入侵檢測技術(shù)作為網(wǎng)絡(luò)安全中的一項(xiàng)重要技術(shù)已有近30年的發(fā)展歷史,,隨著中國移動網(wǎng)絡(luò)的開放與發(fā)展,入侵檢測系統(tǒng)(IDS)也逐漸成為保衛(wèi)中國移動網(wǎng)絡(luò)安全不可或缺的安全設(shè)備之一,。在入侵檢測技術(shù)發(fā)展過程中,,逐步形成了2類方法、5種硬件架構(gòu),,不同的方法與架構(gòu)都存在其優(yōu)勢與不足,。本文基于入侵檢測的應(yīng)用場景,對現(xiàn)有的主流技術(shù)原理,、硬件體系架構(gòu)進(jìn)行剖析,;詳細(xì)分析IDS產(chǎn)品的測評方法與技術(shù),并介紹了一個(gè)科學(xué)合理,、方便操作的IDS測評方案,。最后,從應(yīng)用需求出發(fā)分析入侵檢測技術(shù)的未來發(fā)展趨勢,。
1,、背景
目前,互聯(lián)網(wǎng)安全面臨嚴(yán)峻的形勢,。因特網(wǎng)上頻繁發(fā)生的大規(guī)模網(wǎng)絡(luò)入侵和計(jì)算機(jī)病毒泛濫等事件使很多政府部門,、商業(yè)和教育機(jī)構(gòu)等都受到了不同程度的侵害,甚至造成了極大的經(jīng)濟(jì)損失,。
隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展,,網(wǎng)絡(luò)安全問題日益突出。網(wǎng)絡(luò)入侵行為經(jīng)常發(fā)生,,網(wǎng)絡(luò)攻擊的方式也呈現(xiàn)出多樣性和隱蔽性的特征,。當(dāng)前網(wǎng)絡(luò)和信息安全面臨的形勢嚴(yán)峻,網(wǎng)絡(luò)安全的主要威脅如圖1所示,。
圖1 目前網(wǎng)絡(luò)安全的主要威脅
說到網(wǎng)絡(luò)安全防護(hù),,最常用的設(shè)備是防火墻。防火墻是通過預(yù)先定義規(guī)則并依據(jù)規(guī)則對訪問進(jìn)行過濾的一種設(shè)備,;防火墻能利用封包的多樣屬性來進(jìn)行過濾,,例如:來源IP 地址,、來源端口號、目的IP 地址或端口號,、服務(wù)類型(如WWW 或是 FTP),。對于目前復(fù)雜的網(wǎng)絡(luò)安全來說,單純的防火墻技術(shù)已不能完全阻止網(wǎng)絡(luò)攻擊,,如:無法解決木馬后門問題,、不能阻止網(wǎng)絡(luò)內(nèi)部人員攻擊等。據(jù)調(diào)查發(fā)現(xiàn),,80%的網(wǎng)絡(luò)攻擊來自于網(wǎng)絡(luò)內(nèi)部,,而防火墻不能提供實(shí)時(shí)入侵檢測能力,對于病毒等束手無策,。因此,,很多組織致力于提出更多更強(qiáng)大的主動策略和方案來增強(qiáng)網(wǎng)絡(luò)的安全性,其中一個(gè)有效的解決途徑就是入侵檢測系統(tǒng)IDS(Intrusion Detection Systems),。
2,、入侵檢測技術(shù)發(fā)展歷史
IDS即入侵檢測系統(tǒng),其英文全稱為:Intrusion Detection System,。入侵檢測系統(tǒng)是依照一定的安全策略,,通過軟件和硬件對網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視,,盡可能發(fā)現(xiàn)各種攻擊企圖,、攻擊行為或攻擊結(jié)果,以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性,、完整性和可用性,。IDS通用模型如圖2所示。
圖2 IDS 通用模型
IDS誕生于1980年,,到目前為止已經(jīng)有30余年的歷史,,在這30余年中,IDS的發(fā)展經(jīng)過了4個(gè)階段,。
