新聞中心

EEPW首頁 > 模擬技術(shù) > 設(shè)計(jì)應(yīng)用 > 基于環(huán)境模擬的入侵檢測系統(tǒng)測試方法

基于環(huán)境模擬的入侵檢測系統(tǒng)測試方法

作者: 時間:2009-11-06 來源:網(wǎng)絡(luò) 收藏

3.2 攻擊仿真
攻擊仿真是整個測試過程的關(guān)鍵,也是測試結(jié)果是否合理的關(guān)鍵。攻擊仿真的前期準(zhǔn)備工作是收集足夠多的攻擊數(shù)據(jù),實(shí)際上是收集現(xiàn)有所有已知的攻擊和系統(tǒng)的弱點(diǎn)數(shù)據(jù)。這些數(shù)據(jù)主要來自一些研究機(jī)構(gòu),像MIT的林肯實(shí)驗(yàn)室、IBM的蘇黎世研究院和一些網(wǎng)絡(luò)界有名的討論組(社區(qū)),如The NSS Group等,其中MIT林肯實(shí)驗(yàn)室的數(shù)據(jù)就其可用性、全面性和權(quán)威性都得到了廣泛的認(rèn)可。
測試用例的選擇應(yīng)該盡可能的全面,但是不可能把每一種現(xiàn)有的攻擊都試驗(yàn)一遍,因此要把所有的攻擊按照某種標(biāo)準(zhǔn)進(jìn)行劃分,在所劃分的每個子集里挑選若干個典型的攻擊來完成測試。實(shí)施具體的攻擊,可以利用軟件直接來實(shí)現(xiàn),也可以用編寫腳本的方法來實(shí)現(xiàn),利用shell編程和腳本語言編寫攻擊腳本來模擬入侵用戶的行為,實(shí)現(xiàn)攻擊的重放。
使用腳本和腳本解釋器的方法來模擬用戶的行為,對編寫好的腳本進(jìn)行解析,執(zhí)行再利用網(wǎng)絡(luò)連接命令連接到遠(yuǎn)端主機(jī),就能夠?qū)崿F(xiàn)多種多樣的攻擊重放。如果編寫并輸人多個不同的腳本,用并行算法加以控制就能夠模擬多個并發(fā)用戶的行為,實(shí)現(xiàn)多用戶并發(fā)攻擊的模擬。攻擊腳本的編寫要事先制定統(tǒng)一的編寫規(guī)范和格式。
3.3 事件合成
事件合成也是很重要的環(huán)節(jié),它是對網(wǎng)絡(luò)流量、模擬攻擊和測試對比的綜合考慮。一個仿真事件要包括事件的發(fā)生時間、結(jié)束時間和事件的內(nèi)容等其他一些必要的相關(guān)信息。網(wǎng)絡(luò)流量仿真中的事件可以是每一個網(wǎng)絡(luò)連接,基于連接的流量如TCP,也可以是一個網(wǎng)絡(luò)數(shù)據(jù)包,基于數(shù)據(jù)包的流量如UDP。主機(jī)使用仿真中的事件可以是網(wǎng)絡(luò)服務(wù)的每次使用,也可以是一條用戶指令的執(zhí)行。合成好的原始事件一方面給測試模塊做測試之用,一方面用日志記錄下來以備離線考察。將測試結(jié)果和原始事件進(jìn)行有效的對比就可以得出大部分的測試結(jié)果。
3.4 其他模塊
正常流量數(shù)據(jù)庫存放準(zhǔn)備好的網(wǎng)絡(luò)流量數(shù)據(jù),為流量仿真模塊的調(diào)用做事先的準(zhǔn)備;攻擊數(shù)據(jù)庫存放收集到的攻擊數(shù)據(jù),攻擊仿真模塊從攻擊數(shù)據(jù)庫取得數(shù)據(jù)處理后形成攻擊。事件日志記錄合成事件的日志和事件原始數(shù)據(jù),這些數(shù)據(jù)用于對測試結(jié)果的補(bǔ)充和一些離線的測試。運(yùn)行日志專門記錄IDS運(yùn)行產(chǎn)生的一系列事件及其對入侵行為的反應(yīng)。測試結(jié)果模塊最終向用戶提交一份指定格式的測試報告,記錄測試結(jié)果,還可以進(jìn)一步給出對IDS改進(jìn)的意見等。
3.5 測試過程
整個平臺的工作過程如下:流量數(shù)據(jù)庫提供網(wǎng)絡(luò)會話流量由流量產(chǎn)生模塊處理后生成所需的網(wǎng)絡(luò)流量,攻擊數(shù)據(jù)庫提供原始的攻擊素材,由攻擊仿真模塊加工后形成攻擊數(shù)據(jù)流;兩者經(jīng)過事件合成模塊合成為攻擊事件;攻擊事件一方面對待檢測的IDS發(fā)起攻擊,另一方面送給測試模塊作對比之用;測試模塊根據(jù)測試算法通過和待測IDS的雙向交互,評估IDS的各種行為和對入侵事件的反應(yīng);事件日志對攻擊事件進(jìn)行記錄,運(yùn)行日志對IDS的運(yùn)行情況進(jìn)行記錄;最后由測試結(jié)果模塊報告測試的結(jié)果。
3.6 測試結(jié)果
測試環(huán)境也可以用于IDS的開發(fā)環(huán)境,只需要進(jìn)行簡單的調(diào)整。IDS開發(fā)過程中的一些性能測試、算法測試和攻擊特征優(yōu)化測試等都能夠在這個環(huán)境中完成。本研究的初衷就是能夠使開發(fā)環(huán)境和測試環(huán)境相統(tǒng)一。利用這個環(huán)境對開發(fā)的基于多代理的入侵檢測系統(tǒng)進(jìn)行了相應(yīng)的測試,其結(jié)果如下:此IDS運(yùn)行時,CPU占用率為0%~5%,內(nèi)存開銷為7 492+6 648 KB;用tcpreplay產(chǎn)生TCPDUMP格式的文件,進(jìn)行9 Mb/s的流量重放時,IDS處理到的流量為5.46 Kb/s;對于攻擊測試,主要測試了Dosnuke,SYN FL00D攻擊以及掃描攻擊等,其檢測率和誤報次數(shù)的ROC曲線如圖5所示。可以看出,該IDS在誤報比較少的情況下能夠達(dá)到比較好的檢測率。

本文引用地址:http://butianyuan.cn/article/188534.htm

4 結(jié) 語
網(wǎng)絡(luò)的發(fā)展和新網(wǎng)絡(luò)入侵方式的出現(xiàn),促使了入侵檢測系統(tǒng)的不斷發(fā)展和完善,入侵檢測系統(tǒng)的測試技術(shù)也隨之不斷發(fā)展。實(shí)際而言,入侵檢測系統(tǒng)的測試不但存在很多的困難,而且也非常的耗時耗力,例如MIT有名的1998年和1999年測試都分別耗時一年時間。但是對于入侵檢測系統(tǒng)的測試又是一個不得不解決的事情。當(dāng)然,IDS的測試本身還存在一些難題需要解決,如攻擊腳本和受害軟件難于收集,對基于異常的系統(tǒng)還缺乏有效的方法進(jìn)行測試等。這些都有待于更進(jìn)一步的深入研究。
上一頁 1 2 3 下一頁

評論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