入侵检测测试方案.docVIP

入侵检测测试方案 模拟测试目的是检测设备对入侵特征库的覆盖情况，实际测试目的是观察设备在Internet背景下IPS所表现的实际能力。 第一部份 模拟测试 1.1测试环境 1.2 测试条件 Attack安装专业测试入侵特征库的Blade software，Log-server安装Kiwi_Syslogd.exe日志记录软件。 1.3 测试配置 1.3.1 分别连接Attack到ASA的outside和inside 1.3.2 配置AIP-SSM监控流量 1.3.3配置ASA将log发送到Log-server上 1.3.4 在outside口 包括两部份，一是设置，二是实施攻击。 设置setting 如图所示，标记共有四处。 1、2处的设置相似，用作设置NIC1和NIC2. 注意选择对应的网卡类型，对应的MAC地址，对应的IP地址和网关的MAC地址； 3处钩选以便设定网关的MAC地址；4处设定每个攻击的时间间隔，设定为3s。 如果攻击的间隔太短部分数据包会被Firewall核心拒绝，不会到IDS引擎。 2)攻击Attack 选择全部攻击模拟库，点击Run Attack按钮。 1.4测试结果： 在Kiwi Syslog Server上会实时记录ASA检测到的入侵活动，根据攻击模拟库的大小，检测到日志的条目，可以得到一个百分比，此值可以反映IPS设备对攻击活动的识别能力。 第二部份 实际测试 实际测试指在Internet背景下来测试IPS的功能作用。拟测试的内容有： 对P2P和IM的控制，包括BitComet、eDonkey、Skype、QQ、MSN。 P2P和IM流量，特别是BT流量，已经严重地影响了Internet带来的生产力，阻断BT流量的特性也是当前企业十分关注的功能之一。 2.1 测试条件 要求具备真实的上Internet环境，以便测试阻挡BT，MSN，QQ，Skype的能力。如果能够提供此环境，可以根据现场情况，设计测试环境。 能阻挡 MSN（V7.0）、QQ（V2005）、skype（V1.3）和 eMule(V0.46b). BitComet 0.59等软件