第一階段:概念誕生,。IDS這個(gè)概念誕生于1980年4月,James P.Andrson為美國空軍做了一份題為《Computer Security Threat Monitoring and Surveillance》(計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視)的技術(shù)報(bào)告,,第一次詳細(xì)闡述了入侵檢測概念,。他提出了一種對計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)和威脅的分類方法,并將威脅分為外部滲透,、內(nèi)部滲透和不法行為三種,,還提出了利用審計(jì)跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想。這份報(bào)告被公認(rèn)為是入侵檢測的開山之作。
第二階段:模型發(fā)展,。從1984年到1986年,,喬治敦大學(xué)的Dorothy Denning和SRI/CSL的Peter Neumann研究出了一個(gè)實(shí)時(shí)入侵檢測系統(tǒng)模型,取名為IDES(入侵檢測專家系統(tǒng)),。該模型由六個(gè)部分組成:主題,、對象、審計(jì)記錄,、輪廓特征,、異常記錄、活動規(guī)則,,如圖3所示,。它獨(dú)立于特定的系統(tǒng)平臺、應(yīng)用環(huán)境,、系統(tǒng)弱點(diǎn)以及入侵類型,,為構(gòu)建入侵檢測系統(tǒng)提供了一個(gè)通用的框架,。1988年,,SRI/CSL的Teresa Lunt等人改進(jìn)了Denning的入侵檢測模型,并開發(fā)出了IDES,。該系統(tǒng)包括一個(gè)異常檢測器和一個(gè)專家系統(tǒng),,分別用于統(tǒng)計(jì)異常模型的建立和基于規(guī)則的特征分析檢測。
圖3 IDES結(jié)構(gòu)框架
第三階段:百家爭鳴,。1990年是入侵檢測系統(tǒng)發(fā)展史上一個(gè)分水嶺,。加州大學(xué)戴維斯分校的L.T.Heberlein等人開發(fā)出了NSM(Network Security Monitor)。該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來源,,因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異常主機(jī),,從此以后,入侵檢測系統(tǒng)發(fā)展史翻開了新的一頁,,兩大陣營正式形成:基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS,。
第四階段:繼續(xù)演進(jìn)。IDS在90年代形成的IDS兩大陣營的基礎(chǔ)上,,有了長足的發(fā)展,,形成了更多技術(shù)及分類。除了根據(jù)檢測數(shù)據(jù)的不同分為主機(jī)型和網(wǎng)絡(luò)型入侵檢測系統(tǒng)外,,根據(jù)采用的檢測技術(shù),,入侵檢測系統(tǒng)可以分為基于異常的入侵檢測(Anomaly Detection,AD)和基于誤用(特征)的入侵檢測(Misuse Detection,,MD),。早期的IDS僅僅是一個(gè)監(jiān)聽系統(tǒng)或者提供有限的數(shù)據(jù)分析功能,而新一代IDS更是增加了應(yīng)用層數(shù)據(jù)分析的能力,;同時(shí),,其配合防火墻進(jìn)行聯(lián)動,,形成功能互補(bǔ),可更有效的阻斷攻擊事件?,F(xiàn)有的入侵檢測技術(shù)的分類及相關(guān)關(guān)系如圖4所示,。
圖4 入侵檢測系統(tǒng)分類
3、入侵檢測應(yīng)用場景
與防火墻不同,,IDS是一個(gè)監(jiān)聽設(shè)備,,無需網(wǎng)絡(luò)流量流經(jīng)它,便可正常工作,,即IDS采用旁路部署方式接入網(wǎng)絡(luò),。與防火墻相比IDS有如下優(yōu)勢:
