● 摘要
入侵检测测试是伴随着入侵检测技术的发展而发展起来的,近年来,入侵检测系统的部署范围的逐步扩大,而入侵检测系统对网络上急剧增多的恶意攻击行为的检测能力并没有太多的提高,这一方面是因为入侵检测技术本身的局限性,另一方面更为关键的原因就是人们往往不能及时的找到IDS检测范围的盲点和其自身的健壮性问题,致使技术高超的恶意攻击者总是能够绕过入侵检测系统,或者攻破IDS系统本身,使其形同虚设,进而入侵其所在的网络。因此,对入侵检测系统进行有效及时的测试和评估日益重要,入侵检测系统的测试技术变得越来越重要。本文在分析和总结前人主要研究成果和失败教训的基础上,针对目前入侵检测系统测试技术在测试数据源的构造等方面存在的问题,设计并实现了一个测试网络入侵检测系统各个指标的测试系统Arbitrator。在该系统中,重点研究和实现了以下四方面的功能:1. 构造了一个测试插件库,涵盖了国际公认的最危险的20类漏洞。2. 从多个角度探讨并实现了背景流量仿真的功能。包括基于TCP/IP协议栈的原始报文构造,以及以expect脚本编写的若干网络会话模拟脚本。3. 探讨了以XML描述所有测试实体的策略与机制。在此基础上实现了以策略配置文件为基础的测试工程表述方法。4. 研究了攻击变异的相关技术,并初步实现了一个变异方式可扩展的攻击变异引擎。测试结果表明,在没有对攻击进行变异的情况下,三种IDS系统均能很好的检测出攻击行为。而当启动攻击变异引擎以后,三种IDS系统的检测准确性都存在一定程度的下降。