全产品稳定工作时能够处理的最大混合流量。

然而，现有技术中，测试人员需要手动部署模拟初始混合流量所需要 的客户端和服务器，将混合流量产生工具安装在客户端和服务器上，对混 合流量产生工具进行参数配置，以使客户端和服务器通过网络安全产品进 行交互，向网络安全产品提供初始混合流量。当测试人员得到分析结果后， 还需要根据分析结果对混合流量产生工具的参数配置手动进行修改，以调 整初始混合流量，直至混合流量为网络安全产品稳定工作时能够处理的最 大混合流量为止，导致网络安全产品的测试效率低，测试成本高。

发明内容

本发明提供一种网络安全产品的稳定性测试方法和控制台，用于解决现 有技术中网络安全产品的测试效率低，测试成本高的问题。

本发明的第一个方面是提供一种网络安全产品的稳定性测试方法，包 括：

控制台向客户端和服务器发送参数配置信息，以使所述客户端和服务器 根据所述参数配置信息通过网络安全产品进行交互，以向所述网络安全产品 提供初始混合流量，所述参数配置信息包括：所述初始混合流量中各流量对 应的控制参数；

在所述网络安全产品对接收到的所述初始混合流量进行处理时，所述控 制台获取所述网络安全产品的性能参数；

所述控制台根据所述性能参数对所述网络安全产品进行性能评估，获得 所述网络安全产品的性能评估值；

所述控制台根据所述性能评估值对所述参数配置信息进行调整，并将调 整后的参数配置信息发送给所述客户端和所述服务器，直至所述网络安全产 品的性能评估值满足预设的条件；

当所述网络安全产品的性能评估值满足预设的条件时，所述控制台将所 述网络安全产品接收到的混合流量作为所述网络安全产品稳定工作时能够处 理的最大混合流量。

本发明的另一个方面提供一种控制台，包括：

发送模块，用于向客户端和服务器发送参数配置信息，以使所述客户端 和服务器根据所述参数配置信息通过网络安全产品进行交互，以向所述网络 安全产品提供初始混合流量，所述参数配置信息包括：所述初始混合流量中 各流量对应的控制参数；

获取模块，用于在所述网络安全产品对接收到的所述初始混合流量进行 处理时，获取所述网络安全产品的性能参数；

评估模块，用于根据所述性能参数对所述网络安全产品进行性能评估， 获得所述网络安全产品的性能评估值；

调整模块，用于根据所述性能评估值对所述参数配置信息进行调整，并 将调整后的参数配置信息发送给所述客户端和所述服务器，直至所述网络安 全产品的性能评估值满足预设的条件；

确定模块，用于在所述网络安全产品的性能评估值满足预设的条件时， 将所述网络安全产品接收到的混合流量作为所述网络安全产品稳定工作时能 够处理的最大混合流量。

本发明中，控制台通过向客户端和服务器发送参数配置信息，以使客户 端和服务器根据参数配置信息通过网络安全产品进行交互，以向网络安全产 品提供初始混合流量，在网络安全产品对接收到的初始混合流量进行处理 时，控制台获取网络安全产品的性能参数，根据性能参数对网络安全产品进 行性能评估，获得网络安全产品的性能评估值，根据该性能评估值对参数配 置信息进行调整，并将调整后的参数配置信息发送给客户端和服务器，直至 网络安全产品的性能评估值满足预设的条件，并将性能评估值满足预设的条 件时网络安全产品接收到的混合流量作为网络安全产品稳定工作时能够处理 的最大混合流量，通过对网络安全产品的性能进行自动评估以及根据性能估 计值对参数配置信息进行自动调整，使得控制台能够对网络安全产品的稳定 性进行自动化测试，获取网络安全产品稳定工作时能够处理的最大混合流 量，从而提高了网络安全产品的测试效率，降低了网络安全产品的测试成 本。