(1) IDS是旁路設(shè)備,不影響原有鏈路的速度,;
(2) 由于具有龐大和詳盡的入侵知識庫,,可以提供非常準(zhǔn)確的判斷識別,漏報(bào)和誤報(bào)率遠(yuǎn)遠(yuǎn)低于防火墻,;
(3) 對日志記錄非常詳細(xì),,包括:訪問的資源、報(bào)文內(nèi)容等,;
(4) 無論IDS工作與否,,都不會影響網(wǎng)絡(luò)的連通性和穩(wěn)定性;
(5) 能夠檢測未成功的攻擊行為,;
(6) 可對內(nèi)網(wǎng)進(jìn)行入侵檢測等,。
同時(shí),與防火墻相比,,其也具有如下的劣勢:
(1) 檢測效率低,,不能適應(yīng)高速網(wǎng)絡(luò)檢測;
(2) 針對IDS自身的攻擊無法防護(hù),;
(3) 不能實(shí)現(xiàn)加密,、殺毒功能;
(4) 檢測到入侵,,只進(jìn)行告警,,而無阻斷等。
IDS和防火墻均具備對方不可代替的功能,,因此在很多應(yīng)用場景中,,IDS與防火墻共存,形成互補(bǔ),。
根據(jù)網(wǎng)絡(luò)規(guī)模的不同,,IDS有三種部署場景:小型網(wǎng)絡(luò)中,IDS旁路部署在Internet接入路由器之后的第一臺交換機(jī)上,如圖5所示,;中型網(wǎng)絡(luò)中,,采用圖6的方式部署;大型網(wǎng)絡(luò)采用圖7的方式部署,。
圖5 小型網(wǎng)絡(luò)部署
圖6 中型網(wǎng)絡(luò)部署
圖7 大型網(wǎng)絡(luò)部署
4,、IDS硬件體系架構(gòu)分析
主流的IDS的體系架構(gòu)分為X86、NP,、ASIC,、FPGA及混合架構(gòu),對各體系架構(gòu)的原理及特點(diǎn)介紹如下,。
4.1 X86架構(gòu)
X86架構(gòu)采用通用CPU和PCI總線接口,,具有很高的靈活性和可擴(kuò)展性,是早期防火墻,、入侵防護(hù)系統(tǒng)開發(fā)的主要平臺,。其安全功能主要由軟件實(shí)現(xiàn),可以根據(jù)用戶的實(shí)際需要而做相應(yīng)調(diào)整,,增加或減少功能模塊,,產(chǎn)品比較靈活,功能十分豐富,?;谶@一架構(gòu)產(chǎn)品開發(fā)周期短,,成本低,,是絕大多數(shù)網(wǎng)絡(luò)安全廠商的選擇。但其性能發(fā)展卻受到體系結(jié)構(gòu)的制約,,作為通用的計(jì)算平臺,,X86的結(jié)構(gòu)層次較多,不易優(yōu)化,,且往往會受到PCI總線的帶寬限制,。雖然PCI總線接口理論上能達(dá)到接近2Gbps的吞吐量,但是由于通用CPU的處理能力有限,,盡管軟件部分可以盡可能地優(yōu)化,,但實(shí)際很難達(dá)到高速率和低時(shí)延。
4.2 NP架構(gòu)
網(wǎng)絡(luò)處理器(NP)技術(shù),,NP是專門為網(wǎng)絡(luò)設(shè)備處理網(wǎng)絡(luò)流量而設(shè)計(jì)的處理器,,體系結(jié)構(gòu)如圖8所示。其體系結(jié)構(gòu)和指令集對于入侵檢測系統(tǒng)和防火墻常用的包過濾,、轉(zhuǎn)發(fā)等算法和操作都進(jìn)行了專門的優(yōu)化,,可以高效地完成TCP/IP棧的常用操作,并對網(wǎng)絡(luò)流量進(jìn)行快速的并發(fā)處理。硬件結(jié)構(gòu)設(shè)計(jì)也大多采用高速的接口技術(shù)和總線規(guī)范,,具有較高的I/O能力,。然而,NP的弱點(diǎn)也比較明顯,,其在4-7層的數(shù)據(jù)處理上相對較弱,。在檢測策略比較復(fù)雜(如入侵防護(hù)系統(tǒng)所用的檢測策略)的情況下,吞吐速率有明顯下降,,時(shí)延明顯,。
