基于環境模擬的入侵檢測系統測試方法
加入技術交流群
另外,還有一種完全用軟件來模擬的方法。這種方法類似于虛擬機技術(如Vmware)和網絡仿真技術(如OPNET,ns2)的結合。用一臺單主機模擬出一個完備的網絡環境,在此虛擬網絡環境中部署IDS,然后再配合測試軟件就可以進行IDS的測試。這種方法有一定的可行性,因為它的環境單一性使得測試人員能夠方便地測試一些輕量級的IDS或者測試IDS某個特定的功能方面。但是這種測試環境下測試效果的好壞還有待于進一步的研究和試驗證明。
現實環境的優點是不需要專門建立,實時性高,對特定類型的IDS測試時其測試結果的可信度高;但是也有很多缺點,最主要就是可控性不高,所能測試的IDS范圍比較窄,種類比較少。純軟件環境因其本身的運行,十分消耗資源,因此難以勝任較大規模的IDS測試工作。
2.2 模擬網絡環境
本文選擇模擬網絡環境來進行測試環境的設計,模擬測試環境大多數可以由實際的開發環境經過簡單的改動而得到。它與前兩種測試環境相比,優勢在于:可控性好,能夠根據測試需要定制和更改環境,可以測試的攻擊范圍大,種類多等。另外,在設計合理的情況下,其測試效果并不亞于真實的網絡環境。從實現的角度考慮,這種模擬測試環境也能夠滿足絕大多數IDS測試的需要。基本思路是根據測試的要求,用一個簡單的局域網來模擬規模較大的城域網和因特網。使用模擬網絡環境進行IDS測試時需要開發與之相配套的軟件平臺。樟捌網絡結構如圖2所示。本文引用地址:http://www.104case.com/article/188534.htm
此網絡可以模擬規模較大的、實際的網絡結構和設備,也可以模擬實際網絡中多種多樣的網絡服務。具體方法是利用專門產生網絡流量的計算機來產生所需要的網絡流量,然后使用軟件把這些流量動態地分派給網絡中的節點。一般需要兩種產生流量的機器:外部流量產生器,產生模擬網絡和因特網之間的會話和流量;內部流量產生機器,產生網絡內部需要的會話和流量。這兩種流量產生器能夠產生比實際網絡上更為豐富的會話和流量,因為它們可以進行人為的控制。流量的產生要考慮測試所需流量的大小以及網絡規模的大小;另外還需要對多種網絡服務和網絡協議進行模擬,以及模擬一些分布式的流量,所以這樣的流量產生器有時要占用好幾臺性能優越的計算機。
邊界路由器介于流量產生器和網絡環境之間,它起到劃分內部流量和外部流量的作用。邊界路由器還有向網內的其他路由器和設備分配流量的作用。其他的如防火墻和主機等設備與它們在實際網絡中的作用和位置相同。這樣的模擬環境基本上反映了真實網絡的情況,進行合理的配置完全可以模擬真實網絡環境的技術參數、流量要求等指標,而且整個模擬環境可以與外界完全隔離開來獨立使用。
3 IDS測試平臺
有了測試環境還不能完成IDS的測試工作,還需要針對測試環境利用軟件搭建一個測試平臺。基于上面的模擬網絡的測試環境,建立軟件測試平臺,其流程如圖3所示。
MIT在入侵檢測系統測試評估上發展了一種系統和通用的評估方法。全部工作流程包括數據集的構造、測試過程、測試結果分析,提供改進算法的意見。這里提出的平臺既考慮了通用性,也考慮了實際IDS開發環境的因素,它能夠完成上述流程的全部工作,其中的關鍵部分有流量仿真、攻擊仿真、事件合成等。
3.1 流量仿真
評估所需的網絡流量仿真是一項很復雜的工作。常規用于研究網絡性能的流量仿真方法所產生的數據包,不考慮數據內容,極有可能引起IDS的大量誤報。一般的IDS都工作于網絡層或網絡層之上,它們在協議規定的框架內對網絡數據包的內容進行分析。因此,IDS評估環境中的網絡流量仿真,一定是具體到各個協議的流量仿真。流量仿真的子系統結構如圖4所示。
由于流量的產生不僅來自網絡外部,還有來自網絡內部其他主機的流量,這樣就需要生成兩種類型的網絡流量:外部網絡流量和內部網絡流量。對應上一節中的測試環境,這兩種網絡流量是由測試環境中的外部流量產生器和內部流量產生器分別產生的。這兩種類型的流量中又根據測試需要包含有正常的網絡會話流量和非正常的(有時是攻擊性的)網絡會話流量。
評論