5.5入侵检测系统的测试评估.ppt

* 第5章 网络入侵检测原理与技术 5.5 入侵检测系统的测试评估 5.5.1测试评估概述 入侵检测系统的测试评估非常困难，涉及到操作系统、网络环境、工具、软件、硬件和数据库等技术方面的问题。由于入侵检测技术太新，因此，商业的IDS新产品周期更新非常快。 市场化的IDS产品很少去说明如何发现入侵者和日常运行所需要的工作及维护量。同时，IDS厂商考虑到商业利益， 也会隐藏检测算法、签名的工作机制，因此，判断IDS检测的准确性只有依靠黑箱法测试。另外，测试需要构建复杂的网络环境和测试用例。由于入侵情况的不断变化，IDS系统也需要维护多种不同类型的信息（如正常和异常的用户、系统和进程行为、可疑的通信量模式字符串、对各种攻击行为的响应信息等），才能保证系统在一定时期内发挥有效的作用。 5.5.2 测试评估的内容 (1) 能保证自身的安全 和其它系统一样，入侵检测系统本身也往往存在安全漏洞。 如果查询bugtraq的邮件列表，诸如Axent NetProwler， NFR，ISS Realsecure等知名产品都有漏洞被发觉出来。若对入侵检测系统攻击成功， 则直接导致其报警失灵， 入侵者在其后所作的行为将无法被记录。因此入侵检测系统必须首先保证自己的安全性。 (2) 运行与维护系统的开销 较少的资源消耗， 不影响被保护主机或网络的正常运行。  (3) 入侵检测系统报警准确率 误报和漏报的情况尽量少。 (4) 网络入侵检测系统负载能力以及可支持的网络类型 根据网络入侵检测系统所布署的网络环境不同其要求也不同。 如果在512 K或2 M专线上布署网络入侵检测系统，则不需要高速的入侵检测引擎，而在负荷较高的环境中，性能是一个非常重要的指标。 网络入侵检测系统是非常消耗资源的， 但很少有厂商公布自己的pps （packet per second）参数。  (5) 支持的入侵特征数。 (6) 是否支持IP碎片重组 在入侵检测中，分析单个的数据包会导致许多误报和漏报， IP碎片的重组可以提高检测的精确度。 而且，IP碎片是网络攻击中常用的方法，因此，IP碎片的重组还可以检测利用IP碎片的攻击。IP碎片重组的评测标准有三个性能参数：能重组的最大IP分片数； 能同时重组的IP包数；能进行重组的最大IP数据包的长度。 (7) 是否支持TCP流重组 TCP流重组是为了对完整的网络对话进行分析，它是网络入侵检测系统对应用层进行分析的基础。 如检查邮件内容、附件，检查FTP传输的数据， 禁止访问有害网站、 判断非法HTTP请求等。  从上面的列举我们可以看出，IDS的评估涉及到入侵识别能力、资源使用情况、强力测试反应等几个主要问题。入侵识别能力是指IDS区分入侵和正常行为的能力。资源使用情况是指IDS消耗多少计算机系统资源，以便将这些测试的结果作为IDS运行所需的环境条件。 强力测试反应是指IDS在特定的条件下所受影响的反应， 如负载加重情形下IDS的运行行为。 1． 功能测试 功能测试出来的数据能够反映出IDS的攻击检测、 报告、 审计、 报警等能力。  1） 攻击识别 以TCP/IP协议攻击识别为例， 可以分成以下几种。  (1) 协议包头攻击分析的能力 IDS系统能够识别与IP包头相关的攻击能力。常见的这种攻击类型如LAND攻击。其攻击方式是通过构造源地址、目的地址、源端口、目的端口都相同的IP包发送， 这样导致IP协议栈产生progressive loop而崩溃。 (2) 重装攻击分析的能力 IDS能够重装多个IP包的分段并从中发现攻击的能力。常见的重装攻击是Teardrop和Ping of Death。 Teardrop通过发送多个分段的IP包而使得当重装包时，包的数据部分越界， 进而引起协议和系统不可用。 Ping of Death 是ICMP包以多个分段包（碎片）发送，而当重装时，数据部分大于65535B（字节）数，从而超出TCP/IP协议所规定的范围，引起TCP/IP协议栈崩溃。 (3) 数据驱动攻击分析能力 IDS具有分析IP包的数据内容。 例如HTTP的 phf攻击。 Phf是一个CGI程序，允许在WEB服务器上运行。 由于phf处理复杂服务请求程序的漏洞，使得攻击者可以执行特定的命令，攻击者因此可以获取敏感的信息或者危及到Web服务器的使用。 2） 具有抗