1、入侵检测系统的测试技术【摘 要】文章对当今入侵检测系统的测试技术作了一个大概的叙述。文章介绍了入侵检测系统测试的重要性和大概的测试标准,描述了入侵检测系统测试过程中的相关技术,如环境搭建、测试数据获取等。最后,文章介绍了入侵检测系统测试分析的方法,并对当今各种测试技术进行了简要的介绍。【关键词】入侵检测系统(IDS) 测试 环境 数据Testing Approaches for Instruction Detection SystemAbstract: This paper is a summary of the intrusion system testing approaches. Aft
2、er introducing the importance and general standard of IDS testing, this paper gives a general outline of several testing method related to different aspect of IDS testing, including environment construction, gaining of testing data set and so on. At last, the analysis approaches and current differen
3、t testing skills are introduced.Keywords: Intrusion system testing(IDS) testing environment dataThis document was created with the trial version of Print2PDF!Once Print2PDF is registered, this message will disappear!Purchase Print2PDF at http:/ 网络基IDS的压力测试技术86.2 数据回放技术.86.3 流量统计技术.86.4 基于攻击描述语言的IDS基
4、准测试技术.8三、 未来发展方向91不足之处.92发展趋势.9四、参考文献10This document was created with the trial version of Print2PDF!Once Print2PDF is registered, this message will disappear!Purchase Print2PDF at http:/ Detection system),顾名思义,便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。一个合格的入侵检测系统能大大
5、的简化管理员的工作,保证网络安全的运行。目前,随着人们安全意识的逐步提高,入侵检测系统(IDS)的应用范围也越来越广,各种各样的IDS也越来越多。那么IDS能发现入侵行为吗?IDS是否达到了开发者的设计目标?什么样的IDS才是用户需要的性能优良的IDS呢?要回答这些问题,都要对IDS进行测试和评估。对于IDS的研制和开发者来说,对各种IDS进行经常性的评估,可以及时了解技术发展的现状和系统存在的不足,从而将讲究重点放在那些关键的技术问题上,减少系统的不足,提高系统的性能;而对于IDS的使用者来说,由于他们对IDS依赖程度越来越大,所以也希望通过评估来选择适合自己需要的产品,避免各IDS产品宣传
6、的误导。总地来说,对IDS进行测试和评估,具有以下作用:1.有助于更好地刻画IDS的特征。通过测试评估,可更好地认识理解IDS的处理方法、所需资源及环境;建立比较IDS的基准;领会各检测方法之间的关系。2.对IDS的各项性能进行评估,确定IDS的性能级别及其对运行环境的影响。3.利用测试和评估结果,可做出一些预测,推断IDS发展的趋势,估计风险,制定可实现的IDS质量目标(比如,可靠性、可用性、速度、精确度)、花费以及开发进度。4.根据测试和评估结果,对IDS进行改善。也就是发现系统中存在的问题并进行改进,从而提高系统的各项性能指标。本文首先给出IDS系统的评测指标,接着介绍如何进行测试环境构
7、建和获取测试数据,再描述评测IDS的通用步骤和如何进行测试结果分析,然后对当今的各种IDS测试技术进行详述并对它们之间进行比较,最后,对目前测试工作的不足和未来的发展趋势作一个大致的分析。This document was created with the trial version of Print2PDF!Once Print2PDF is registered, this message will disappear!Purchase Print2PDF at http:/ .(1)检测率和误报这是IDS 最重要的指标。令I 表示入侵行为, I 表示正常行为,A 表示IDS 发出了报警,
8、A 表示IDS 未发出报警。检测率(Detection Rate) 可定义为P (A| I),即发生入侵检测时, IDS 发出报警的概率。误报率( False Positive) 定义为P (A|I),即没有发生入侵行为时, IDS 发出报警的概率。为了方便起见,一般用在一定时间内IDS 发出误报的次数来衡量IDS 的误报率。(2)检测范围通常情况下,一个IDS 能检测到的攻击是有一定范围的。检测范围的考察,就是在一定的攻击分类标准下,考察IDS 对不同类型攻击的检测能力。(3)检测延迟检测延迟指的是在攻击发生至被IDS 成功检测之间的延迟时间。(4)负荷能力IDS 有其设计的负荷能力,在超出
