|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計(jì)算機(jī)、存儲(chǔ)資源、數(shù)據(jù)資源、信息資源、知識(shí)資源、專家資源、大型數(shù)據(jù)庫、網(wǎng)絡(luò)、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。 5 對(duì)IDS進(jìn)行測(cè)試評(píng)估一利用的相關(guān)數(shù)據(jù)對(duì)IDS進(jìn)行測(cè)試評(píng)估,也就是讓IDS對(duì)進(jìn)入到受保護(hù)系統(tǒng)的數(shù)據(jù)進(jìn)行檢測(cè),以確定檢測(cè)系統(tǒng)能否發(fā)現(xiàn)其中的入侵。要測(cè)試評(píng)估IDS,最準(zhǔn)確的數(shù)據(jù)當(dāng)然是根據(jù)實(shí)際運(yùn)行環(huán)境產(chǎn)生的數(shù)據(jù),但這通常是行不通的。因?yàn)楦鳈C(jī)構(gòu)的數(shù)據(jù)中都包含一些隱私信息,他們不愿公開這些數(shù)據(jù),并且即使有機(jī)構(gòu)愿意公開自己的數(shù)據(jù),也不大適合用來做通用測(cè)試,因?yàn)樘囟C(jī)構(gòu)的數(shù)據(jù)都帶有明顯的特有的一些特性,具有一定的局限性,可重復(fù)性也不好。為此,在具體測(cè)試的時(shí)候,大都采用一些測(cè)試工具。通過這些工具來生成IDS的測(cè)試數(shù)據(jù)。 測(cè)試評(píng)估數(shù)據(jù)的生成需要滿足下面幾個(gè)條件,即數(shù)據(jù)的生成必須能自動(dòng)完成,不需要人為的干預(yù);要具有一定的可重復(fù)性,也就是說需要時(shí)可以產(chǎn)生相同的數(shù)據(jù);要有一定的健壯性,可在無人監(jiān)控的條件下,可運(yùn)行較長(zhǎng)時(shí)間。 測(cè)試評(píng)估IDS的數(shù)據(jù)包括兩部分,一部分是訓(xùn)練數(shù)據(jù),另外一部分是實(shí)際測(cè)試數(shù)據(jù)。這兩部分?jǐn)?shù)據(jù)中都包括正常數(shù)據(jù)和入侵?jǐn)?shù)據(jù)。只有在正常數(shù)據(jù)的背景下,對(duì)IDS的測(cè)試評(píng)估結(jié)果才是客觀和全面的。入侵行為在背景數(shù)據(jù)的掩護(hù)下,被檢測(cè)系統(tǒng)發(fā)現(xiàn)的機(jī)率會(huì)大大降低。而IDS也可能將正常的流量行為誤判為攻擊,產(chǎn)生虛警。訓(xùn)練數(shù)據(jù)用來幫助IDS建立正常行為的模型,調(diào)整IDS各參數(shù)的設(shè)置。在訓(xùn)練數(shù)據(jù)中,入侵?jǐn)?shù)據(jù)是明確標(biāo)明的。測(cè)試數(shù)據(jù)用來對(duì)檢測(cè)系統(tǒng)進(jìn)行測(cè)試,其中的入侵?jǐn)?shù)據(jù)沒有標(biāo)明。 通常使用下面三種方法生成既包含正常通信數(shù)據(jù)又有攻擊的可公用的數(shù)據(jù):抓取正常情況和被受控攻擊時(shí)的運(yùn)行通信數(shù)據(jù)。由于隱私和安全問題這顯然行不通;從實(shí)際運(yùn)行數(shù)據(jù)中清除秘密信息。并在其中加入攻擊,這也行不通,因?yàn)楹茈y清除秘密信息;在一個(gè)內(nèi)部網(wǎng)中重建正常通信和攻擊數(shù)據(jù),這是我們采用的方法。 重建正常通信和攻擊數(shù)據(jù)也就是仿真用戶操作、模擬入侵。仿真用戶操作即生成用戶各種各樣的正常使用模式,這些模式幫助基于異常檢測(cè)的IDS建立正常行為的模型,并且以用戶正常模式數(shù)據(jù)作為檢測(cè)入侵的背景通信數(shù)據(jù),對(duì)于確定IDS正常運(yùn)行時(shí)的檢測(cè)率和虛警率是非常必要的。模擬入侵應(yīng)盡可能地覆蓋多種類型,新的攻擊只在測(cè)試數(shù)據(jù)一出現(xiàn)。設(shè)計(jì)攻擊要考慮很多問題。要分析攻擊的機(jī)制,并在測(cè)試系統(tǒng)中試驗(yàn)以便于分析和調(diào)節(jié)。