GB/T26268-2010
网络入侵检测系统测试方法
Testmethodfornetworkintrusiondetectionsystem
- 中国标准分类号(CCS)M54
- 国际标准分类号(ICS)33.040.40;33.200
- 实施日期2011-06-01
- 文件格式PDF
- 文本页数23页
- 文件大小381.35KB
以图片形式预览网络入侵检测系统测试方法
网络入侵检测系统测试方法
国家标准 GB/T26268一2010 网络入侵检测系统测试方法 Iestmethodfornetworkintrusiondetectionsystemm 2011-01-14发布 2011-06-01实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/T26268一2010 目 次 前 范围 规范性引用文件 术语和定义 缩略语 测试环境 接口测试 系统功能测试 13 系统性能 17 附录A资料性附录典型攻击的类型 18 附录B资料性附录常用的编码格式介绍 20 参考文献 +
GB/T26268一2010 前 言 本标准是网络人侵检测系统系列标准之一
该系列标准的名称如下: 网络人侵检测系统技术要求 -网络人侵检测系统测试方法
《网络人侵检测系统技术要求》是本标准的技术依据,在使用时需与其配套使用 本标准的附录A和附录B均为资料性附录
本标准由工业和信息化部提出
本标准由通信标准化协会归口
本标准起草单位:工业和信息化部电信研究院、北京启明星辰信息技术有限公司
本标准起草人:周开波、张治兵,郝春光,吴海民
m
GB/T26268一2010 网络入侵检测系统测试方法 范围 本标准规定了网络人侵检测系统的接口测试、系统功能测试和性能测试等测试内容和相应的测试 方法
本标准适用于网络人侵检测系统及相关设备
规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款
凡是注日期的引用文件,其随后所有 的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本
凡是不注日期的引用文件,其最新版本适用于本标准
GB/T26269-2010网络人侵检测系统技术要求 YD/T1141一2007以太网交换机测试方法 3 术语和定义 下列术语和定义适用于本标准
报警alert 报警是指网络人侵检测系统在检测到人侵行为时,发布给具有系统管理角色实体的消息
3.2 攻击attack 攻击是指任何危及计算机资源与网络资源完整性,机密性或可用性的行为
3.3 自动响应automatedresponse 自动响应是指网络人侵检测系统在发现攻击后自发采取的保护行为
3 躲避evasionm 躲避是指人侵者发动攻击,而又不希望被发现而采取的行为
3.5 漏报talsenegatives 漏报是指一个攻击事件未被网络人侵检测系统检测到而造成的错误
3.6 误报falsepsitives 误报是指系统把正常行为作为人侵攻击而进行报警,或者把一种周知的攻击错误报告为另一种攻 击而导致系统错误响应
防火墙firewal 在网络之间执行访问控制策略的一个或一组设备 3.8 入侵intrusion 同“攻击”含义
GB/T26268一2010 3.9 入侵检测intrusiondeteeton 人侵检测是对人侵行为的发觉
它从IP网络或计算机系统中的若干关键点收集信息并对其进行 分析,从中发现是否有违反安全策略的行为或遭到人侵的迹象 3.10 入侵检测系统IntrusionDeteetionsystem(IDs) 进行人侵检测并依据既定的策略采取一定的响应措施的软件与硬件的组合
3 ..11 NIDS 网络入侵检测系统NetworkIntrusioDeteetionsystem 使用IP网络数据包作为数据源的人侵检测系统
3.12 策略poliey 人侵检测系统的策略是指对于IP网络中的攻击事件采取何种响应方式和响应条件
