Unit8_测试和的评估.ppt

入侵检测及扫描技术 —— IDS 的测试与评估 主要内容 为什么要测试评估IDS? 测试步骤 测试分类 IDS的评价指标 测试评估IDS所用数据的生成 测试IDS的环境配置与框架 测试IDS中存在的问题 选择IDS产品要考虑的问题 为什么要测试评估IDS? 对入侵检测系统存在的疑问 对于开发者来说： 入侵检测系统能发现入侵行为吗？ 入侵检测系统是否达到了设计目标？ 对于用户来说： 是否能过较好地保护系统的安全？是否能够满足本单位的安全需求？ 性能是否足够优良？ 要回答这些问题，就要对入侵检测系统进行测试和评估。 测试和评估入侵检测的意义 有助于更好的刻划入侵检测系统的特征。 对入侵检测系统的各项性能进行评估。 利用测试和评估结果，可作出一些预测。推断入侵检测系统发展的趋势，估计风险，制定可实现的入侵检测系统质量目标（比如，可靠性、可用性、速度、精确度）、花费以及开发进度。 根据测试和评估结果，对入侵检测系统进行改善。 国外IDS测试软件介绍 nidsbench是由Anzen公司开发的一套IDS测试软件包，包括tcpreplay和fraqrouter两个部分：tcpreplay功能是将tcpdump“复制”的网络数据包重放，以还原当时网络的实际运行状态；fraqrouter功能是通过构造一系列躲避IDS检测的攻击，以测试IDS的正确性和安全性。 California大学开发了一个入侵检测系统软件平台，通过它可以实现模拟入侵，以测试IDS的有效性。该软件Tcl-DP（Tool Command Language Distributed Programming）工具开发实现，共包含四组命令：基本的会话命令集、同步命令集、通信命令集、记录重放命令集。 麻省理工学院Lincoln实验室开发了非实时的IDS性能评估工具，该工具能够动态地加速重放大量的数据，迅速产生所需测试数据。另外，IBM公司Zurich研究实验室也开发了一套IDS测试工具。 入侵检测系统测试评估的方法步骤 创建、选择一些测试工具或测试脚本。这些脚本和工具主要用来生成模拟的正常行为及入侵，也就是模拟入侵检测系统运行的实际环境。 确定计算环境所要求的条件。 配置运行入侵检测系统。 运行测试工具或测试脚本。 测试结果的分析评价。 测试分类 软件测试 软件测试的目的是通过系统的方法检验开发的系统是否达到预定的要求。 软件测试一般包括功能测试、性能测试和可用性测试。 功能测试即正确性测试，其主要目的是发现程序的错误； 性能测试在于通过一组程序，对系统的性能进行评价，并为系统性能优化提供数据。 IDS的功能测试 功能测试用来测试系统对攻击的识别和响应等能力，以便发现系统存在的错误。 以TCP/IP协议攻击的识别为例，主要的测试内容、方法和目标如下表。 IDS的性能测试 性能测试用来检验IDS在各种不同环境下的承受能力，并为系统优化提供依据。IDS面临的一个矛盾便是性能与功能的折衷。对数据进行全面复杂的检验，对实时性的要求构成了很大的挑战。 目前IDS性能测试的指标有：吞吐量、延迟时间、负荷能力、资源占用情况等 。 一般在同等检测有效性的前提下，对资源的要求越低，系统性能越好，检测入侵的能力也就越强。 IDS的性能测试（续1） 吞吐量是指在预先不加载攻击模式的情况下系统在单位时间里处理数据的能力，它一般只和网络检测器有关。 延迟时间是指在攻击发生到IDS检测到入侵之间的延迟时间，它的长短直接影响着入侵破坏的程度。影响延迟时间的主要因素有规则库的大小（规则数量）和检测算法的效率。 负荷能力主要考察网络流量、CPU、内存等系统资源的使用对IDS关键指标（如检测率、误报率）的影响。 资源占用情况考察IDS在达到某种检测有效性时对资源的需求情况。 美国加州大学Nicholas J.的测试分类 入侵识别测试（也可说是入侵检测系统有效性测试）：入侵检测系统区分正常行为和入侵的能力。 资源消耗测试：入侵检测系统占用系统资源的状况，比如硬盘占用空间、内存消耗等。 强度测试：检测入侵检测系统在强负荷运行状况下检测效果是否受影响，比如大负载、高密度数据流量情况下对检测效果的进行测试。 入侵识别测试 端口扫描和信息收集 nmap、finger、rpcinfo、DNS query 漏洞扫描 nessus 常见攻击手法 buffer overflow （IIS、Sun RPC、Linux） 后门木马 NetBus、BO2K 拒绝服务 SYN Flood、UDP Bomb、IPFrag、DDoS 逃避检测常见手段 慢扫描： IP分片： 插入（Insertion）： 逃避（Evasion）： DDoS攻击（协同攻击）： 模式变种：如：URL攻击 IDS对躲避攻击的测试 URL编