附图说明

图1为本发明提供的网络安全产品的稳定性测试方法一个实施例的流程 图；

图2为控制台、混合流量控制器、客户端和服务器的网络拓扑示意图；

图3为本发明提供的网络安全产品的稳定性测试方法又一个实施例的流 程图；

图4为控制台根据网络安全产品的性能评估值对混合流量中各流量的数 值进行调整的流程图；

图5为本发明提供的控制台一个实施例的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发 明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述， 显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于 本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获 得的所有其他实施例，都属于本发明保护的范围。

图1为本发明提供的网络安全产品的稳定性测试方法一个实施例的流程 图，如图1所示，包括：

101、控制台向客户端和服务器发送参数配置信息，以使客户端和服务 器根据参数配置信息通过网络安全产品进行交互，以向网络安全产品提供初 始混合流量，参数配置信息包括：初始混合流量中各流量对应的控制参数。

其中，网络安全产品可以为网络入侵防护系统（Intrusion Prevention  System，IPS），下一代防火墙（Next generation firewall，NGFW），安全审 计系统（Security Audit System，SAS）等保护网络安全的产品。这些保护网 络安全的产品需要进行多轮的性能测试，才能供用户使用。

控制台向客户端和服务器发送参数配置信息之前，需要部署客户端和服 务器，以便客户端和服务器能够根据参数配置信息通过网络安全产品进行交 互。其中，混合流量产生工具包括客户端和服务器，客户端主要用于生成流 量数据请求，服务器主要用于对流量数据请求进行响应。控制台可以通过混 合流量控制器对混合流量产生工具进行统一控制，从而在不同终端上分别部 署客户端和服务器。控制台部署客户端和服务器的过程具体可以为：将流量 数据请求生成的客户端和对客户端的流量数据请求进行响应的服务器端分别 部署到不同的终端上；为了保证整个网络拓扑的基本通信，控制台可以查询 整个网络拓扑中的每一台终端的操作系统的版本、ipv4/ipv6配置信息、路由 信息，在没有操作系统的终端上部署操作系统，在没有配置ipv4/ipv6的终端 上配置ipv4/ipv6。另外，控制台还可以对部署在网络拓扑中的终端进行IP的 配置和路由的增删改等，使得客户端与服务器之间能够正常通信。上述部署 客户端和服务器的过程可以由软件自动执行，使得用户可以远程查看当前客 户端和服务器上的系统版本，以及客户端和服务器需要进行的配置。

控制台部署客户端和服务器之后，还可以将客户端和服务器所采用的系 统版本保存到系统库中，将各终端上的将ipv4/ipv6的配置方法以及路由的增 删改方法保存到方法库中，将保存客户端和服务器的当前配置，形成模板， 保存到模板库中，以便再次部署客户端和服务器时，可以从系统库中获取系 统版本，或者从方法库中获取ipv4/ipv6的配置方法以及路由的增删改方法， 或者从模板库中获取已有的客户端和服务器的配置。

进一步地，本方法所述的混合流量具体可以包括：超文本传输协议 （Hypertext transfer protocol，HTTP）流量、用户数据报协议（User Datagram  Protocol，UDP）流量、文件传输协议（File Transfer Protocol，FTP）流量、 简单邮件传输协议（Simple Mail Transfer Protocol，SMTP）流量中的一种或 多种。对应的，参数配置信息可以包括：上述各种流量对应的控制参数。

例如：HTTP流量对应的控制参数可以为：最大虚拟用户数 (CLIENTS_NUM_MAX)，开始阶段需要启动的用户数（CLIENTS_NUM_ START），每一秒爬坡增加的用户数（CLIENTS_RAMPUP_INC）以及服务 器端http请求的文件大小(SERVER_FILE_SIZE)中的一种或多种参数。UDP 流量对应的控制参数可以为：每一个UDP数据包的大小（PKT_SIZE）和发 送UDP数据包的数量（PKT_COUNT）中的一种或多种参数。FTP流量对应 的控制参数可以为：客户端ftp请求的数目(CLIENTS_REQ_MAX)，以及服 务器端ftp请求的文件大小(SERVER_FILE_SIZE)中的一种或多种参数。 SMTP流量对应的控制参数可以为：邮件消息的最大字节数 (MAX_MSG_SIZE)，一次链接发送邮件的数目(MSG_PER_CONN)，以及每 分钟发送邮件的数目(MSG_PER_MIN)中的一种或多种参数。根据上述四种 流量对应的控制参数，控制台可以控制上述四种流量在混合流量中的百分 比。控制台可以将上述配置信息以配置文档（config.xml）的形式发送给部署 在不同终端上的流量生成工具的客户端和服务器。