多个策略构 成策略集
3.13 规则rule 人侵检测规则包含了对网络中攻击事件进行评判的依据及对该事件采用的策略,多个规则构成规 则集
3. 14 特征signature 人侵检测系统的特征是使人侵检测系统在攻击行为发生时触发事件的依据
多个特征可以构成特 征库
简单网络管理协议陷阱sNMPIrap 简单网络管理协议陷阱是指由于发生某个网络事件,触发特定的网络设备发送相应的数据
缩略语 下列缩略语适用于本标准
AddressResolutionProtocol 地址解析协议 ARP 边界网关协议 BorderGatewayProtocol 后门 BackOrifice 域名服务器 DomainNameServer rm FileTransferProtocol 文件传输协议 Hr ypertextTransferProtocol 超文本传输协议 c 互联网控制消息协议 InternetControlMessageProtocol " 因特网协议 InternetProtocol OsPp OpenShortestPathFirst 开放最短路径优先 PoP PostOfficeProtocol3 邮局协议的第3个版本 RoutingInformationProtocol 路由信息协议 " 简单网络管理协议 aple.NetworkManageme Sim1 entProtocol s 简单邮件传输协议 SimpleMailTransferProtocol au SystemUnderTest 被测系统 1e 传输控制协议 TransmissionControlProtocol UDP 用户数据报协议 UserDatagtamProtocol
GB/T26268一2010 测试环境 在图1中,流量发生器主要用于产生背景流量
背景流量可以是接近实际的业务流,也可以是 UDP或TCP数据流
端口P1和P2中的数据流是流量发生器产生的数据流
流量发生器与交换机之 间的数据交换是双向的
被测IDs监测交换机的镜像端口P3,交换机与被测IDs之间的数据交换是单 向的 端口1 端口2 流量发生器 交换机 P3 SU门 被测Ds 控制台 图1测试环境1 在图2中,流量发生器主要用于产生背景流量,攻击发生器用于产生攻击,攻击目标是被攻击的主 机或服务器
背景流量可以是接近实际的业务流也可以是UDP或TCP数据流
攻击发生器产生的 攻击流量和流量发生器的背景流量混合后发送给攻击目标,然后测试sUT是否能够正常检测到人侵 行为
端口P1和P2中的数据流是攻击发生器发出的攻击与流量发生器产生的背景流量的混合数据 流
流量发生器与交换机之间的数据交换是双向的,攻击发生器与攻击目标之间的数据交换也是双向 的
被测DS监测交换机的镜像端口P3,交换机与被测IDS之间是单向数据传输
端口1 端口2 流量发生器 交换机 攻击发生器 攻击目标 SUT 被测IDS 控制台 图2测试环境2
GB/T26268一2010 在图3中.流量发生器主要用于产生背景流量,攻击发生器用于产生攻击,攻击目标是被攻击的主 机或服务器
背景流量可以是接近实际的业务流,也可以是UDP或TCP数据流
攻击发生器产生的 攻击流量和流量发生器的背景流量混合后发送给攻击目标,然后测试SUT是否能够正常检测到人侵 行为
sUT根据检测到的人侵行为与网络设备或网络安全设备互动,阻断正在进行的人侵行为
端口 P1和P2中的数据流是攻击发生器发出的攻击与流量发生器产生的背景流量的混合数据流
流量发生 器与交换机之间的数据交换是双向的,攻击发生器与攻击目标之间的数据交换也是双向的
被测IDs 监测交换机的镜像端口P3,交换机与被测IDS之间是单向数据传输
sUT与防火墙/交换机/路由器 之间传输控制信息,用虚线连接
端口1 端口2 流量发生器 交换机 防火墙/ 交换机/ 攻击发生器 攻击目标 路由器 P3 SUn 控制通道 被测IDS 控制台 图3测试环境3 接口测试 10/100Base-T接口、,1000Base-.SX、.1000Base-LX接口测试要求应符合YD/T1l4l一2007的规定