圖8 網(wǎng)絡(luò)處理器架構(gòu)
4.3 ASIC架構(gòu)
相比之下,ASIC通過專門設(shè)計(jì)的ASIC芯片邏輯進(jìn)行硬件加速處理,。ASIC通過把指令或計(jì)算邏輯固化到芯片中,,獲得了很高的處理能力,因而明顯提升了安全產(chǎn)品的性能,。新一代的高可編程ASIC采用了更靈活的設(shè)計(jì),,能夠通過軟件改變應(yīng)用邏輯,具有更廣泛的適應(yīng)能力,。但是,,ASIC的缺點(diǎn)也同樣明顯,它的靈活性和擴(kuò)展性不夠,,開發(fā)費(fèi)用高,,開發(fā)周期太長,一般耗時(shí)接近2年,。雖然研發(fā)成本較高,、靈活性受限制、無法支持太多的功能,,但其性能具有先天的優(yōu)勢,,非常適合應(yīng)用于模式簡單、對吞吐量和時(shí)延指標(biāo)要求較高的電信級大流量的處理,。
4.4 FPGA架構(gòu)
相對于NP,,F(xiàn)PGA是對數(shù)據(jù)進(jìn)行高速并行處理的器件,具有更強(qiáng)的靈活性和擴(kuò)展性,。在IDS中FPGA擅長把一些安全特征轉(zhuǎn)化成邏輯,,在實(shí)現(xiàn)過程中能夠同時(shí)匹配上千條規(guī)則,其并行速度超過普通CPU,,而且相對于并行ASIC,,其靈活性占有較大優(yōu)勢。如圖9所示為FPGA架構(gòu)典型應(yīng)用,。其中SPC表示:Services Processing Card,;NPC表示:Network Processing Card,。
圖9 FPGA架構(gòu)應(yīng)用
4.5混合架構(gòu)
混合體系架構(gòu),即由ASIC+NP+FPGA集成,。典型的安全廠商如:McAfee,,其網(wǎng)絡(luò)安全平臺創(chuàng)新地采用這一架構(gòu),通過AVERT組織設(shè)計(jì)的ASIC,,把指令或計(jì)算邏輯固化到芯片中,,獲得了高速的協(xié)議和檢測處理能力。使用NP處理SSL加密通信,、拒絕服務(wù)攻擊等消耗計(jì)算資源的功能,;采用FPGA芯片保證產(chǎn)品的更新升級。FPGA顧名思義就是器件可編程,,因而能輕松升級,,很好地滿足需求變化,延長了產(chǎn)品壽命,,有助于網(wǎng)絡(luò)安全設(shè)備跟蹤標(biāo)準(zhǔn)和協(xié)議的持續(xù)變化,。同時(shí),F(xiàn)PGA有一定的預(yù)留性,,一般情況下只用到其容量的20%左右,,可充分保證日后升級所用。
5,、IDS產(chǎn)品測評技術(shù)介紹
目前,,市場上存在各種各樣的IDS設(shè)備,而且各個(gè)設(shè)備的性能和價(jià)格都不盡相同,,具體實(shí)現(xiàn)方式也存在差異,,如何才能找到性價(jià)比高、適合自己的IDS設(shè)備成為各個(gè)公司所關(guān)心的問題,。對各款I(lǐng)DS設(shè)備進(jìn)行測試評估,,是解決這個(gè)問題的最可靠的途徑。而且經(jīng)常性的測試評估有利于及時(shí)了解技術(shù)發(fā)展現(xiàn)狀和存在的不足,。
5.1依據(jù)資質(zhì)進(jìn)行篩選
在測試前,我們可以先看看測試的IDS產(chǎn)品取得了哪些認(rèn)證,。目前國內(nèi)主要有4家信息安全產(chǎn)品的認(rèn)證機(jī)構(gòu),,分別是公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心、國家保密局涉密信息系統(tǒng)安全保密測評中心,、中國人民解放軍信息安全測評認(rèn)證中心,、中國國家信息安全測評認(rèn)證中心。
這4家認(rèn)證機(jī)構(gòu)中,,公安部的認(rèn)證對IDS產(chǎn)品來說是必須的,,通過了公安部的認(rèn)證,,才能領(lǐng)取計(jì)算機(jī)安全專用產(chǎn)品銷售許可證。