分析要確定攻擊在測(cè)試環(huán)境中能否工作,是否需要新軟件或服務(wù)的支持。設(shè)計(jì)新奇的攻擊以用來發(fā)現(xiàn)未利用的系統(tǒng)或網(wǎng)絡(luò)漏洞。下面對(duì)用戶正常模式的仿真和入侵仿真分別進(jìn)行討論。 目前,大多采用下面三種方法來仿真網(wǎng)絡(luò)用戶行為,即通用會(huì)話生成工具、測(cè)試軟件包和錄制重放實(shí)際數(shù)據(jù)。通用會(huì)話生成工具方法基于有限自動(dòng)機(jī)來生成用戶所有可能的操作。每種操作都有一定的操作規(guī)程,比如FTP操作,首先它要完成TCP三步握手初始化連接,然后要輸入用戶名和密碼,用戶名密碼通過之后再瀏覽FTP服務(wù)器上的內(nèi)容、下載或者上傳,所有操作完成后離開服務(wù)器,結(jié)束TCP會(huì)話。根據(jù)這種通用規(guī)程,就可生成通用的會(huì)話,模擬用戶操作。但是,這種方法只適用于測(cè)試有限的命令集,比如可仿真FTP客戶,但不能仿真shell客戶,并且這種仿真存在一些問題,因?yàn)橛脩舨僮鞯捻樞蚝头⻊?wù)器端的響應(yīng)都是不確定的,仿真并不能完全模擬用戶的操作狀況。操作系統(tǒng)開發(fā)商自帶測(cè)試軟件包是比較簡(jiǎn)單的模擬方法,通常用于測(cè)試評(píng)估操作系統(tǒng)服務(wù)的性能和應(yīng)用服務(wù)軟件是否按設(shè)計(jì)說明來實(shí)現(xiàn)。但是這種測(cè)試不能給出用戶進(jìn)行什么樣的操作,只能告訴我們系統(tǒng)對(duì)正常請(qǐng)求的響應(yīng)行為。錄制重放方法是記錄各種用戶正常活動(dòng)的數(shù)據(jù),然后在測(cè)試平臺(tái)上重放用戶的活動(dòng)過程。這種方法要求用戶活動(dòng)記錄要足夠多。 用戶正常行為的仿真主要包括網(wǎng)絡(luò)流量仿真、主機(jī)正常使用仿真。大多數(shù)的網(wǎng)絡(luò)IDS或者網(wǎng)絡(luò)IDS的大部分都工作于網(wǎng)絡(luò)層或網(wǎng)絡(luò)層之上,它們對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)分組根據(jù)不同的協(xié)議進(jìn)行相應(yīng)的分析。因此,在仿真網(wǎng)絡(luò)流量時(shí),要仿真各種協(xié)議的各種應(yīng)用的流量。通常,對(duì)實(shí)際流量進(jìn)行分析,經(jīng)統(tǒng)計(jì)計(jì)算,得到各個(gè)協(xié)議按時(shí)間的流量概率分布,以此為模型,分別仿真各個(gè)協(xié)議的流量。 主機(jī)的使用可以分為兩個(gè)部分:主機(jī)所提供的網(wǎng)絡(luò)服務(wù)的使用和主機(jī)的直接使用,即用戶在主機(jī)上執(zhí)行命令。相應(yīng)的主機(jī)正常使用的仿真要分為兩部分,即主機(jī)網(wǎng)絡(luò)服務(wù)正常使用的仿真和主機(jī)直接使用的仿真。對(duì)主機(jī)提供的網(wǎng)絡(luò)服務(wù)的正常使用進(jìn)行仿真,可以采用兩種方法。一是遍歷法,即找出某個(gè)服務(wù)允許的所有正常使用模式,再由仿真程序,按這些模式依次對(duì)該服務(wù)進(jìn)行訪問。二是實(shí)際采樣法,取得真實(shí)網(wǎng)絡(luò)環(huán)境中某個(gè)服務(wù)的實(shí)際使用情況數(shù)據(jù),分析出現(xiàn)的使用模式,再根據(jù)分析結(jié)果建立仿真模型進(jìn)行仿真。此方法與網(wǎng)絡(luò)流量仿真的方法類似。這兩種方法各有優(yōu)缺點(diǎn)、仿真實(shí)現(xiàn)中,應(yīng)根據(jù)被仿真服務(wù)的具體情況進(jìn)行選擇。由于用戶的行為因工作性質(zhì)不同,會(huì)有很大差別,所以主機(jī)直接使用的仿真應(yīng)將用戶分為不同的種類(比如管理員、普通用戶),根據(jù)不同的用戶類型編寫不同的腳本,實(shí)現(xiàn)主機(jī)直接使用的仿真。由于不同用戶使用習(xí)慣變化很大,并且即使同一用戶使用習(xí)慣也帶有很大的隨機(jī)性,這使得仿真的難度大大增加。