系统功能测试 各项功能的技术要求应符合GB/T26269一2010的规定 协议分析功能 测试编号1 测试项目:协议分析功能测试 测试目的;验证sUT可以分析、译码基于TCP/IP的协议 测试配置;测试环境1 测试过程: 按测试环境连接设备 交换机将端口P1出人流量镜像到端口P3 被测系统SUT在交换机P3端口监视流量; 从流量发生器端口1向端口2发送ARP,ICMP,DNSs,RIP,OSPF,BGP,HTTP,FTP、TELNET、 SMTP、POP3数据流
GB/T26268一2010 预期结果 在步骤4中,SUT应能正常监视数据流,对数据流进行分析,译码并提取数据流特征信息(数据流的 特征信息至少包括源MAC地址、目的MAC地址、源IP地址、目的P地址协议类型和协议内容)
判定原则 应符合预期结果要求,否则为不合格
攻击识别 7. 2 测试编号:2 测试项目:攻击类型测试 测试目的;验证sUT可以识别的攻击类型 测试配置:测试环境2 测试过程 按测试环境连接设备 交换机将端口P1出人的数据流镜像到端口P3; 配置sUT的检测策略为最大策略集 被测系统sUT在交换机端口监视数据流; 攻击发生器从事件库中选择具有不同特征的多个事件,组成攻击事件测试集 选取的事件至少应 包括如下几类 端口扫描类事件(TCP端口扫描,UDP端口扫描,ICMP分布式主机扫描); 1 拒绝服务类事件(synFlood、UDPFlood,ICMPFloodIGMP拒绝服务) 2 后门类事件(BO.Netbus,Dolly); 33 蠕虫类事件(红色代码、冲击波、振荡波); ! 溢出类事件(FTP命令溢出sMTPHELo缓冲区溢出、,PoP3_foxmai5.0缓冲区溢出、 5 TelnetSolaris_telnet缓冲区溢出、HTTPlIIs_Unicode漏洞,MSsQL.2000_远程溢出、FTP AIX溢出漏洞; 强力攻击和弱口令类事件sMTP口令探测、HTTP口令探测、FTP口令探测、 MSsQL.SERVER_弱口令,FTP弱口令,POP3_弱口令)
预期结果 在步骤5中,sUT应能正确报告相应的人侵事件
报告的内容应包括事件名称,攻击源地址、攻 击目的地址、事件发生时间以及重要级别等
判定原则 应符合预期结果要求,否则为不合格
躲避识别 测试编号:3 测试项目:躲避识别 -IP分片重组测试 测试目的验证sUT可以识别IP分片之后的攻击 测试配置:测试环境2
GB/T26268一2010 测试过程 按测试环境连接设备 交换机将端口P1的数据流镜像到端口P3 2 配置sUT的检测策略为最大策略集; 被测系统sUT在交换机P3端口监视数据流 攻击发生器发送经过分片之后的在测试编号2中通过测试的攻击
预期结果: 在步骤5中,sUT应能正确报告相应的人侵事件
判定原则: 应符合预期结果要求,否则为不合格
测试编号:4 测试项目:躲避识别 -TCP流重组测试 测试目的:验证sUT可以识别利用TCP流重组进行的攻击 测试配置:测试环境2 测试过程: 按测试环境连接设备" 交换机将端口的数据流镜像到端口P3 配置sUT的检测策略为最大策略集; 3 被测系统sUT在交换机3端口监视数据流; 攻击发生器发送经过分片和乱序的TCP攻击,所选的TCP攻击是在测试编号2中通过测试的 攻击
预期结果 在步骤5中,sUT应能正确报告相应的人侵事件
判定原则 应符合预期结果要求,否则为不合格
测试编号5 测试项目:躲避识别 端口重定向测试 测试目的;验证sSUT可以识别利用协议端口重定向进行的攻击 测试配置;测试环境2 测试过程 按测试环境连接设备 2 交换机将端口P1的数据流镜像到端口P3 配置sUT的检测策略为最大策略集 3 被测系统sUT在交换机P3端口监视数据流 攻击发生器发送协议端口重定向之后的攻击,要求发送的攻击是测试编号2中通过测试的
GB/T26268一2010 预期结果: 在步骤5中,SUT应能正确报告相应的人侵事件