9、负荷能力的情况下,性能会出现不同程度的下降。考察IDS 的负荷能力,就是观察不同大小的网络流量,不同强度的CPU、内存等系统资源的使用,对IDS 的关键指标如检测率、误报的影响。(5)其它指标包括每个警报的附加信息量, IDS 安装、配置、使用的方便程度, IDS 对CPU、内存等系统资源的占用情况以及IDS 本身的鲁棒性。这些指标对于IDS 的开发者和使用者都很重要。 开发者应该测试IDS 的各项性能指标,尽可能保证IDS 的检测率高、检测范围宽而误报率低,同时其他指标不受影响;用户也可以根据不同IDS 的性能指标来选择更合适的IDS 产品。2.环境模拟由于实际网络环境是不可控制的,且实际网
10、络环境的专用性太强,所以我们一般通过构建模拟专用的网络环境来对IDS进行测试,环境模拟下用到的技术主要有以下几种。2.1仿真技术测试环境中的仿真包括主机使用仿真、网络流量仿真、以及入境仿真等等。主机使用仿真分为两部分,即主机网络服务正常使用的仿真和主机直接使用的仿真。对主机提供的网络服务的正常使用进行仿真,可以采用两种方法。一是遍历法,即找出某个服务允许的所有正常使用模式,再由仿真程序按这些模式依次对该服务进行访问。二是实际采样法,取得真实网络环境中某个服务的实际使用情况数据,分析出现的使用模式,再根据分析结果建立仿真模型进行仿真。此方法与网络流量仿真的方法类似。这两种方法各有优This do
11、cument was created with the trial version of Print2PDF!Once Print2PDF is registered, this message will disappear!Purchase Print2PDF at http:/ NT的日志格式也逐渐考虑进来。在测试数据方面,麻省理工学院林肯实验室的数据比较完备,它包括一定时间的训练数据和用于最后实际测试的检测数据。用于网络流量仿真的工具有 Anzen公司开发的nidsbench以及加利福尼亚大学开发的入侵检测测试平台。nidsbench包括tcpreplay和 fraqrouter 两部分
12、。tcpreplay的功能是将 tcpdump复制的数据分组重放,还原网络的实际运行状态;而 fraqrouter的功能是通过构造一系列躲避IDS检测的攻击以测试检测系统的正确性和安全性。加利福尼亚大学的IDSThis document was created with the trial version of Print2PDF!Once Print2PDF is registered, this message will disappear!Purchase Print2PDF at http:/ Tcl-DP(TooL Command Language Distributed Progr
13、amming)工具开发实现。它共包含四组命令:基本的会话命令集、同步命令集、通信命令集、记录重放命令集。这些命令集分别用来仿真入侵者的基本操作,按指定要求产生事件,实现并发进程的通信以及记录用户会话期间的操作命令序列再重放这些记录。此外,麻省理工学院林肯实验室也开发了非实时IDS性能评估工具,该工具可动态重放大量的数据。另外,国内最近还提出通过分布式流量产生系统产生测试数据的方案(图表1)。该系统通过选择会话参数产生会话数量,产生的会话模拟了网络中的数据包传递,从而产生测试数据。当需要增加新的服务或攻击类型的时候,可以用过自动控制层来增加需要的会话模块。通过虚拟网络层可以用一台机器模拟任意IP
14、地址的主机,使模拟流量更加接近真实流量。图表 14.评测通用步骤综合各方面的考虑,大部分的测试方法都遵循下面的基本测试步骤:(1)分析入侵检测系统的各项功能及其应用环境创建一些测试工具或测试脚步来模拟正常网络环境和用户行为,即模拟入侵检测系统运行的实际环境。This document was created with the trial version of Print2PDF!Once Print2PDF is registered, this message will disappear!Purchase Print2PDF at http:/ I分别表示入侵行为和目标系统的正常行为,用A
15、与A分别表示检测系统发出入侵报警和检测系统没有报警。则各种概率表示如下表(表格1):概率表示 含义P (A | I) 检测系统的检测率P (A | I) 检测系统的误报率P (A | I) 检测系统的漏报率P (A| I) 无入侵时,不报警的概率P ( I|A) 报警时,系统确实受攻的概率P ( I| A) 无报警时,系统未受攻击率表格 1表格1中最后两个概率正反映了实际应用中我们关注的检测可信度,也就是入侵检测系统的报警结果能够正确反映目标系统安全状态的程度。在概率P ( I|A)小于1时,检测系统存在误报现象;概率 P ( I| A)小于1时,检测系统存在漏报现象。显然,检测系统的检测率越
16、大、误报率越小、检测可信度越高越好。根据上面的分析,针对给定的实验数据或具体环境,我们可以通过统计以及系统仿真获得P ( I) 、P( I) 、P (A | I)以及P (A | I)的先验概率,而根据贝叶斯定理:P ( I |A ) =P ( I) P (A | I) / ( P ( I) P (A | I) + P ( I) P (A | I) ) P ( I | A ) =P ( I) P (A | I) / ( P ( I) P (A | I) + P ( I) P (A | I) )This document was created with the trial version of
17、 Print2PDF!Once Print2PDF is registered, this message will disappear!Purchase Print2PDF at http:/ ( I) (1 - P (A | I) ) / ( P ( I) (1 - P (A | I) ) + P ( I) (1 - P (A | ) ) )从而可计算出系统检测可信度有关的概率。在用以上方法分析分析系统可信度的时候,最好采用同一数据集和测试环境,在不同的测试环境下分别测试,最后总结出综合可信度。实际的入侵检测系统的实现总是在检测率和误报率之间徘徊,检测率高了,误报率就会提高;同样误报率降低
