基于環(huán)境模擬的入侵檢測(cè)系統(tǒng)測(cè)試方法
另外,還有一種完全用軟件來模擬的方法。這種方法類似于虛擬機(jī)技術(shù)(如Vmware)和網(wǎng)絡(luò)仿真技術(shù)(如OPNET,ns2)的結(jié)合。用一臺(tái)單主機(jī)模擬出一個(gè)完備的網(wǎng)絡(luò)環(huán)境,在此虛擬網(wǎng)絡(luò)環(huán)境中部署IDS,然后再配合測(cè)試軟件就可以進(jìn)行IDS的測(cè)試。這種方法有一定的可行性,因?yàn)樗?a class="contentlabel" href="http://m.butianyuan.cn/news/listbylabel/label/環(huán)境">環(huán)境單一性使得測(cè)試人員能夠方便地測(cè)試一些輕量級(jí)的IDS或者測(cè)試IDS某個(gè)特定的功能方面。但是這種測(cè)試環(huán)境下測(cè)試效果的好壞還有待于進(jìn)一步的研究和試驗(yàn)證明。
現(xiàn)實(shí)環(huán)境的優(yōu)點(diǎn)是不需要專門建立,實(shí)時(shí)性高,對(duì)特定類型的IDS測(cè)試時(shí)其測(cè)試結(jié)果的可信度高;但是也有很多缺點(diǎn),最主要就是可控性不高,所能測(cè)試的IDS范圍比較窄,種類比較少。純軟件環(huán)境因其本身的運(yùn)行,十分消耗資源,因此難以勝任較大規(guī)模的IDS測(cè)試工作。
2.2 模擬網(wǎng)絡(luò)環(huán)境
本文選擇模擬網(wǎng)絡(luò)環(huán)境來進(jìn)行測(cè)試環(huán)境的設(shè)計(jì),模擬測(cè)試環(huán)境大多數(shù)可以由實(shí)際的開發(fā)環(huán)境經(jīng)過簡單的改動(dòng)而得到。它與前兩種測(cè)試環(huán)境相比,優(yōu)勢(shì)在于:可控性好,能夠根據(jù)測(cè)試需要定制和更改環(huán)境,可以測(cè)試的攻擊范圍大,種類多等。另外,在設(shè)計(jì)合理的情況下,其測(cè)試效果并不亞于真實(shí)的網(wǎng)絡(luò)環(huán)境。從實(shí)現(xiàn)的角度考慮,這種模擬測(cè)試環(huán)境也能夠滿足絕大多數(shù)IDS測(cè)試的需要。基本思路是根據(jù)測(cè)試的要求,用一個(gè)簡單的局域網(wǎng)來模擬規(guī)模較大的城域網(wǎng)和因特網(wǎng)。使用模擬網(wǎng)絡(luò)環(huán)境進(jìn)行IDS測(cè)試時(shí)需要開發(fā)與之相配套的軟件平臺(tái)。樟捌網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示。本文引用地址:http://m.butianyuan.cn/article/188534.htm
此網(wǎng)絡(luò)可以模擬規(guī)模較大的、實(shí)際的網(wǎng)絡(luò)結(jié)構(gòu)和設(shè)備,也可以模擬實(shí)際網(wǎng)絡(luò)中多種多樣的網(wǎng)絡(luò)服務(wù)。具體方法是利用專門產(chǎn)生網(wǎng)絡(luò)流量的計(jì)算機(jī)來產(chǎn)生所需要的網(wǎng)絡(luò)流量,然后使用軟件把這些流量動(dòng)態(tài)地分派給網(wǎng)絡(luò)中的節(jié)點(diǎn)。一般需要兩種產(chǎn)生流量的機(jī)器:外部流量產(chǎn)生器,產(chǎn)生模擬網(wǎng)絡(luò)和因特網(wǎng)之間的會(huì)話和流量;內(nèi)部流量產(chǎn)生機(jī)器,產(chǎn)生網(wǎng)絡(luò)內(nèi)部需要的會(huì)話和流量。