判定原则 应符合预期结果要求,否则为不合格
测试编号:6 测试项目:躲避识别 -特殊编码格式测试 测试目的验证sUT可以识别利用特殊编码格式进行的攻击 测试配置;测试环境2 测试过程 按测试环境连接设备 交换机将端口P1的数据流镜像到端口P3 配置sUT的检测策略为最大策略集 3. 被测系统SUT在交换机P3端口监视数据流 攻击发生器发送特殊编码格式(至少包括UTF-8编码)的攻击,要求发送的攻击是测试编号2中 通过测试的 预期结果 在步骤5中,sU应能正确报告相应的人侵事件
判定原则 应符合预期结果要求,否则为不合格
报警功能 测试编号:7 测试项目:报警功能 测试目的:验证sUT在检测到人侵事件时,可以将报警信息以邮件、sNMPTrap、报警灯、短消息等 至少一种形式提交给具有管理角色的实体 测试配置:测试环境2 测试过程
按测试环境连接设备 交换机将端口P1的数据流镜像到端口P3; 配置sUT的检测策略为最大策略集, 被测系统sUT在交换机P3端口监视数据流 攻击发生器发送选定的在测试编号2中通过测试的攻击
预期结果: 在步骤5,sUT应能检测到人侵事件,并将事件以设定的方式报告给管理者
报告的事件内容 至少应包括:攻击源IP地址、目的IP地址、发生时间、事件类型,事件内容,事件级别
判定原则 应符合预期结果要求,否则为不合格
GB/T26268一2010 7.5设备联动 测试编号;8 测试项目;设备联动 测试目的:验证sU在检测到人侵事件时,可以通过相应的控制方式控制其他的网络设备或安全 系统 测试配置:测试环境3 测试过程 按测试环境连接设备; 2 交换机将端口P1的数据流镜像到端口P3 3 配置sUT的检测策略为最大策略集 被测系统SUT在交换机P3端口监视数据流 攻击发生器发送在测试编号2中通过测试的攻击
预期结果 在步骤5,sUT应能检测到人侵事件,并通知指定的网络设备例如交换机或路由器)或安全系 统(例如防火墙)进行联动,网络设备或安全系统阻断该人侵行为
判定原则 应符合预期结果要求,否则为不合格
测试编号;9 测试项目:实时切断会话连接 测试目的:验证sUT在检测到人侵事件时,可以通过发送特定的阻断信息来实现阻断当前连接 测试配置;测试环境3 测试过程 按测试环境连接设备 交换机将端口P1的数据流镜像到端口P3; 被测系统sUT在交换机P3端口监视数据流 攻击发生器发送在测试编号2中通过测试的攻击
预期结果 在步骤4,sUT应能检测到人侵事件,并发送特定的阻断信息(例如TCPReset)来阻断当前 连接
判定原则 应符合预期结果要求,否则为不合格
1 6 管理功能 测试编号:10 测试项目;角色管理
GB/T26268一2010 测试目的;验证sUT可以采用不同的角色进行管理 测试配置;测试环境3 测试过程: 按测试环境连接设备 流量发生器产生任意的背景流量,攻击发生器发出任意的攻击; 2 创建一个属于用户管理角色的用户A; 创建一个属于系统管理角色的用户B; 创建一个属于审计管理角色的用户C
预期结果: 在步骤3中,创建的用户A可以生成、删除系统管理角色的账号,调整系统管理角色对应账号具 体的操作权限,但用户A不能调整自身和审计管理角色的权限; 在步骤4中,创建的用户B具有对IDs的管理权限,例如配置人侵检测规则,查看人侵检测日 志、报警响应,但无用户管理和用户系统操作日志审计功能 在步骤5中,用户仅具有对系统操作日志的查看、备份和删除的权限,可以进行可选的用户审计 配置,审计日志的完整性检查及登陆失败的处理
判定原则: 应符合预期结果要求.否则为不合格
测试编号:l1 测试项目;设备管理 测试目的;验证sUT中具有管理角色的用户可以查看到设备的相关信息 测试配置;测试环境3 测试过程 按测试环境连接设备 流量发生器产生任意的背景流量,攻击发生器发出任意的攻击 创建一个属于系统管理角色的用户