例如，在混合流量大小为1G的情况下，可以参考的参数配置信息如 下：四种流量的权重参数均为1，HTTP流量对应的控制参数为： CLIENTS_NUM_MAX=20，CLIENTS_NUM_START=1， CLIENTS_RAMPUP_INC=5，SERVER_FILE_SIZE=80(M)；UDP流量对应 的控制参数为：PKT_SIZE=60（byte），PKT_COUNT=0（无限发包）；FTP 流量对应的控制参数为：CLIENTS_REQ_MAX=10，SERVER_FILE_SIZE =18(M)；SMTP流量对应的控制参数为：MAX_MSG_SIZE=40000（kb）， MSG_PER_CONN=1，MSG_PER_MIN=5000。参考配置下四种流量的数值 分别为：HTTP流量的数值为310M；UDP流量的数值为390M；FTP流量的 数值为150M；SMTP流量的数值为150M。由于不同终端的性能不同以及网 络带宽的影响，根据上述参数配置信息实际产生的混合流量会有大约10%的 误差。

另外，控制台还可以将四种流量在混合流量中的百分比发送给混合流量 控制器，由混合流量控制器根据四种流量在混合流量中的百分比对各流量对 应的控制参数进行设置，并将设置好的各流量对应的控制参数发送给客户端 和服务器，控制台、混合流量控制器、客户端和服务器的网络拓扑示意图如 图2所示。

102、在网络安全产品对接收到的初始混合流量进行处理时，控制台获 取网络安全产品的性能参数。

其中，网络安全产品的性能参数包括：CPU的利用率、网卡的丢包率、 内存的使用率和磁盘的I/O服务占用比例。CPU的利用率指的是网络安全产 品的用户进程占用CPU的百分比；网卡的丢包率可以用n=b/a来表示，其 中，a为网卡接收的数据包的总数，b为网卡由于自身或网络安全产品的性能 限制，丢弃的数据包的数量；内存的使用率指的是网络安全产品当前可用物 理内存占用设备总物理内存的百分比；磁盘的I/O服务占用比例指的是单位 时间内网络安全产品的I/O系统用于磁盘I/O操作的百分比。

103、控制台根据性能参数对网络安全产品进行性能评估，获得网络安 全产品的性能评估值。

具体地，控制台根据性能参数对网络安全产品进行性能评估的计算公式 可以为：

p=(β₁m+β₂c+β₃d+β₄n)/4；

其中，p为网络安全产品的性能评估值，m为内存的使用率，c为CPU 的利用率，d为磁盘的I/O服务占用比例，n为网卡的丢包率，β₁，β₂，β₃， β₄分别为m、c、d和n的权重。

另外，网络安全产品的性能参数还包括：数据包的延时时间。数据包的 延时时间指的是客户端发送数据包的时间戳t1与服务器接收所述数据包的时 间戳t2之间的差值。

104、控制台根据性能评估值对参数配置信息进行调整，并将调整后的 参数配置信息发送给客户端和服务器，直至网络安全产品的性能评估值满足 预设的条件。

105、当网络安全产品的性能评估值满足预设的条件时，控制台将网络 安全产品接收到的混合流量作为网络安全产品稳定工作时能够处理的最大混 合流量。

其中，本实施例中采用控制台对网络安全产品的稳定性进行自动测试， 还可以在一定程度上缩短网络安全产品的稳定性测试时间。

另外，控制台还可以在每次对参数配置信息进行调整之前，记录网络安 全产品接收到的混合流量以及网络安全产品对混合流量进行处理时的性能参 数，使得测试人员可以对该记录分析得到网络安全产品可能存在的故障，以 及如何对网络安全产品进行改进等。控制台还可以在对其他网络安全产品进 行稳定性测试时，根据该记录为其他网络安全产品选择合适的参数配置信息 以生成初始混合流量，可以进一步缩短网络安全产品的稳定性测试时间。

