NIDS的測試研究國內(nèi)外文獻(xiàn)綜述1.1國外研究現(xiàn)狀國外學(xué)者對NIDS的測試研究已經(jīng)有了比較豐富的成果。表1總結(jié)了過去比較多個(gè)入侵檢測系統(tǒng)的重要評估的特征(如表3-1所示)。它包括早期研究，這些研究描述了可用于技術(shù)評估的方法，我們知道的最新和最廣泛的商業(yè)產(chǎn)品系統(tǒng)評估以及1998DARPA入侵檢測實(shí)時(shí)和離線的評估。表1中的第一列提供了第一作者和研究日期，第二列指示了評估的入侵檢測系統(tǒng)的數(shù)量，第三列提供了使用的攻擊類型的數(shù)量以及受攻擊的唯一受害者計(jì)算機(jī)的數(shù)量。第四列指示該研究是否分析了正常背景流量產(chǎn)生的虛假警報(bào)的數(shù)量。下一欄指出是否使用了隱蔽的攻擊來逃避入侵檢測系統(tǒng)，最后一欄顯示了該研究的更多內(nèi)容。表3-1過去入侵檢測評估的特征研究IDs攻擊/受害錯(cuò)誤警告隱蔽內(nèi)容Puketza199424/1有否自動(dòng)攻擊和簡單的Telnet流量Debar1999834/1有否自動(dòng)攻擊和FTP流量Shipley19991012/4無是10個(gè)商業(yè)ID的產(chǎn)品比較Durst1999419/4有是1998年DARPA實(shí)時(shí)評估Lippmann20001038/4有是1998年DARPA離線評估，標(biāo)準(zhǔn)ID語料庫分類1.1.1Puketza1994美國加州大學(xué)的NicholasJ．Puketza等人在當(dāng)時(shí)已有的研究基礎(chǔ)上開發(fā)了一個(gè)入侵檢測評估方法的初始研究程序，集成了腳本軟件，自動(dòng)生成攻擊和后臺流量，并把測試分為三類，即確定IDS的一組性能目標(biāo)：廣泛的檢測范圍（也可以說是IDS有效性測試）：對于范圍廣泛的已知入侵中的每個(gè)入侵，IDS應(yīng)該能夠區(qū)分入侵和正常行為；在系統(tǒng)資源使用方面具有較高的經(jīng)濟(jì)性：IDS可以用來保證在運(yùn)行的過程中在不使用過多系統(tǒng)資源抗壓能力：IDS在系統(tǒng)的較大計(jì)算壓力條件下仍應(yīng)正確運(yùn)行。IDS應(yīng)該能夠滿足第一個(gè)目標(biāo)，否則許多的入侵痕跡都會(huì)無法被系統(tǒng)記錄。之所以需要第二個(gè)目標(biāo)是因?yàn)?，如果IDS在系統(tǒng)中占用大量的資源，則在某些環(huán)境中大量使用IDS可能會(huì)變得脫離實(shí)際。第三個(gè)目標(biāo)同樣重要，其原因有兩個(gè)：在典型的計(jì)算環(huán)境中經(jīng)常可能出現(xiàn)大負(fù)載狀態(tài)；入侵者可能在參與入侵活動(dòng)之前，通過在計(jì)算環(huán)境中創(chuàng)建高密度流量的條件來試圖使IDS崩潰。Puketza等人認(rèn)為IDS有必要（盡管可能不夠）滿足這三個(gè)目標(biāo)，以便在各種計(jì)算環(huán)境中均有效。通過設(shè)置IDS的通用性能目標(biāo)，使得測試的工作部署局限于某個(gè)特定的系統(tǒng)。NicholasJ．Puketza等人通過建立一個(gè)軟件通用平臺，在Unix上使用expect和tcl組合運(yùn)行不同的腳本，模擬多個(gè)用戶（正常用戶和入侵者）使用多臺計(jì)算機(jī)的效果。在其測試IDS的方法中，測試用例是模擬的用戶會(huì)話。一個(gè)關(guān)鍵問題是選擇要模擬的入侵行為。