5.2確定重要評價(jià)指標(biāo)
如果需要測評的IDS有經(jīng)過上面的多家認(rèn)證機(jī)構(gòu)的認(rèn)證之后,,說明質(zhì)量基本是沒有問題的,。但是很多時(shí)候我們需要一款適合自己的產(chǎn)品,好并不代表適合,。所以,,我們需要測試IDS產(chǎn)品的各個(gè)方面的性能,對其有全面的了解,。評測IDS的指標(biāo)主要有:及時(shí)性,、準(zhǔn)確性、完備性,、健壯性,、處理性能、易用性,。
5.2.1及時(shí)性
及時(shí)性要求IDS必須盡快地分析數(shù)據(jù)并把分析結(jié)果傳播出去,,以使系統(tǒng)安全管理者能夠在入侵攻擊尚未造成更大的危害之前做出反應(yīng),阻止入侵者進(jìn)一步的破壞活動,。要注意的是它不僅要求IDS產(chǎn)品的處理速度要盡可能地快,,而且要求傳播、反應(yīng)檢測結(jié)果信息的時(shí)間盡可能的少,。
測試時(shí)可以應(yīng)用以下場景:
1,、查看測試產(chǎn)品最新的3個(gè)升級包,記錄升級時(shí)間間隔,;
2,、觀察在IDS不暫停工作的情況下是否可以完成升級;
3,、測試IDS在升級過程中是否仍能檢測到攻擊事件,。
5.2.2準(zhǔn)確性
準(zhǔn)確性指IDS從各種行為中正確的識別入侵的能力??梢詮穆﹫?bào)率和誤報(bào)率兩個(gè)方面來體現(xiàn),。誤報(bào)率是指系統(tǒng)在檢測時(shí)把正常的網(wǎng)絡(luò)活動視為攻擊的概率。漏報(bào)率是指漏掉真正的攻擊而不報(bào)警的概率,。
圖10 ROC曲線
實(shí)際上IDS的實(shí)現(xiàn)總是在漏報(bào)率和誤報(bào)率上追求平衡,,要使兩者都為零,幾乎是不可能的,。誤報(bào)率為零則表明很可能存在某些攻擊行為沒有被檢測出來,;漏報(bào)率為零則表明可能存在各種各樣的誤報(bào)。如果IDS設(shè)備能夠讓用戶自定義漏報(bào)率和誤報(bào)率的比例(比如安全級別,,安全級別越高則漏報(bào)率越低,,相應(yīng)誤報(bào)率也可能越高),,那么最好還是保留一定的誤報(bào)會顯得比較安全,畢竟誤報(bào)比漏報(bào)要顯得安全,。
雖然漏報(bào)率和誤報(bào)率不能同時(shí)為零,,但是在測評時(shí),我們還是希望這兩個(gè)數(shù)值越低越好,??梢酝ㄟ^一些黑客工具模擬攻擊行為,從而測試出IDS的漏報(bào)率和誤報(bào)率,。
ROC曲線以圖形的方式來表示正確率和誤報(bào)率的關(guān)系,。ROC曲線是基于正確報(bào)告率和誤報(bào)率的關(guān)系來描述的。這樣的圖稱為諾模圖(Nomogram),,它在數(shù)學(xué)領(lǐng)域用于表示數(shù)字化的關(guān)系,。選好一個(gè)臨界點(diǎn)(Cutoff Point)之后,就可以從圖中確定IDS的正確報(bào)告率和誤報(bào)率,。曲線的形狀直接反映了IDS產(chǎn)品的準(zhǔn)確性和總體品質(zhì),。如果一條直線向上,然后向右以45度角延伸,,就是一個(gè)非常失敗的IDS,,它毫無用處;相反,,ROC曲線下方的區(qū)域越大,,IDS的準(zhǔn)確率越高。如圖2所示,,IDS B的準(zhǔn)確性高于IDS C,,類似地,IDS A在所有的IDS中具有最高的準(zhǔn)確性,。
可以通過一些測試工具模擬各種攻擊,,來評測IDS的準(zhǔn)確性。比如IDS Informer,、IDS Wakeup,、Sneeze的工具。
5.2.3完備性
完備性是指IDS能夠檢測出所有攻擊行為的能力,。100%正確率實(shí)際上是一個(gè)無法達(dá)到的目標(biāo),。如何評價(jià)IDS檢測的完備性呢?