3 预期结果 在步骤3中,创建的用户可以查看网络人侵检测系统的网络接口状态,组件的工作状态、当前日 志文件的大小,CPU占用率,内存占用率、存储器占用率以及软硬件版本信息, 管理员可以配置以上网络人侵检测系统组件的参数以及状态;设置管理接口的通讯参数;启动或 者停止系统运行
判定原则 应符合预期结果要求,否则为不合格
测试编号:12 测试项目;规则管理 测试目的;验证sUT的规则管理功能
GB/T26268一2010 测试配置;测试环境2 测试过程: 按测试环境连接设备; 流量发生器产生任意的背景流量,攻击发生器发出任意的攻击 创建一个属于系统管理角色的用户; 查询当前的策略配置,增加、删除与修改检测规则
预期结果 在步骤3中,创建的用户应具备以下功能 可以查询当前的策略配置,可以根据需要增加,删除与修改检测规则, 对于系统内置的人侵检测规则,用户可以根据需要进行修改; 可以导人和导出人侵检测规则
判定原则 应符合预期结果要求,否则为不合格
测试编号:13 测试项目;升级管理 测试目的:验证SUT的升级功能 测试配置;测试环境3 测试过程: 按测试环境连接设备 2 流量发生器产生任意的背景流量,攻击发生器发出任意的攻击 创建一个属于系统管理角色的用户; 用户对系统软件和人侵检测特征库升级
预期结果 在步骤4中,系统软件和人侵事件特征库升级完成后工作正常
人侵事件特征库升级完成后不 重启系统就能生效 判定原则: 应符合预期结果要求,否则为不合格
7.7日志功能 测试编号;14 测试项目:系统操作日志 测试目的:验证sUT的操作日志是否有效记录用户的行为 测试配置:测试环境2 测试过程 按测试环境连接设备 流量发生器产生任意的背景流量,攻击发生器发出任意的攻击 创建一个属于系统管理角色的用户 用户登陆sUT,进行设备管理操作
10
GB/T26268一2010 预期结果 在步骤4中,用户的登陆及操作应记人系统操作日志
日志的内容应至少包括;操作者、操作时 间、操作内容和是否成功等字段
判定原则 应符合预期结果要求,否则为不合格
测试编号:15 测试项目:人侵日志 测试目的:验证sUT在检测到人侵事件时,将人侵事件记录到日志中 测试配置;测试环境2 测试过程 按测试环境连接设备; 交换机将端口P1的数据流镜像到端口P3; 配置sUT的检测策略为最大策略集 被测系统sUT在交换机端口监说数据流, 攻击发生器发送测试编号2中sUT可以识别的攻击
预期结果 在步骤5,sUuT应能检测到人侵事件,并将人侵事件记录到目志中
记录的内容至少应包括事 件主体,事件客体,发生时间,事件类型、事件内容、事件级别
判定原则 应符合预期结果要求,否则为不合格
审计功能 测试编号;16 测试项目;审计功能 测试目的;验证sUT的审计功能 测试配置;测试环境2 测试过程 按测试环境连接设备 流量发生器产生任意的背景流量,攻击发生器发出任意的攻击; 创建一个属于系统管理角色的用户; 3 用户登陆sUT,进行设备管理操作; 创建一个属于审计管理角色的用户 用户登陆sUT,进行审计相关操作
预期结果 在步骤4中,用户可以查询和审阅人侵检测日志,但不能删除日志; 在步骤6中,用户可以查询和审阅全部系统操作日志,并可以在确认后删除日志数据
GB/T26268一2010 判定原则 应符合预期结果要求,否则为不合格
系统自身安全 7. g 测试编号;17 测试项目;系统安全 测试目的;验证系统自身的安全性能 测试配置:测试环境2 测试过程: 按测试环境连接设备; 2. 流量发生器发出任意的背景流量,攻击发生器发出任意的攻击 用管理端口登陆sUT,给sUT配置IP地址; 查看sUT除管理端口之外其他端口的状态; 在组件之间的通信网络上加上协议分析仪查看组件之间的通信数据
预期结果 系统没有启用除远程管理外的任何lnterne!服务 组件间的通信已加密的,不能是明文数据
判定原则 应符合预期结果要求,否则为不合格