在實(shí)際測(cè)試評(píng)估IDS時(shí),一般只是仿真主機(jī)正常使用的一個(gè)具有代表性的子集。 攻擊仿真是評(píng)估環(huán)境的核心,也是對(duì)IDS進(jìn)行測(cè)試的關(guān)鍵。攻擊仿真要盡可能多地搜集各種攻擊方法。由于各種攻擊的數(shù)量過于龐大,不可能對(duì)所有的攻擊都進(jìn)行仿真。參考軟件測(cè)試領(lǐng)域中的等價(jià)劃分方法(equivalence partitioning),在進(jìn)行攻擊仿真時(shí),一般先將攻擊分類,然后選擇每種類別中典型的攻擊方法進(jìn)行仿真試驗(yàn)。選擇好攻擊類型后,在仿真時(shí)根據(jù)入侵者進(jìn)行攻擊的步驟進(jìn)行仿真。在構(gòu)造攻擊數(shù)據(jù)時(shí)還要注意新式攻擊。攻擊方式隱秘的攻擊、并行進(jìn)行的攻擊等方面。相對(duì)于舊式攻擊、攻擊方式明顯的攻擊以及串行進(jìn)行的攻擊而言,這些攻擊方式對(duì)檢測(cè)結(jié)果的影響可能會(huì)更大。 目前,測(cè)試數(shù)據(jù)所采用的格式大多采用Tcpdump數(shù)據(jù)格式和BSM數(shù)據(jù)格式,由于Windows系統(tǒng)廣泛應(yīng)用,Windows NT的日志格式也逐漸考慮進(jìn)來。在測(cè)試數(shù)據(jù)方面,麻省理工學(xué)院林肯實(shí)驗(yàn)室的數(shù)據(jù)比較完備,它包括一定時(shí)間的訓(xùn)練數(shù)據(jù)和用于最后實(shí)際測(cè)試的檢測(cè)數(shù)據(jù)。用于網(wǎng)絡(luò)流量仿真的工具有Anzen公司開發(fā)的nidsbench以及加利福尼亞大學(xué)開發(fā)的入侵檢測(cè)測(cè)試平臺(tái)。nidsbench包括tcpreplay和fraqrouter兩部分。tcpreplay的功能是將tcpdump復(fù)制的數(shù)據(jù)分組重放,還原網(wǎng)絡(luò)的實(shí)際運(yùn)行狀態(tài);而fraqrouter的功能是通過構(gòu)造一系列躲避IDS檢測(cè)的攻擊以測(cè)試檢測(cè)系統(tǒng)的正確性和安全性。加利福尼亞大學(xué)的IDS軟件測(cè)試平臺(tái)使用 Tcl-DP(TooL Command Language Distributed Programming)工具開發(fā)實(shí)現(xiàn)。它共包含四組命令:基本的會(huì)話命令集、同步命令集、通信命令集、記錄重放命令集。這些命令集分別用來仿真入侵者的基本操作,按指定要求產(chǎn)生事件,實(shí)現(xiàn)并發(fā)進(jìn)程的通信以及記錄用戶會(huì)話期間的操作命令序列再重放這些記錄。此外,麻省理工學(xué)院林肯實(shí)驗(yàn)室也開發(fā)了非實(shí)時(shí)IDS性能評(píng)估工具,該工具可動(dòng)態(tài)重放大量的數(shù)據(jù)。 網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中,正因如此,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴(yán)峻的考驗(yàn)―從硬件上、軟件上、所用標(biāo)準(zhǔn)上......,各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢(shì),對(duì)應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。 |
溫馨提示:喜歡本站的話,請(qǐng)收藏一下本站!
本站發(fā)布的Win7純凈版系統(tǒng)、Win10純凈版和XP純凈版系統(tǒng)僅為個(gè)人學(xué)習(xí)測(cè)試使用,請(qǐng)?jiān)谙螺d后24小時(shí)內(nèi)刪除,不得用于任何商業(yè)用途,否則后果自負(fù),請(qǐng)支持購買微軟正版軟件!
本站所有資源全部來自于網(wǎng)絡(luò)資源,如侵犯到您的權(quán)益,請(qǐng)及時(shí)通知我們(),我們會(huì)及時(shí)處理.
Copyright © 2018-2020 蘿卜系統(tǒng) 手機(jī)站 關(guān)于本站