1,、可以通過查看幫助文件中廠商聲稱可檢測的攻擊列表來做大致的了解,可以看看可檢測的各種攻擊都屬于那些協(xié)議,,總共支持多少種應(yīng)用層協(xié)議,,以及該協(xié)議下檢測攻擊種類的數(shù)量,。
2、 可以查看進(jìn)一年內(nèi)新增加的檢測規(guī)則占總規(guī)則數(shù)的比例,,結(jié)果越大越好,。
3、可以挑選一些近期流行的攻擊行為,,進(jìn)行模擬測試,。
5.2.4健壯性
健壯性即自身安全性,毫無疑問,,IDS程序本身的安全性也是衡量IDS系統(tǒng)好壞的一個(gè)重要指標(biāo),。由于IDS是檢測入侵的重要手段,所以它也就成為很多入侵者攻擊的首選目標(biāo),。和其他系統(tǒng)一樣IDS本身也往往存在安全漏洞,。若對IDS攻擊成功將直接導(dǎo)致入侵行為無法被檢測。因此IDS自身必須能夠抵御攻擊,,特別是DOS攻擊,。
IDS的安全性,一般可以通過以下幾個(gè)方面來衡量:
1,、所有重要數(shù)據(jù)的存儲和傳輸過程是否都經(jīng)過加密處理,;
2、在網(wǎng)絡(luò)中的隱藏性,,是否對于外界設(shè)備來說是透明的,;
3、不同級別的操作人員是否有不同的使用權(quán)限,,以及這些權(quán)限分配是否合理,。
5.2.5處理性能
處理性能主要從系統(tǒng)處理數(shù)據(jù)的能力已經(jīng)對資源消耗的程度等方面體現(xiàn)。比如:
1,、處理速度:指IDS處理數(shù)據(jù)源數(shù)據(jù)的速度,。
2、延遲時(shí)間:指在攻擊發(fā)生至IDS檢測到入侵之間的延遲時(shí)間,。
3,、資源的占用情況:即系統(tǒng)在到達(dá)某種檢測能力要求時(shí),對資源的需求情況,。
4,、負(fù)荷能力:IDS有其設(shè)計(jì)的負(fù)荷能力,在超出負(fù)荷能力的情況下,,性能會出現(xiàn)不同程度的下降,。
5.2.6易用性
易用性是指和系統(tǒng)使用有關(guān)的一些方面,主要是指系統(tǒng)安裝,、配置,、管理,、使用的方便程度、系統(tǒng)界面的友好程度和攻擊規(guī)則庫維護(hù)的簡易程度等方面,。
這個(gè)指標(biāo)比較偏向于主觀判斷,。但是也有一些客觀指標(biāo),比如:
1,、是否有較多內(nèi)容通過圖形表格方式描述,;
2、幫助信息內(nèi)容是否豐富并且可用,;
3,、是否有配置導(dǎo)航功能;
4,、是否有保存系統(tǒng)配置的功能,;
5、是否有足夠多的提示信息,;
6,、操作使用日志記錄是否完善;
5.3執(zhí)行測試
5.3.1測試部署
在測試評估IDS的時(shí)候,,很少會把IDS放在實(shí)際運(yùn)行的網(wǎng)絡(luò)中,,因?yàn)閷?shí)際網(wǎng)絡(luò)環(huán)境是不可控的,并且網(wǎng)絡(luò)環(huán)境的專用性太強(qiáng),,所以要構(gòu)建專用的網(wǎng)絡(luò)環(huán)境,。圖3為入侵檢測系統(tǒng)測試組網(wǎng)示意圖。其中背景流量發(fā)生器用來生成網(wǎng)絡(luò)通信,,攻擊機(jī)用來模擬入侵者發(fā)起攻擊,,IDS網(wǎng)絡(luò)傳感器為待測試入侵檢測系統(tǒng),目標(biāo)機(jī)模擬網(wǎng)絡(luò)中被攻擊的機(jī)器,。