測試人員應(yīng)首先收集盡可能多的入侵?jǐn)?shù)據(jù)。對于UNIX系統(tǒng)，報(bào)告可以從各種來源以及通過分析檢測到的漏洞能力獲得入侵?jǐn)?shù)據(jù)。通過諸如COPS和TIGER之類的安全工具產(chǎn)生測試數(shù)據(jù)。接下來，假設(shè)入侵的數(shù)量太大而無法模擬所有入侵，則測試人員必須將入侵集合劃分為多個(gè)類，然后通過從每個(gè)類別中選擇一個(gè)或多個(gè)入侵來創(chuàng)建代表性的入侵子集。該技術(shù)在軟件測試領(lǐng)域稱為等效劃分。理想情況下，應(yīng)該選擇類別，以便在每個(gè)類別內(nèi)，IDS檢測到每個(gè)入侵，或者IDS不檢測到任何入侵。然后，可以從每個(gè)類中選擇一個(gè)測試用例，以代表最后一組測試用例中的類。但是這個(gè)測試方法仍有其局限，原因如下:對于圖形界面下的用戶，無法完全模擬其行為無法適用于基于異常檢測算法的IDS只能覆蓋小范圍的局域網(wǎng)對于復(fù)雜的用戶行為的模擬需要的軟件結(jié)構(gòu)復(fù)雜且計(jì)算量巨大1.1.2Debar1998在1998年的Debar等人經(jīng)過IDS測試系統(tǒng)的研究同樣集成了腳本軟件，以通過自動(dòng)生成攻擊和后臺流量來提供可重復(fù)性。這些研究都證明可重復(fù)性在于入侵檢測系統(tǒng)的開發(fā)中具有非常重要的作用，且最初通過周期性的測試，使得之前的IDS低檢測效率和較高誤報(bào)率得到改善。1.1.3Shipley1999Shipley1999是綜合的產(chǎn)品評估測試，對已經(jīng)發(fā)布的許多商業(yè)入侵檢測系統(tǒng)的產(chǎn)品做比較。它評估了包括三個(gè)基于主機(jī)和七個(gè)基于網(wǎng)絡(luò)的商業(yè)入侵檢測系統(tǒng)在內(nèi)的產(chǎn)品，它們使用超過12種攻擊類型和四臺受害者計(jì)算機(jī)進(jìn)行了評估。這項(xiàng)研究還包括對隱身的探測或掃描攻擊以及隱身的數(shù)據(jù)包修改，旨在躲避入侵檢測系統(tǒng)。雖然這項(xiàng)研究沒有提供詳細(xì)的攻擊檢測結(jié)果，但證明了沒有系統(tǒng)能夠成功檢測到所有攻擊，并且成功進(jìn)行了繞過許多檢測系統(tǒng)的規(guī)避。評估的大多數(shù)系統(tǒng)都依靠攻擊“簽名”來檢測舊的或已知的攻擊。通?？梢允謩?dòng)添加新簽名，也可以從遠(yuǎn)程站點(diǎn)下載新簽名。Shipley的評估集中在實(shí)用的系統(tǒng)特性（如易用性和成本）上，并且沒有測量正常背景流量的誤報(bào)率。但是，它確實(shí)使用網(wǎng)絡(luò)負(fù)載生成軟件來演示某些基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)無法在高網(wǎng)絡(luò)負(fù)載下檢測到攻擊。1.1.4Durst1999及Lippmann2000Durst1999及Lippmann2000進(jìn)行了實(shí)時(shí)和離線DARPA1998評估，這是到當(dāng)時(shí)為止執(zhí)行的最復(fù)雜的評估。這是對綜合評估的最初嘗試，該評估包括測量八種以上不同的入侵檢測系統(tǒng)。該探索性評估是有限的。它僅包括由DARPA贊助開發(fā)的入侵檢測系統(tǒng)，僅針對UNIX主機(jī)的攻擊，以及旨在類似于一個(gè)空軍基地的流量的后臺流量。