千兆ids比较测试测试方案
3页1、IDS 测试方法 在选择 IDS 的时候,我们除了考虑功能以外,还需要从性能方面考虑,因此,我们 从尽可能多的方面来考察了送测产品的性能,因为根据我们以往测试的经验,每款产品在 不同的方面都会有自己的长处,只有这样才能给用户足够多的参考信息。 我们在测试环境中采用了多样化的测试方法和测试工具,流量发生器采用美国思 博伦通信公司的 Avalanche 和 Reflector 测试仪,攻击产生工具是 BLADE IDS Informer 软 件,以及 Nessus 2.0,这是一个扫描软件,能够对目标主机或者网络进行各种试探,其中 包括了我们需要的几种变形入侵。硬件部分当然包括测试用的平台:一台用作控制台的 PC,一台邮件服务器,还有用作镜像网络流量的千兆交换机。 攻击的识别率 这部分我们采用了美国网络世界的测试方案,从 IDS Informer 软件能够模拟 的 600 个攻击测试集里面分 HTTP、BackDoor、Other 三大类,随机选择出 100 个攻击,这 样可以从某种程度上反映出 IDS 产品对任意攻击的识别率。我们采用了最简单的 IDS 应用 网络结构(见图 1),BLA
2、DE IDS Informer 工作的时候,两个网络接口互相连接,我们只 需要把其中发送攻击的接口的网络流量镜像到 IDS 的检测口就可以了,然后在 IDS Informer 上发送攻击,通过查看 IDS 控制台的事件输出来判断攻击是否被成功的检测到。 逃避的识别能力 逃避的识别我们通过两个方法来进行测试。 首先是采用 Nessus 对目标 PC 进行扫描,在确认 IDS 能够识别出攻击后,再依 次选择 Nessus 中的三种变形方式,通过控制台就可以看出 IDS 对这 2 种形式的伪装入侵是 否能够正确地识别。(见图 2) 第二种方法是采用 BLADE IDS Informer 自身具备的变形功能,来对同一个 HTTP 攻击进行 10 种变形。(见图 1) 误报测试 误报测试采用两种伪攻击。第一种通过一台客户端访问邮件服务器来进行(见图 3), 我们通过 Telnet 方式来进行一个 SMTP 会话,在命令行敲入 SMTP 命令来模拟一个攻击: 在 第一个 SMTP 会话中,我们直接在交互阶段敲入 vrfy decode 命令来验证服务器是否存在 decode 这个用户,IDS 会有
3、一个警告出现; 第二个会话中,我们把这条命令 vrfy decode 放到了邮件正文中,虽然在会话中也有这个特征字串,但是没有实际的威胁,如果 IDS 报 警便是误报。 第二种伪攻击是通过改变攻击包的 TTL(生存时间)值来实现的。首先挑选被测 IDS 可以检测出的一种攻击,然后将 TTL 值设置为零(这样的攻击包不会产生有效攻击)。 如果被测 IDS 报警也是一种误报。(见图 1) 状态检测 这个环节分为两个部分,主要是检测 IDS 是否能够确认完整的网络连接状态,从 而更准确地检测攻击,而不是浪费宝贵的处理能力在一些并不是真正攻击的网络流量上。 在 IDS Informer 中确定 IDS 能够正确检测到的攻击,然后采用 routable 方式, 发送目标地址和源地址相同的单向攻击。(见图 1)对于正常的网络来说,这样的网络流量 是不可能持续下去的。 在 IDS Informer 中确定 IDS 能够正确检测到的攻击,然后用 Sniffer 录制, 并且去掉 3 次握手包,再重复发送。这样的连接根本不可能建立起来。 HTTP 仿真环境测试 由于在 IDS 的实际使用当中,IDS 是通过重组这些网络流量进行分析检测的,如 果流量超过了 IDS 所能处理的限度,就会发生丢包,网络流量也无法正确地被重组分析。 我们在这个测试中,采用了 Avalanche/Reflector 组合来产生 HTTP 仿真背景流, 来查看 IDS 在当时流量下对攻击的检测能力。由于会同时用到 BLADE IDS Informer,所以 需要两台交换机一起工作(见图 4)。
《千兆ids比较测试测试方案》由会员第***分享,可在线阅读,更多相关《千兆ids比较测试测试方案》请在金锄头文库上搜索。
2024-04-18 4页
2024-04-18 2页
2024-04-18 2页
2024-04-18 2页
2024-04-18 5页
2024-04-18 2页
2024-04-18 4页
2024-04-18 3页
2024-04-18 2页
2024-04-18 2页