基于環(huán)境模擬的入侵檢測系統(tǒng)測試方法
0 引 言
在保障網(wǎng)絡(luò)的安全性時,入侵檢測系統(tǒng)已經(jīng)成為必選的技術(shù)和手段,因為它比起其他的安全技術(shù)存在著很多優(yōu)勢。用戶在選用IDS時,總是從各自不同的需要來考慮。要衡量IDS的優(yōu)劣,就需要明確IDS應(yīng)該具備的性能指標(biāo),設(shè)計有效的方法來測試。實際上入侵檢測系統(tǒng)的測試是一個難度較大的問題,也是一件費時耗力的工作。對于這一工作,許多研究機構(gòu)都進行了相應(yīng)的研究,給出了自己的測試方法和測試結(jié)果。例如MIT的林肯實驗室分別在1998年和1999年進行了IDS的兩次測試,這兩次測試的結(jié)果曾受到廣泛的關(guān)注。IBM的蘇黎世研究院和其他一些研究機構(gòu)也做過相似的工作。他們的工作都專注于IDS評估和測試的本身,沒有過多考慮到開發(fā)者的需要,而且他們的方法實現(xiàn)起來代價都很大。本文既考慮到測試的目的,又考慮了開發(fā)者的需要,盡量能夠保證測試環(huán)境和開發(fā)環(huán)境的融合,提出模擬現(xiàn)實的網(wǎng)絡(luò)環(huán)境,然后搭建軟件平臺進行IDS測試的方法。該方法比較容易實現(xiàn),可控制性強,能夠滿足IDS測試的多種需要,隨后的仿真測試說明該方法是有效的。
1 IDS測試目的及指標(biāo)
入侵檢測系統(tǒng)是一個軟硬件結(jié)合體系,可以借鑒軟件測試方法來測試和評價入侵檢測系統(tǒng),但是純粹的軟件測試方法并不能很好地滿足IDS測試的需要。首先要確定應(yīng)該以什么樣的標(biāo)準(zhǔn)來測試IDS,也就是選擇測試指標(biāo)。根據(jù)IDS的特點采取定量的測試方法,這些測試指標(biāo)側(cè)重于那些定量的測量,以及與檢測準(zhǔn)確度相關(guān)的項目。
IDS的主要目的就是有效地檢測出入侵行為,并進行及時處理。檢測率用來確定在一個時間段內(nèi)及在給定的環(huán)境中IDS可以正確檢測到攻擊的比率。當(dāng)系統(tǒng)將正常的行為確認為人侵行為時就是發(fā)生誤報(False Positive)。誤報率用來確定在一個特定的時間段內(nèi)及在給定環(huán)境中IDS所產(chǎn)生的誤報比率,大多數(shù)產(chǎn)生誤報的原因是正常的非惡意的后臺流量引起的。當(dāng)系統(tǒng)將入侵行為確認為正常行為時,則發(fā)生漏報(False Negatire)。漏報率用來衡量一個特定的時間段及在給定環(huán)境中IDS所產(chǎn)生的漏報比率。
檢測率和誤報率是緊密相關(guān)的,受試者行為特性曲線(Receiver Operating Characteristic,ROC)反映了這兩者之間的關(guān)系。ROC曲線的橫軸是IDS的誤報次數(shù),縱軸為檢測率,該曲線準(zhǔn)確地刻畫了IDS的檢測率與誤報率情況。利用ROC曲線還可以找出IDS的檢測和誤報之間的平衡點,但是為了獲得這個點需要預(yù)先做很多工作。
除了上面的幾項指標(biāo)外,還有幾項重要的指標(biāo)需要加以考慮。它們包括:自身安全性(抵抗對于入侵檢測系統(tǒng)本身的攻擊)、處理高數(shù)據(jù)流量的能力、事件關(guān)聯(lián)能力、檢測未知攻擊的能力、確認攻擊是否成功的能力等。
2 IDS測試環(huán)境
測試環(huán)境是對IDS進行評估和測試的基礎(chǔ),因為它直接關(guān)系到測試的結(jié)果,也直接影響測試的真實性和客觀性。無論何種類型的IDS,其運行的真實環(huán)境總是一個具體的網(wǎng)絡(luò)。但是測試中環(huán)境卻不拘泥于是否是在某種特定的網(wǎng)絡(luò)里,IDS的部署和配置總是根據(jù)它所在的網(wǎng)絡(luò)環(huán)境而千差萬別,建立的測試環(huán)境應(yīng)該能夠滿足IDS測試中多樣性的需要,使它不僅能對測試環(huán)境進行靈活的調(diào)整,又能在現(xiàn)實網(wǎng)絡(luò)中使其流量要求與技術(shù)指標(biāo)相符合。測試環(huán)境分為三種:現(xiàn)實網(wǎng)絡(luò)環(huán)境、純軟件模擬環(huán)境和模擬網(wǎng)絡(luò)環(huán)境。
2.1 現(xiàn)實網(wǎng)絡(luò)環(huán)境和模擬環(huán)境
現(xiàn)實網(wǎng)絡(luò)環(huán)境就是本地現(xiàn)有的正在實際使用的網(wǎng)絡(luò)環(huán)境。整個因特網(wǎng)就是一個最大的現(xiàn)實的網(wǎng)絡(luò)測試環(huán)境,如圖1所示。
在內(nèi)網(wǎng)中布置了IDS,該IDS可以是基于主機(Host-based IDS)的,也可以是基于網(wǎng)絡(luò)(Network-based IDS)的。發(fā)起攻擊的主機(產(chǎn)生攻擊行為的主機,這樣的主機可以是一臺也可以是多臺)可以在網(wǎng)內(nèi),也可以在網(wǎng)外。網(wǎng)內(nèi)和網(wǎng)外是一個相對而言的概念,把與IDS同在一個局域網(wǎng)中的設(shè)備和節(jié)點看作網(wǎng)內(nèi),其他情況稱為網(wǎng)外。發(fā)起攻擊測試的主機如果是在網(wǎng)內(nèi),那么它們應(yīng)該與所要測試的IDS在同一個局域網(wǎng)內(nèi),如果這臺主機是在網(wǎng)外,那么它的位置跨度可以很大,它們可以是因特網(wǎng)上的任何機器。
評論