熟女俱乐部五十路二区av,又爽又黄禁片视频1000免费,国产卡一卡二卡三无线乱码新区,中文无码一区二区不卡αv,中文在线中文a

新聞中心

EEPW首頁(yè) > 模擬技術(shù) > 設(shè)計(jì)應(yīng)用 > 基于環(huán)境模擬的入侵檢測(cè)系統(tǒng)測(cè)試方法

基于環(huán)境模擬的入侵檢測(cè)系統(tǒng)測(cè)試方法

作者: 時(shí)間:2009-11-06 來(lái)源:網(wǎng)絡(luò) 收藏

3.2 攻擊仿真
攻擊仿真是整個(gè)測(cè)試過(guò)程的關(guān)鍵,也是測(cè)試結(jié)果是否合理的關(guān)鍵。攻擊仿真的前期準(zhǔn)備工作是收集足夠多的攻擊數(shù)據(jù),實(shí)際上是收集現(xiàn)有所有已知的攻擊和系統(tǒng)的弱點(diǎn)數(shù)據(jù)。這些數(shù)據(jù)主要來(lái)自一些研究機(jī)構(gòu),像MIT的林肯實(shí)驗(yàn)室、IBM的蘇黎世研究院和一些網(wǎng)絡(luò)界有名的討論組(社區(qū)),如The NSS Group等,其中MIT林肯實(shí)驗(yàn)室的數(shù)據(jù)就其可用性、全面性和權(quán)威性都得到了廣泛的認(rèn)可。
測(cè)試用例的選擇應(yīng)該盡可能的全面,但是不可能把每一種現(xiàn)有的攻擊都試驗(yàn)一遍,因此要把所有的攻擊按照某種標(biāo)準(zhǔn)進(jìn)行劃分,在所劃分的每個(gè)子集里挑選若干個(gè)典型的攻擊來(lái)完成測(cè)試。實(shí)施具體的攻擊,可以利用軟件直接來(lái)實(shí)現(xiàn),也可以用編寫(xiě)腳本的方法來(lái)實(shí)現(xiàn),利用shell編程和腳本語(yǔ)言編寫(xiě)攻擊腳本來(lái)入侵用戶(hù)的行為,實(shí)現(xiàn)攻擊的重放。
使用腳本和腳本解釋器的方法來(lái)用戶(hù)的行為,對(duì)編寫(xiě)好的腳本進(jìn)行解析,執(zhí)行再利用網(wǎng)絡(luò)連接命令連接到遠(yuǎn)端主機(jī),就能夠?qū)崿F(xiàn)多種多樣的攻擊重放。如果編寫(xiě)并輸人多個(gè)不同的腳本,用并行算法加以控制就能夠多個(gè)并發(fā)用戶(hù)的行為,實(shí)現(xiàn)多用戶(hù)并發(fā)攻擊的模擬。攻擊腳本的編寫(xiě)要事先制定統(tǒng)一的編寫(xiě)規(guī)范和格式。
3.3 事件合成
事件合成也是很重要的環(huán)節(jié),它是對(duì)網(wǎng)絡(luò)流量、模擬攻擊和測(cè)試對(duì)比的綜合考慮。一個(gè)仿真事件要包括事件的發(fā)生時(shí)間、結(jié)束時(shí)間和事件的內(nèi)容等其他一些必要的相關(guān)信息。網(wǎng)絡(luò)流量仿真中的事件可以是每一個(gè)網(wǎng)絡(luò)連接,基于連接的流量如TCP,也可以是一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包,基于數(shù)據(jù)包的流量如UDP。主機(jī)使用仿真中的事件可以是網(wǎng)絡(luò)服務(wù)的每次使用,也可以是一條用戶(hù)指令的執(zhí)行。合成好的原始事件一方面給測(cè)試模塊做測(cè)試之用,一方面用日志記錄下來(lái)以備離線考察。將測(cè)試結(jié)果和原始事件進(jìn)行有效的對(duì)比就可以得出大部分的測(cè)試結(jié)果。
3.4 其他模塊