圖11入侵檢測系統(tǒng)測試組網(wǎng)示意圖
下面是組網(wǎng)設(shè)備的詳細(xì)說明:
1) 以太網(wǎng)交換機(jī):一臺具備將全部端口鏡像到一個(gè)目的端口功能的以太網(wǎng)交換機(jī),。用于將流量鏡像到IDS網(wǎng)絡(luò)傳感器。
2) 攻擊機(jī):攻擊機(jī)預(yù)裝掃描工具Nessus和Informer,、Wakeup,、Sneeze等互聯(lián)網(wǎng)安全攻擊工具。
3) 目標(biāo)機(jī):目標(biāo)機(jī)安裝和開啟各類應(yīng)用服務(wù),,作為被攻擊對象,。
4) 背景流量發(fā)生器:使用IP InterEmulator或其它網(wǎng)絡(luò)仿真系統(tǒng),可以產(chǎn)生應(yīng)用層協(xié)議流量作為背景流量,。
5) IDS網(wǎng)絡(luò)傳感器:被測的IDS設(shè)備,。
6) IDS管理控制臺:用于管理IDS設(shè)備的機(jī)器。
5.3.2測試方法
測試內(nèi)容可結(jié)合實(shí)際的網(wǎng)絡(luò)特征及需求進(jìn)行,如:測試入侵檢測系統(tǒng)管理功能,、檢測能力,、安全性測試和性能測試及其它等,,如圖3所示,。管理功能主要檢查點(diǎn)包括:配置界面、策略配置,、升級方式,、日志功能、報(bào)表輸出和接口功能等,;檢測能力包括:檢測能力,、告警功能、流量關(guān)聯(lián)分析,、協(xié)議支持和流量監(jiān)控等,;安全測試包括:賬號口令管理、權(quán)限管理,、用戶認(rèn)證和事件審計(jì)功能等,;性能測試包括:性能容量、漏報(bào)率,、誤報(bào)率,、穩(wěn)定性和擴(kuò)展性等。
圖12 入侵檢測系統(tǒng)測試內(nèi)容
測試主要通過模擬真實(shí)網(wǎng)絡(luò)情況進(jìn)行,,如:利用儀表模擬運(yùn)營商網(wǎng)間互聯(lián)處的業(yè)務(wù)流量模型,;模擬真實(shí)的業(yè)務(wù)協(xié)議特征和風(fēng)險(xiǎn)特征;攻擊效果與真實(shí)用戶體驗(yàn)基本一致等,。背景流量與真實(shí)流量差異越小,,測試結(jié)果將越準(zhǔn)確。
入侵檢測系統(tǒng)測評方法參考以下測試方法學(xué):
1,、IETF標(biāo)準(zhǔn)草案:draft-hamilton-bmwg-ca-bench-term-00和draft-hamilton-bmwg-ca-bench - meth-06,;
2、NSSLabs標(biāo)準(zhǔn):NETWORK INTRUSION PREVENTION SYSTEMS V6.1,;