麻省理工學(xué)院林肯實(shí)驗(yàn)室進(jìn)行了數(shù)周的培訓(xùn)和流量測試，并以此創(chuàng)建了1998年檔案入侵檢測語料庫，并且該語料庫將繼續(xù)用于算法開發(fā)，并作為將來評估入侵檢測系統(tǒng)的基準(zhǔn)。由空軍研究實(shí)驗(yàn)室（AFRL）進(jìn)行的實(shí)時(shí)評估，對數(shù)個(gè)系統(tǒng)使用更復(fù)雜的網(wǎng)絡(luò)，更少的攻擊和四個(gè)小時(shí)的流量進(jìn)行了實(shí)時(shí)檢測。在1998年的最初努力下，進(jìn)一步的離線和實(shí)時(shí)評估在1999年進(jìn)行。由于內(nèi)部攻擊可能帶來的危險(xiǎn)，添加了內(nèi)部攻擊和內(nèi)部嗅探器數(shù)據(jù)以檢測這些攻擊。1999年的另一項(xiàng)重大變化是著重于確定系統(tǒng)檢測新攻擊的能力，而無需首先對這些攻擊的實(shí)例進(jìn)行訓(xùn)練。1998年的評估表明，系統(tǒng)無法很好地檢測到新的攻擊。1999年進(jìn)行的新評估旨在評估可以檢測到新攻擊的增強(qiáng)型系統(tǒng)，并分析為什么系統(tǒng)可能會(huì)漏報(bào)新攻擊。因此，開發(fā)了許多新的攻擊，并且在訓(xùn)練數(shù)據(jù)中僅提供了其中一些示例。一個(gè)測試臺產(chǎn)生的實(shí)時(shí)背景流量類似于政府站點(diǎn)上的實(shí)時(shí)流量，該站點(diǎn)上有成千上萬個(gè)主機(jī)的數(shù)百個(gè)用戶。經(jīng)過三周的數(shù)據(jù)訓(xùn)練和兩周的數(shù)據(jù)測試過程中，針對受害的UNIX和WindowsNT主機(jī)啟動(dòng)了200多個(gè)58種攻擊類型的實(shí)例，結(jié)果誤報(bào)率很低（每天少于10個(gè)）。基于網(wǎng)絡(luò)的系統(tǒng)對舊的探測和舊的拒絕服務(wù)（DoS）攻擊提供了最佳檢測，而基于主機(jī)的系統(tǒng)對Solaris用戶到根（U2R）攻擊提供了最佳檢測。所以結(jié)合使用基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測的組合系統(tǒng)可以提供最佳的總體性能。其缺點(diǎn)是但是對于新產(chǎn)生的，隱秘的和WindowsNT攻擊，檢測準(zhǔn)確性很差，在58種攻擊類型中有10種被所有入侵檢測系統(tǒng)完全忽略。這是因?yàn)榕f的攻擊的簽名沒有推廣到新的攻擊，并且審計(jì)并非在所有主機(jī)上都可用。1.2國內(nèi)研究現(xiàn)狀國內(nèi)有關(guān)網(wǎng)絡(luò)入侵檢測系統(tǒng)測試的研究起步相對于國外較晚，但隨著網(wǎng)絡(luò)安全的發(fā)展和逐漸擴(kuò)大的需求，NIDS的檢測也有了較快的發(fā)展。我國作為從21世紀(jì)才開始大力發(fā)展網(wǎng)絡(luò)的國家，也早早開始的網(wǎng)絡(luò)安全的建設(shè)進(jìn)程。2000年，我國就開始著手研究與指定網(wǎng)絡(luò)安全相關(guān)產(chǎn)品的技術(shù)標(biāo)準(zhǔn)。2004年就有了17項(xiàng)需要被實(shí)施和已經(jīng)制定好的評估方法與標(biāo)準(zhǔn)。2002年，賽迪評測網(wǎng)絡(luò)安全實(shí)驗(yàn)室，進(jìn)行了對國內(nèi)市場的15個(gè)不同入侵檢測產(chǎn)品的橫向測試，實(shí)現(xiàn)了對國內(nèi)主流NIDS技術(shù)和產(chǎn)品的整體評估。