這兩種流量產(chǎn)生器能夠產(chǎn)生比實(shí)際網(wǎng)絡(luò)上更為豐富的會(huì)話和流量,因?yàn)樗鼈兛梢赃M(jìn)行人為的控制。流量的產(chǎn)生要考慮測(cè)試所需流量的大小以及網(wǎng)絡(luò)規(guī)模的大?。涣硗膺€需要對(duì)多種網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)協(xié)議進(jìn)行模擬,以及模擬一些分布式的流量,所以這樣的流量產(chǎn)生器有時(shí)要占用好幾臺(tái)性能優(yōu)越的計(jì)算機(jī)。
邊界路由器介于流量產(chǎn)生器和網(wǎng)絡(luò)環(huán)境之間,它起到劃分內(nèi)部流量和外部流量的作用。邊界路由器還有向網(wǎng)內(nèi)的其他路由器和設(shè)備分配流量的作用。其他的如防火墻和主機(jī)等設(shè)備與它們?cè)趯?shí)際網(wǎng)絡(luò)中的作用和位置相同。這樣的模擬環(huán)境基本上反映了真實(shí)網(wǎng)絡(luò)的情況,進(jìn)行合理的配置完全可以模擬真實(shí)網(wǎng)絡(luò)環(huán)境的技術(shù)參數(shù)、流量要求等指標(biāo),而且整個(gè)模擬環(huán)境可以與外界完全隔離開來獨(dú)立使用。
3 IDS測(cè)試平臺(tái)
有了測(cè)試環(huán)境還不能完成IDS的測(cè)試工作,還需要針對(duì)測(cè)試環(huán)境利用軟件搭建一個(gè)測(cè)試平臺(tái)?;谏厦娴哪M網(wǎng)絡(luò)的測(cè)試環(huán)境,建立軟件測(cè)試平臺(tái),其流程如圖3所示。
MIT在入侵檢測(cè)系統(tǒng)測(cè)試評(píng)估上發(fā)展了一種系統(tǒng)和通用的評(píng)估方法。全部工作流程包括數(shù)據(jù)集的構(gòu)造、測(cè)試過程、測(cè)試結(jié)果分析,提供改進(jìn)算法的意見。這里提出的平臺(tái)既考慮了通用性,也考慮了實(shí)際IDS開發(fā)環(huán)境的因素,它能夠完成上述流程的全部工作,其中的關(guān)鍵部分有流量仿真、攻擊仿真、事件合成等。
3.1 流量仿真
評(píng)估所需的網(wǎng)絡(luò)流量仿真是一項(xiàng)很復(fù)雜的工作。常規(guī)用于研究網(wǎng)絡(luò)性能的流量仿真方法所產(chǎn)生的數(shù)據(jù)包,不考慮數(shù)據(jù)內(nèi)容,極有可能引起IDS的大量誤報(bào)。一般的IDS都工作于網(wǎng)絡(luò)層或網(wǎng)絡(luò)層之上,它們?cè)趨f(xié)議規(guī)定的框架內(nèi)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)容進(jìn)行分析。因此,IDS評(píng)估環(huán)境中的網(wǎng)絡(luò)流量仿真,一定是具體到各個(gè)協(xié)議的流量仿真。流量仿真的子系統(tǒng)結(jié)構(gòu)如圖4所示。
由于流量的產(chǎn)生不僅來自網(wǎng)絡(luò)外部,還有來自網(wǎng)絡(luò)內(nèi)部其他主機(jī)的流量,這樣就需要生成兩種類型的網(wǎng)絡(luò)流量:外部網(wǎng)絡(luò)流量和內(nèi)部網(wǎng)絡(luò)流量。對(duì)應(yīng)上一節(jié)中的測(cè)試環(huán)境,這兩種網(wǎng)絡(luò)流量是由測(cè)試環(huán)境中的外部流量產(chǎn)生器和內(nèi)部流量產(chǎn)生器分別產(chǎn)生的。這兩種類型的流量中又根據(jù)測(cè)試需要包含有正常的網(wǎng)絡(luò)會(huì)話流量和非正常的(有時(shí)是攻擊性的)網(wǎng)絡(luò)會(huì)話流量。
評(píng)論