18、了,检测率也就会降低。一般地,入侵检测系统产品会在两者中取一个折衷,并且能够进行调整,以适应不同的网络环境。6.当今各种 IDS测试技术对比为了得到对IDS客观、全面的评价,就需要了解到IDS在受到各种攻击时的真实反映。但从成本和安全角度考虑,等到在真实工作环境运行后再进行评估,显然是不可能的。所以,进行相关的模拟测试。6.1 网络基IDS的压力测试技术对网络基IDS进行压力测试即在一定网络流量下测试数据分析能力。测试时,要求测试网络能够提供不同大小、,不同流量、不同类型的大量的网络数据包。同时观察北测IDS的运行情况。特别是系统运行的稳定性、丢包率、报警率、虚警率以及系统资源消耗情况。IDS
19、稳定运行并且丢包率为零时的最大网络流量即IDS能够承受的最大压力。例如,千兆网IDS即指在千兆网络流量下,IDS能够稳定运行并且不出现丢包现象。现在,许多测试机构使用SmartBits作为流量发生器对网络基IDS进行压力测试。6.2 数据回放技术数据回放也是制造真实背景流量的一种技术。其基本原理是将真实网络中的数据捕获下来,并且保存在文件中,然后使用数据包发送工具按照一定的速度反复地将其发送出去。目前没有开放源码的Windows下的回放工具,所以有些测试机构就在linux下使用tcpreplay将tcpdump捕获的数据包文件进行回放。6.3 流量统计技术为了对网络背景流量进行仿真,通常需要使
20、用一些网络流量监控软件对网络流量进行分析。根据不同协议在不同时间的使用情况建立统计模型。最常用的流量监控工具就是sniffer,它可以监控整个网络的使用情况,实时统计各种协议所占的比例。6.4 基于攻击描述语言的IDS基准测试技术国内最近的发展方向,该技术首先对所有已出现的网络攻击进行处理,纳入到统一的管理体系下, 然后再按照测试的需要把攻击会话复现出来。它的核心是网络攻击脚本语言和一体化结构设计。网络攻击脚本语言提供了一个标准规范的接口来描述各种网络攻击,进而得到各种网络攻击的脚本即测试脚本,并利用数据库对其进行管理。模拟攻击机和牺牲主机的一体化结构,提供了真实产生网络攻击会话的物理平台。该
21、技术的原理如图所示This document was created with the trial version of Print2PDF!Once Print2PDF is registered, this message will disappear!Purchase Print2PDF at http:/ 2三、未来发展方向1 不足之处虽然IDS及其相关技术已获得了很大的进展,但关于IDS的性能检测及其相关评测工具、标准及测试环境等方面的研究工作还很缺乏。从先前的实验研究,可指出在评估环境中防真正常网络流量是一件非常复杂而且耗时的工作。目前,市场上以及正在研发的IDS很多,各系统都有自
22、己独特的检测方法。攻击描述方式以及攻击知识库,还没有一个统一的标准。这大大加大了测试评估IDS的难度,因为很难建立一个统一的基准,也很难建立统一的测试方法。传统的入侵检测技术一般只局限于单一的主机或网络框架,显然不能适应大规模网络的监测,不同的入侵检测系统之间也不能协同工作。测试评估IDS中存在的最大问题是只能测试已知的攻击。在测试评估过程中,采用模拟的方法来生成测试数据,而模拟入侵者实施攻击面临的困难是只能掌握已公布的攻击,而对于新的攻击方法就无法得知。这样的后果是,即使测试没有发现IDS的潜在弱点,也不能说明IDS是一个完备的系统。2 发展趋势必须发展大规模的分布式入侵检测技术和宽带高速网
23、络的实时入侵检测技术。改进检测方法,提高检测准确率。标准化的工作对于一项技术的发展至关重要。在某一个技术领域,如果没有相应的标准,那么该领域的发展将会是无序的。令人遗憾是,尽管IDS经历了20多年的发展,近几年又成为网络与信息全领域的一个研究热点,但到目前为止,尚没有一个相关的国际标出现,国内也没有IDS方面的标准。因此,IDS的标准化工作应引起业界的广泛重视。现在的入侵检测产品很需要一个大家公认的IDS测试评估标准,各个产品都使用这个统一的尺度来衡量、比较彼此的优劣。现在一些入侵检测产品的宣传未必就十分可信,即使是完全可信的,由于不是由权威的检测部门使用测试评估标准来进行检测得出的结果,所以
24、也难免被使用者怀疑。因此,尽快建立一套IDS的测试评估标准,对产品开发商和用户都有好处。This document was created with the trial version of Print2PDF!Once Print2PDF is registered, this message will disappear!Purchase Print2PDF at http:/ 王自亮,罗守山,杨义先;入侵检测系统的测试与评估;中国数据通信;2002年第11期2 柳强,丁岳伟;入侵检测系统的测试评估及存在问题的探讨;上海理工大学学报; 2006年第2期3 兰旭辉,熊家军;流量模型在入侵检测系统评估中的应用研究;计算机工程与设计;2005年第2期4 潘强,阎怀志,胡昌振;IDS综合测试与评估技术;信息安全与通信保密;2005年第2期5 董晓梅,肖珂,于戈;入侵检测系统评估技术研究小型微型计算机系统;2005年第4期6 中国IT实验室;IDS二十年风雨历程;This document was created with the trial version of Print2PDF!Once Print2PDF is registered, this message will disappear!Purchase Print2PDF at http:/