具體從四個(gè)方面進(jìn)行了全方位的評價(jià)分析:易管理性：能方便用戶的使用安全檢查能力：針對非正常的惡意網(wǎng)絡(luò)安全行為或者安全事件(尤其可能是惡意入侵網(wǎng)絡(luò)行為)的檢測自身安全性：即健壯性測試及通信加密認(rèn)證性能：系統(tǒng)可以在面對高強(qiáng)度的網(wǎng)絡(luò)攻擊或較大負(fù)載流量下自動(dòng)進(jìn)行正確的性能檢測在賽迪測試過程中構(gòu)建起一個(gè)符合工業(yè)和廠家安裝需求的測試環(huán)境:可以將一個(gè)網(wǎng)絡(luò)環(huán)境下同時(shí)放置多種不同的網(wǎng)絡(luò)服務(wù)器(例如web、ftp、mail、telnet等)(如圖3-1所示)。圖3-1賽迪測評的測試環(huán)境該測評使用Smartbits6000bip作為檢測攻擊產(chǎn)品流量的數(shù)據(jù)發(fā)生器，使其中所產(chǎn)生的混合20種不同攻擊性的數(shù)據(jù)流量作為理論背景數(shù)據(jù)流量，對被動(dòng)檢測攻擊產(chǎn)品流量進(jìn)行綜合測試:不同的攻擊流量值和壓力條件下使用固定小包、固定大包、隨機(jī)大小包和被動(dòng)混合四種攻擊性的數(shù)據(jù)分別測試IDS產(chǎn)品的流量檢測數(shù)據(jù)效率。2005年同樣是賽迪評測網(wǎng)絡(luò)安全實(shí)驗(yàn)室，測試了13種IDS產(chǎn)品，在測試中產(chǎn)生50種攻擊方式，包括模擬攻擊(Smartbits6000B模擬產(chǎn)生)和真實(shí)攻擊(攻擊軟件產(chǎn)生)。相較于2002年，這次在原有的測試內(nèi)容基礎(chǔ)上新增了網(wǎng)絡(luò)層和應(yīng)用層的測試項(xiàng)目，可以更好地反映出被測產(chǎn)品在實(shí)際應(yīng)用中的表現(xiàn)。在網(wǎng)絡(luò)層的測試中，通過向客戶端發(fā)送一個(gè)數(shù)據(jù)包信息來確定其所構(gòu)成的背景流量，用于對網(wǎng)絡(luò)入侵檢測產(chǎn)品在各個(gè)背景流量大小壓力下的信息進(jìn)行分析和捕捉的能力。而應(yīng)用層的測試是使用兩種網(wǎng)絡(luò)協(xié)議，通過用戶實(shí)際地使用該網(wǎng)絡(luò)時(shí)的狀態(tài)，以一種請求相互連接的形式構(gòu)成一個(gè)背景的流量。相對于網(wǎng)絡(luò)層測試更加真實(shí)，用于考察IDS產(chǎn)品在實(shí)際網(wǎng)絡(luò)環(huán)境中的性能。參考文獻(xiàn)[1]□N.J.Puketza，K.Zhang，M.Chung，B.MukherjeeandR.A.Olsson，"Amethodologyfortestingintrusiondetectionsystems，"inIEEETransactionsonSoftwareEngineering，vol.22，no.10，pp.719-729，Oct.1996，doi:10.1109/31.544350.[2]王自亮，羅守山，楊義先.入侵檢測系統(tǒng)的測試與評估[J].中國數(shù)據(jù)通信，2002(11):14-19.王靜康，張鳳寶，夏淑倩等.論化工本科專業(yè)國際認(rèn)證與國內(nèi)認(rèn)證的“實(shí)質(zhì)性”.高等工程教育研究，2014，5:1-4[2]□StoneJA，HowardLP.AsimpletechniqueforobservingperiodicnonlinearitiesinMichelsoninterferometer