正常流量數(shù)據(jù)庫(kù)存放準(zhǔn)備好的網(wǎng)絡(luò)流量數(shù)據(jù),為流量仿真模塊的調(diào)用做事先的準(zhǔn)備;攻擊數(shù)據(jù)庫(kù)存放收集到的攻擊數(shù)據(jù),攻擊仿真模塊從攻擊數(shù)據(jù)庫(kù)取得數(shù)據(jù)處理后形成攻擊。事件日志記錄合成事件的日志和事件原始數(shù)據(jù),這些數(shù)據(jù)用于對(duì)測(cè)試結(jié)果的補(bǔ)充和一些離線的測(cè)試。運(yùn)行日志專(zhuān)門(mén)記錄IDS運(yùn)行產(chǎn)生的一系列事件及其對(duì)入侵行為的反應(yīng)。測(cè)試結(jié)果模塊最終向用戶(hù)提交一份指定格式的測(cè)試報(bào)告,記錄測(cè)試結(jié)果,還可以進(jìn)一步給出對(duì)IDS改進(jìn)的意見(jiàn)等。
3.5 測(cè)試過(guò)程
整個(gè)平臺(tái)的工作過(guò)程如下:流量數(shù)據(jù)庫(kù)提供網(wǎng)絡(luò)會(huì)話流量由流量產(chǎn)生模塊處理后生成所需的網(wǎng)絡(luò)流量,攻擊數(shù)據(jù)庫(kù)提供原始的攻擊素材,由攻擊仿真模塊加工后形成攻擊數(shù)據(jù)流;兩者經(jīng)過(guò)事件合成模塊合成為攻擊事件;攻擊事件一方面對(duì)待檢測(cè)的IDS發(fā)起攻擊,另一方面送給測(cè)試模塊作對(duì)比之用;測(cè)試模塊根據(jù)測(cè)試算法通過(guò)和待測(cè)IDS的雙向交互,評(píng)估IDS的各種行為和對(duì)入侵事件的反應(yīng);事件日志對(duì)攻擊事件進(jìn)行記錄,運(yùn)行日志對(duì)IDS的運(yùn)行情況進(jìn)行記錄;最后由測(cè)試結(jié)果模塊報(bào)告測(cè)試的結(jié)果。
3.6 測(cè)試結(jié)果
測(cè)試也可以用于IDS的開(kāi)發(fā),只需要進(jìn)行簡(jiǎn)單的調(diào)整。IDS開(kāi)發(fā)過(guò)程中的一些性能測(cè)試、算法測(cè)試和攻擊特征優(yōu)化測(cè)試等都能夠在這個(gè)中完成。本研究的初衷就是能夠使開(kāi)發(fā)環(huán)境和測(cè)試環(huán)境相統(tǒng)一。利用這個(gè)環(huán)境對(duì)開(kāi)發(fā)的基于多代理的進(jìn)行了相應(yīng)的測(cè)試,其結(jié)果如下:此IDS運(yùn)行時(shí),CPU占用率為0%~5%,內(nèi)存開(kāi)銷(xiāo)為7 492+6 648 KB;用tcpreplay產(chǎn)生TCPDUMP格式的文件,進(jìn)行9 Mb/s的流量重放時(shí),IDS處理到的流量為5.46 Kb/s;對(duì)于攻擊測(cè)試,主要測(cè)試了Dosnuke,SYN FL00D攻擊以及掃描攻擊等,其檢測(cè)率和誤報(bào)次數(shù)的ROC曲線如圖5所示。可以看出,該IDS在誤報(bào)比較少的情況下能夠達(dá)到比較好的檢測(cè)率。

本文引用地址:http://www.bjwjmy.cn/article/188534.htm

4 結(jié) 語(yǔ)
網(wǎng)絡(luò)的發(fā)展和新網(wǎng)絡(luò)入侵方式的出現(xiàn),促使了的不斷發(fā)展和完善,的測(cè)試技術(shù)也隨之不斷發(fā)展。實(shí)際而言,入侵檢測(cè)系統(tǒng)的測(cè)試不但存在很多的困難,而且也非常的耗時(shí)耗力,例如MIT有名的1998年和1999年測(cè)試都分別耗時(shí)一年時(shí)間。但是對(duì)于入侵檢測(cè)系統(tǒng)的測(cè)試又是一個(gè)不得不解決的事情。當(dāng)然,IDS的測(cè)試本身還存在一些難題需要解決,如攻擊腳本和受害軟件難于收集,對(duì)基于異常的系統(tǒng)還缺乏有效的方法進(jìn)行測(cè)試等。這些都有待于更進(jìn)一步的深入研究。


上一頁(yè) 1 2 3 下一頁(yè)

評(píng)論


相關(guān)推薦

技術(shù)專(zhuān)區(qū)

關(guān)閉