网络入侵检测系统测试的技术体系研讨.pdfVIP

大会论文 ·35· 网络入侵检测系统测试的技术体系研究 王永强 中国人民武装警察部队指挥学院森林部队分院 摘要：文章首先对网络入侵检测系统的三大功能模块进行了分析，从基本功能、安全功能、 技术性能、可扩展性四个方面构建了NIDS的测试技术指标体系，提出测试过程中 攻击工具的选取方法，并给出相应的攻击测试流程。 关键词：网络入侵检测 测试体系攻击工具测试流程 不同种类的传感器(网络传感器或主机传感器)都是 一、刖罱 相似的、是具有共同通信接口的网络对象。在此，我们 仅讨论网络入侵检测系统中的网络传感器。网络传感 IntrusionDetection 网络入侵检测系统(Network 器主要包括以下四个部分： System简称NIDS)，近年来在网络安全防护系统中 木核心引擎：负责与专用网卡驱动通信、抓包，同 的地位和作用越来越引起人们的重视。NIDS是利用时进行IP碎片重组和TCP流重组，可以调整各个检 优化匹配模式和统计学技术把传统的电子数据处理 测模块状态，并根据检测模块产生的事件通知响应模 和安全审查结合起来，作为一种主动的安全防护技 块执行相应处理。通过IP碎片重组和TCP流重组技 术，它提供了对内部攻击和防火墙未能检测到的外 术的实现，起到应付各种IDS的规避技术。对于某些 部攻击的实时保护。同时还可以通过与访问控制系 种类的攻击，如IP碎片超长、Land攻击，如果在引擎 统、安全扫描器、安全审计、漏洞评估等系统的协作， 中处理时直接进行报警，而不是通过“特征码”进行检 构建防御模型体系中的检测分析系统。如何检测与 测，这样既可以提高效率，也能保证协议检测状态的 判断该种产品的技术性能，如何在众多同类产品中 正确性。 选择精品，已成为用户和测评机构密切关注的热点 ：一c检测模块：网络传感器应采用插件架构，不同 问题。本文重点探讨该系统测试体系的构建和系统 协议层的检测模块应以插件方式动态加载，这样既易 测试的流程。 于配置，也易于扩展。检测模块可进一步分为包特征 检测、流敏感内容检测、扫描检测、HrITI’P分析检测、 二、NIDS系统分析 SMTP分析检测等插件，能对基于常见的TCMP网 通用网络入侵检测系统通常分为传感器、管理 中心、通信机制三大模块，对NIDS的测试评估本质 入侵进行完整的检测，并产生报警事件。 上就是对其工作模块所达到的技术指标及其所提供 木响应模块：在检测模块产生了报警事件之后， 的相应功能进行验证。 响应模块即根据响应配置文件对事件进行响应。通用 1、传感器 传感器应支持三种响应方式：向管理中心发报警信息 传感器是入侵检测的“执行单元”，负责检测、分 (在管理中心上可进一步进行响应)，通过防火墙进行 析、传送报警和部分响应工作。对于管理中心而言， 阻断，和直接发送网络包进行阻断