本实施例中，控制台通过向客户端和服务器发送参数配置信息，以使客 户端和服务器根据参数配置信息通过网络安全产品进行交互，以向网络安全 产品提供初始混合流量，在网络安全产品对接收到的初始混合流量进行处理 时，控制台获取网络安全产品的性能参数，根据性能参数对网络安全产品进 行性能评估，获得网络安全产品的性能评估值，根据该性能评估值对参数配 置信息进行调整，并将调整后的参数配置信息发送给客户端和服务器，直至 网络安全产品的性能评估值满足预设的条件，并将性能评估值满足预设的条 件时网络安全产品接收到的混合流量作为网络安全产品稳定工作时能够处理 的最大混合流量，通过对网络安全产品的性能进行自动评估以及根据性能估 计值对参数配置信息进行自动调整，使得控制台能够对网络安全产品的稳定 性进行自动化测试，获取网络安全产品稳定工作时能够处理的最大混合流 量，从而提高了网络安全产品的测试效率，降低了网络安全产品的测试成 本。

图3为本发明提供的网络安全产品的稳定性测试方法又一个实施例的流 程图，如图3所示，在图1所示实施例的基础上，步骤104具体可以包括：

1041、控制台判断性能评估值是否满足预设的条件。

其中，网络安全产品的性能评估值满足预设的条件指的是，网络安全产 品的性能评估值维持在[60%，80%]的范围内。

1042、若性能评估值不满足预设的条件，则控制台根据性能评估值确定 反馈因子。

控制台根据性能评估值确定反馈因子的计算公式为：

$\beta \left(p\right)=\left(\begin{array}{cc}p-1& 80\%<p<100\%\\ 0& 60\%\le p\le 80\%\\ (1-p)/2& 40\%\le p<60\%\\ 2p& 20\%\le p<40\%\end{array}\right);$

其中，β(p)为反馈因子。

1043、控制台根据反馈因子对参数配置信息进行调整。

其中，控制台可以先根据反馈因子对各流量的数值成比例进行调整，然 后将调整后的配置文件（config.xml）下发到部署在不同终端上的客户端和服 务器，使得客户端和服务器根据各流量数值的调整结果对各流量对应的控制 参数进行调整。

控制台根据反馈因子对各流量的数值进行调整的公式具体可以为：

$\left(\begin{array}{c}{S}_{\mathrm{input}}=\underset{i=1}{\overset{4}{\Sigma }}{\alpha }_1{s}_i\\ S_{\mathrm{output}}=(1+\beta \left(p\right))S_{\mathrm{input}}\end{array}\right)$

其中，S_input为初始混合流量，S_output为调整后的混合流量。α_is_i为初始混 合流量中各流量的数值，α_i为各流量对应的进程数，s_i为每个进程开启的客 户端同对应的服务器交互产生的流量。其中i的取值区间[1,4]。

例如，若a₁为HTTP对应的进程数，s₁为每个进程开启的HTTP客户端同 对应的HTTP服务器交互产生的流量，a₂为UDP对应的进程数，s₂为每个进 程开启的UDP客户端与对应的UDP服务器交互产生的流量，a₃为FTP对应 的进程数，s₃为每个进程开启的FTP客户端与对应的FTP服务器交互产生的 流量，a₄为SMTP对应的进程数，s₄为每个进程开启的SMTP客户端与对应 的SMTP服务器交互产生的流量，控制台根据网络安全产品的性能评估值对 混合流量中各流量的数值进行调整的流程图如图4所示。

