IDS穿透性测试工具的设计与实现.pdfVIP

本栏目由保密通信国防科技重点实验室协办学术研究 IDS穿透性测试工具的设计与实现 李红阳1吴世忠2 (1华中科技大学计算机学院2中国信息安全产品测评认证中心) 摘 璎：在对嘲络入侵检潮系统遘行分级评椎中需要避行穿透性鼬试以验证该系统是否_fi】以抵御其一定攻 击潜力的攻击者的攻击，本测试：I：具是在fmgroute的基础上改进谗戎。增掘j1友好的强形操作器商。扩襞。了功 能组件．可以方便地甩于测试人侵检渤系统抵御插入年f：l规避攻击的能力， 击以验证系统抵御攻击的能力口】。 中的部分数据包作相应处理后，终端接 引言 当前主流的IDs是基于嗅探的 收的请求是GET／bin／pM，但NIDS看 NIDs，采用基于规则匹配的技术来检到的却是无意义的请求GET／bin／f。 入侵检测系统(IDS)已成为信息安 全体系的重要组成部分，如何测试和评 测已知攻击【5】。这种NIDs在进行协议 2．工具的设计 估IDS也变得越来越重要。传统测试方 分析时存一定的脆弱性，就是NIDS与 (1)设计要求。针对NIDS分析IP 法只关注IDs对攻击的检测率、漏报 终端系统对协议的理解不一致，可能造 协议、TCP协议数据包的脆弱性，实施 率，而没有进行针对IDs本身脆弱性的 成NIDs不足以重构复杂协议事务中发对NIDs的插入和规避攻击。要求提供 穿透性测试。 生的事件，从而导致漏报和误报。 方便的操作接口，详细的过程监控以便 按CC标准进行的分级评估是为满 针对基于嗅探的NIDs的攻击有多评估者对测试结果进行评价。 足基本安全功能要求的产品所采取的保 种方式，主要是针对它的协议分析部 (2)设计思想。测试工具本身并不 证措施确定一个可信级别，以帮助用户 分，阻止NIDs收集到足够的信息来识产生真实的攻击，它截获本地机发出的 确定信息技术产品对他们的应用而言是 别出攻击，这种攻击分为两种方式：插 攻击数据包，并按设置要求作相应的处 否足够安全，以及在使用中隐藏的安全 入攻击和规避攻击，两种方式都是利用 理，以达到规避NIDs检测的效果。这 风险是否可以容忍【112Ⅱ”。分级评估要求 NIDs与终端对数据包的接受或者处理种将攻击与处理分开的思想，可以方便 评估者独立地进行脆弱性分析，并基于 方式不一致的弱点【6】。 用户添加不同的攻击。由于图形界面的 脆弱性分析实施穿透性测试，以验证产 “插入攻击”是设法让NIDs接受实现对系统平台依赖性很强，因此将图 品是否可以抵御具有一定攻击潜力的攻 终端会丢弃的数据包来欺骗NIDs，攻形界面与包处理功能实现分别以独立的 击者的攻击。 击者可能插入一些数据给NIDS，使得程序来实现，可方便程序在不同平台上 本文说明的测试工具是针对目前 NIDS与终端对接收的数据理解不一的移植，并提供更加灵活的操作方式。 样，例如在数据流中插入一些数据包， (5)模块划分 主流的网络入侵检测系统(NIDs)的脆弱 性进行穿透性测试的工具。该工具是开 终端接受的请求是GET／bin／phf，但——用户界面模块。用户编辑包 放源软件frag叫te的改进版本，增加了NIDS收到的是无意义的请求GET／处理脚本，启动包处理进程，并将处理 便于用户操作的图形界面，增强对测试 bin／pphhff。 脚本作为参数传递给包处理进程。获取 过程的监测功能，扩展了功能插件[“。 “规避攻击”则是设法让NIDS忽正常路由时目的主机对应的网关及网络 1．穿透性测试 略对终端有效的数据包。与插入攻击情 设备的配置，用于设置抓包进程的过滤 脆弱性分析是为了探知系统中可 况相反，NIDS可能拒绝一