基于環境模擬的入侵檢測系統測試方法
加入技術交流群
3.2 攻擊仿真
攻擊仿真是整個測試過程的關鍵,也是測試結果是否合理的關鍵。攻擊仿真的前期準備工作是收集足夠多的攻擊數據,實際上是收集現有所有已知的攻擊和系統的弱點數據。這些數據主要來自一些研究機構,像MIT的林肯實驗室、IBM的蘇黎世研究院和一些網絡界有名的討論組(社區),如The NSS Group等,其中MIT林肯實驗室的數據就其可用性、全面性和權威性都得到了廣泛的認可。
測試用例的選擇應該盡可能的全面,但是不可能把每一種現有的攻擊都試驗一遍,因此要把所有的攻擊按照某種標準進行劃分,在所劃分的每個子集里挑選若干個典型的攻擊來完成測試。實施具體的攻擊,可以利用軟件直接來實現,也可以用編寫腳本的方法來實現,利用shell編程和腳本語言編寫攻擊腳本來模擬入侵用戶的行為,實現攻擊的重放。
使用腳本和腳本解釋器的方法來模擬用戶的行為,對編寫好的腳本進行解析,執行再利用網絡連接命令連接到遠端主機,就能夠實現多種多樣的攻擊重放。如果編寫并輸人多個不同的腳本,用并行算法加以控制就能夠模擬多個并發用戶的行為,實現多用戶并發攻擊的模擬。攻擊腳本的編寫要事先制定統一的編寫規范和格式。
3.3 事件合成
事件合成也是很重要的環節,它是對網絡流量、模擬攻擊和測試對比的綜合考慮。一個仿真事件要包括事件的發生時間、結束時間和事件的內容等其他一些必要的相關信息。網絡流量仿真中的事件可以是每一個網絡連接,基于連接的流量如TCP,也可以是一個網絡數據包,基于數據包的流量如UDP。主機使用仿真中的事件可以是網絡服務的每次使用,也可以是一條用戶指令的執行。合成好的原始事件一方面給測試模塊做測試之用,一方面用日志記錄下來以備離線考察。將測試結果和原始事件進行有效的對比就可以得出大部分的測試結果。
3.4 其他模塊
正常流量數據庫存放準備好的網絡流量數據,為流量仿真模塊的調用做事先的準備;攻擊數據庫存放收集到的攻擊數據,攻擊仿真模塊從攻擊數據庫取得數據處理后形成攻擊。事件日志記錄合成事件的日志和事件原始數據,這些數據用于對測試結果的補充和一些離線的測試。運行日志專門記錄IDS運行產生的一系列事件及其對入侵行為的反應。測試結果模塊最終向用戶提交一份指定格式的測試報告,記錄測試結果,還可以進一步給出對IDS改進的意見等。
3.5 測試過程
整個平臺的工作過程如下:流量數據庫提供網絡會話流量由流量產生模塊處理后生成所需的網絡流量,攻擊數據庫提供原始的攻擊素材,由攻擊仿真模塊加工后形成攻擊數據流;兩者經過事件合成模塊合成為攻擊事件;攻擊事件一方面對待檢測的IDS發起攻擊,另一方面送給測試模塊作對比之用;測試模塊根據測試算法通過和待測IDS的雙向交互,評估IDS的各種行為和對入侵事件的反應;事件日志對攻擊事件進行記錄,運行日志對IDS的運行情況進行記錄;最后由測試結果模塊報告測試的結果。
3.6 測試結果
測試環境也可以用于IDS的開發環境,只需要進行簡單的調整。IDS開發過程中的一些性能測試、算法測試和攻擊特征優化測試等都能夠在這個環境中完成。本研究的初衷就是能夠使開發環境和測試環境相統一。利用這個環境對開發的基于多代理的入侵檢測系統進行了相應的測試,其結果如下:此IDS運行時,CPU占用率為0%~5%,內存開銷為7 492+6 648 KB;用tcpreplay產生TCPDUMP格式的文件,進行9 Mb/s的流量重放時,IDS處理到的流量為5.46 Kb/s;對于攻擊測試,主要測試了Dosnuke,SYN FL00D攻擊以及掃描攻擊等,其檢測率和誤報次數的ROC曲線如圖5所示。可以看出,該IDS在誤報比較少的情況下能夠達到比較好的檢測率。本文引用地址:http://www.104case.com/article/188534.htm
4 結 語
網絡的發展和新網絡入侵方式的出現,促使了入侵檢測系統的不斷發展和完善,入侵檢測系統的測試技術也隨之不斷發展。實際而言,入侵檢測系統的測試不但存在很多的困難,而且也非常的耗時耗力,例如MIT有名的1998年和1999年測試都分別耗時一年時間。但是對于入侵檢測系統的測試又是一個不得不解決的事情。當然,IDS的測試本身還存在一些難題需要解決,如攻擊腳本和受害軟件難于收集,對基于異常的系統還缺乏有效的方法進行測試等。這些都有待于更進一步的深入研究。
評論