本实施例中，控制台通过向客户端和服务器发送参数配置信息，以使客 户端和服务器根据参数配置信息通过网络安全产品进行交互，以向网络安全 产品提供初始混合流量，在网络安全产品对接收到的初始混合流量进行处理 时，控制台获取网络安全产品的性能参数，根据性能参数对网络安全产品进 行性能评估，获得网络安全产品的性能评估值，在性能评估值不满足预设的 条件时，根据性能评估值确定反馈因子，根据反馈因子对参数配置信息进行 调整，并将调整后的参数配置信息发送给客户端和服务器，直至网络安全产 品的性能评估值满足预设的条件，并将性能评估值满足预设的条件时网络安 全产品接收到的混合流量作为网络安全产品稳定工作时能够处理的最大混合 流量，通过对网络安全产品的性能进行自动评估以及根据性能估计值对参数 配置信息进行自动调整，使得控制台能够对网络安全产品的稳定性进行自动 化测试，获取网络安全产品稳定工作时能够处理的最大混合流量，从而提高 了网络安全产品的测试效率，降低了网络安全产品的测试成本。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步 骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可 读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而 前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代 码的介质。

图5本发明提供的控制台一个实施例的结构示意图，如图5所示，包 括：

发送模块51，用于向客户端和服务器发送参数配置信息，以使客户端和 服务器根据参数配置信息通过网络安全产品进行交互，以向网络安全产品提 供初始混合流量，参数配置信息包括：初始混合流量中各流量对应的控制参 数；

获取模块52，用于在网络安全产品对接收到的初始混合流量进行处理 时，获取网络安全产品的性能参数；

评估模块53，用于根据性能参数对网络安全产品进行性能评估，获得网 络安全产品的性能评估值；

调整模块54，用于根据性能评估值对参数配置信息进行调整，并将调整 后的参数配置信息发送给客户端和服务器，直至网络安全产品的性能评估值 满足预设的条件；

确定模块55，用于在网络安全产品的性能评估值满足预设的条件时，将 网络安全产品接收到的混合流量作为网络安全产品稳定工作时能够处理的最 大混合流量。

其中，网络安全产品的性能参数包括：CPU的利用率、网卡的丢包率、 内存的使用率和磁盘的I/O服务占用比例；

评估模块53根据性能参数对网络安全产品的性能进行评估的计算公式 为：

p=(β₁m+β₂c+β₃d+β₄n)/4；

其中，p为网络安全产品的性能评估值，m为内存的使用率，c为CPU 的利用率，d为磁盘的I/O服务占用比例，n为网卡的丢包率，β₁，β₂，β₃， β₄分别为m、c、d和n的权重。

进一步地，调整模块54具体用于，判断性能评估值是否满足预设的条 件；若性能评估值不满足预设的条件，则根据性能评估值确定反馈因子；根 据反馈因子对参数配置信息进行调整。

而调整模块54根据性能评估值确定反馈因子的计算公式具体可以为：

$\beta \left(p\right)=\left(\begin{array}{cc}p-1& 80\%<p<100\%\\ 0& 60\%\le p\le 80\%\\ (1-p)/2& 40\%\le p<60\%\\ 2p& 20\%\le p<40\%\end{array}\right);$

其中，β(p)为反馈因子。

另外，网络安全产品的性能参数还包括：数据包的延时时间。混合流量 包括：超文本传输协议HTTP流量、用户数据报协议UDP流量、文件传输协 议FTP流量、简单邮件传输协议SMTP流量中的一种或多种。

本实施例中，控制台通过向客户端和服务器发送参数配置信息，以使客 户端和服务器根据参数配置信息通过网络安全产品进行交互，以向网络安全 产品提供初始混合流量，在网络安全产品对接收到的初始混合流量进行处理 时，控制台获取网络安全产品的性能参数，根据性能参数对网络安全产品进 行性能评估，获得网络安全产品的性能评估值，根据该性能评估值对参数配 置信息进行调整，并将调整后的参数配置信息发送给客户端和服务器，直至 网络安全产品的性能评估值满足预设的条件，并将性能评估值满足预设的条 件时网络安全产品接收到的混合流量作为网络安全产品稳定工作时能够处理 的最大混合流量，通过对网络安全产品的性能进行自动评估以及根据性能估 计值对参数配置信息进行自动调整，使得控制台能够对网络安全产品的稳定 性进行自动化测试，获取网络安全产品稳定工作时能够处理的最大混合流 量，从而提高了网络安全产品的测试效率，降低了网络安全产品的测试成 本。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对 其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通 技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修 改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替 换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。