4系统测试

4.1测试环境建设

测试环境如表1所示。客户端配置在每台客户机上，主机用作服务器端和管理员机，IP分别为192.168.1.1和192.168.1.2.测试的拓扑结构如图2所示。

4.2测试方案

该系统的测试方案主要包括：功能测试、压力测试、安全测试[3]。

4.2.1功能测试（1）动态拓扑生成使用多个不同网段客户端在不同时间接入网络，并在不同时间离开网络，测试服务器拓扑生成的响应时间和准确性。当机器与服务器接入或离开网络时，拓扑的响应时间不同。远离服务器的机器接入或离开网络，拓扑响应时间长；近距离机器，拓扑响应时间短。当机器接入网络时，拓扑能否正确获取沿途的网络信息。当机器离开网络时，可能会产生一些没有机器连接到网络的网段，是否能正确识别这些网络并在拓扑中删除。当网络主机频繁接入或离开时，拓扑是否仍能正常显示，系统是否会崩溃。（2）客户端运行后，服务器向客户端发送不同的审计策略，测试客户端接收策略的响应时间和准确性。当客户端运行之前的审计策略时，能否及时接收并响应新的审计策略。当服务器频繁发送审计策略时，客户是否能及时响应并接收最新的审计策略，判断哪一种是最新的审计策略。（3）当不同的客户端在不同或相同的时间浏览不同的网页时，测试是否可以恢复客户端浏览的所有网页，以测试恢复网页的效率和准确性。当客户端浏览网页时，能否正确恢复网页的文本信息，JS脚本信息、图片及压缩后的相关信息。当客户端同时浏览多个网页时，能否区分这些同时到达的网页信息，能否正确重组这些网页数据包并单独保存。当多台机器同时浏览相同的网页时，是否可以判断相同的连接，并且只恢复一次，无冗余信息。多台机器同时浏览不同网页时，能否正确重组数据包，正确恢复各种网页信息，区分客户端对应的网页信息。（4）SSL审计类似于网页恢复，客户端在不同时间浏览https测试客户端的效率和准确性。当客户端浏览一个时SSL网站时，SSLProxy是否能动态组装正确的证书。同时浏览多个客户端SSL网站时，SSLProxy能否同时正确组装所有网站的证书。证书装配完成后，SSLProxy能否恢复网页的全部内容，包括：文字信息、图片信息、脚本信息等。同时浏览多个SSL网站时，能否同时恢复多个网页信息。（5）知识库同步管理员在不同时间添加或删除知识库内容，检查客户端知识库的更新效率和准确性。当管理员添加、删除一个、删除多个知识库时，从服务器不同的客户端更新知识库的响应时间和准确性。当管理员频繁更新知识库时，客户端响应知识库更新的响应时间，以及所有客户端是否能及时准确地更新。（6）内容审计不同客户端同时浏览网页，区分每个客户端的流量大小，改变每个客户端的流量大小，测试分布式协作算法的效率、内容审计效率和内容审计的准确性。改变不同客户端的CPU检查分布式协作算法的效率，是否能及时重新分配审计负荷。客户端浏览不同的网页，测试客户端是否利用知识库正确识别非法信息。客户端浏览大量网页，测试客户端能否利用知识库正确识别非法信息，测试系统分析的时间和运行稳定性。[4]

4.2.2压力测试(1)流量测试流量测试将测试系统数据采集和协议分析的效率。在不同流量水平下，统计丢包率。(2)分布式规模测试本系统由多个分布式规模测试Agent主机构成分布式结构，主机实现数据采集和数据审计模块的分布式协作。为了测试系统在执行分布式计算任务时对不同主机数量的网络环境的性能和稳定性的变化。测试将依次使用增加的主机数量，加入分布式网络，然后测试系统性能和稳定性的变化。不仅要考虑主机数量的影响，对于每个主机，当协作开始时，需要使用分布式协作算法，算法的性能也会影响整个系统的性能。因此，在主机数量相同的情况下，随机改变每台主机的初始审计任务。实施测试，观察审计系统的处理性能(3)控制中心压力测试采用多台主机连接，测试控制中心压力测试采用多台主机连接，测试控制中心压力测试采用多台主机连接，测试控制中心压力测试采用多台主机连接。Web服务负荷，QT界面响应时间。

4.2.3安全测试（1）数据库密码安全：密码安全包括密码长度和密码多样性。密码长度必须超过8位，密码必须包括字母、数字和符号。（2）知识库操作安全：管理员必须按照提示添加知识库，以测试添加操作是否成功。（3）系统操作安全：系统中的一些文本框可以手动输入，测试用户是否在文本框中输入非法内容，以防止错误SQL注入等攻击.

4.3结果分析

对于功能测试，大部分功能都比较满意，但是网页恢复时丢失率太高，需要进一步改进。对于压力测试，由于数据采集过程中流量过大，存在一些正常的丢包行为，但丢包率较低，可以接受。在规模测试方面，随着网络规模的增加，分布式的优势越来越明显。面对庞大的网络流量和审计任务，每个单独的系统都能平衡网络负载和审计任务，但此时系统占用的资源略有减少。在安全测试方面，主要参考一些国家安全标准，强制用户在功能上做一些标准化的操作。因此，对于通常的SQL注入、重放攻击等，都不能对系统造成损坏。

5总结与展望

5.1主要工作总结

根据用户的实际需要，在现有网络安全审计技术研究的基础上，提出并设计了分布式网络安全审计系统。它为用户提供了位于防火墙和入侵检测系统后的第三层保护屏障。本文围绕分布式网络安全审计系统开展了以下研究工作：（1）研究现有网络安全审计系统，分析现有模型的不足。在此基础上，提出了分布式网络安全审计系统，分布式结构，SSL结合加密信息审计等技术。(2)在网络安全审计关键技术研究的基础上，对系统进行需求分析和技术可行性分析。在此基础上，提出了系统的整体设计方案，完成了各子系统和关键模块的设计和实现。(3)介绍了分布式网络安全审计系统的开发环境，展示了关键模块的实现代码和用户界面，从功能、压力、安全等方面对系统进行了全面的测试，提供了相关的测试数据和分析。

5.2展望

本文实现的分布式网络安全审计系统仍存在一些不足，后续研究方向主要包括以下几个方面：（1）本文只实现了应用层协议的恢复HTTP协议，对SMTP，FTP协议还原工作尚未完成，应用层协议还原的改进是下一步研究的关键内容之一。（2）在恢复网页时，虽然文本内容可以恢复，但图像恢复仍处于研究阶段，完成图像恢复功能也是后续的关键研究内容之一。（3）在测试网页恢复功能时，发现数据包丢失率过高，后续工作应找出丢失率高的原因。改进算法，将数据包丢失率降低到合理范围。（4）随着IPv6网络的普及，针对IPv6.网络安全审计工作越来越重要，本文设计实现的系统是基于IPv4网络，对IPv6.网络安全审计是后续的重点研究内容之一。