测试编号;18 测试项目:管理安全 测试目的;验证系统管理的安全性能 测试配置:测试环境2 测试过程, 按测试环境连接设备 流量发生器发出任意的背景流量,攻击发生器发出任意的攻击 登录系统,检查是否在执行所有功能之前要求首先进行身份认证 3 检查系统的安全功能是否可定义用户鉴别尝试的最大允许失败次数; 检查系统的安全功能是否可定义当用户鉴别尝试失败连续达到指定次数后,采取相应的措施(如 锁定该账号5 尝试多次失败的用户鉴别行为,检查到达指定的鉴别失败次数后,系统是否采取了相应的措施,并 生成了审计事件; 登陆sUT后,不做任何操作; 查看操作日志
12
GB/T26268一2010 预期结果 系统应具备定义用户鉴别尝试的最大允许失败次数的功能 系统应定义当用户鉴别尝试失败连续达到指定次数后,采取相应的措施(如锁定该账号) 当用户鉴别尝试失败连续达到指定次数后,系统应锁定该账号,并将有关信息生成审计事件 最多失败次数仅由授权管理员设定 管理员在设定时间内没有任何操作,则自动退出
如要进行其他操作,必须重新登录
设定最大 超时时间只能由授权管理员进行操作 操作日志应记录所有的登录与操作事件
判定原则 应符合预期结果要求,否则为不合格
系统性能 测试编号:19 测试项目;最大处理能力 测试目的:验证系统在检测率下能够正常报警的最大流量 测试配置:测试环境2 测试过程 按测试环境连接设备 在指定的网络带宽(百兆网络、千兆网络、或厂商声明的其他网络带宽)测试环境下,攻击发生器产 生有状态背景流,逐渐增加背景流量强度,随机选择攻击的源地址、目的地址和端口,测试被测 NIDs在各种环境下对网络数据包的最大处理能力; 记录在100%的检测率下,系统能处理的最大流量
预期结果 最大处理能力应该达到接口标称速率的80%
判定原则 应符合预期结果要求,否则为不合格
测试编号;:20 测试项目;检测率 测试目的验证被监视网络在受到人侵攻击时,系统能够正确报警的概率 测试配置:测试环境2 测试过程: 按测试环境连接设备 2 流量发生器产生有状态的背景流,如TCP流,流量强度分别加到标称速率的25%、50%、75%,99%; 3. 攻击发生器发送一定数量不同类型的已知攻击; 记录此时sUT检测到的攻击数
13
GB/T26268一2010 预期结果: 检测率=SUT检测到的攻击数/攻击发生器发送的攻击数 测试编号;2n 测试项目;误报率 测试目的;验证系统把正常行为作为人侵攻击而进行报警和已知的一种攻击报成另一种攻击的概率 测试配置;测试环境2 测试过程 按测试环境连接设备 利用误报测试工具或通过人工构造数据包的方式,生成虚假的攻击包,查看网络型人侵检测系统 是否报警; 依据已有的事件库,生成多个已知的攻击事件,查看网络型人侵检测系统是否正确报告出了事件 名称
预期结果 对虚假的攻击包,网络型人侵检测系统不应该报警,如果有报警,则该条报警就是误报 对已知的攻击,系统所报告的人侵事件名称应正确无误,否则即为误报 记录测试的事件总数量和系统的误报数量; 误报率=sUT检测到的攻击数/攻击发生器发送的正常行为
测试编号;22 测试项目:漏报率 测试目的:验证被检测网络受到人侵攻击时,系统不能正确报警的概率 测试配置;测试环境2 测试过程 按测试环境连接设备 从已有的事件库中选择具有不同特征的多个事件,组成攻击事件测试集,发送攻击事件测试集中 2 的所有事件,记录系统的检测结果, 选取部分攻击事件作为测试基线;选取64字节,128字节、512字节、1518字节大小的数据包作为 3 背景流量,分别以满负荷背景流量的25%、50%、75%、99%作为背景流量强度,将选取的基线攻 击发送多次(如100次),记录系统的检测结果
预期结果 对攻击事件测试集的所有攻击,系统应报告相应的人侵事件,未报告的事件即为漏报; 对测试基线的事件,系统应检测到相应的攻击次数(如100次)并报告,未报告的事件即为漏报 记录测试的事件总数量总发送次数)和系统漏报的攻击数量
14
GB/T26268一2010 测试编号23 测试项目;每秒并发TCP会话数 测试目的;验证网络人侵检测系统每秒最大可以增加的TCP连接数 测试配置;测试环境2 测试过程: 按测试环境连接设备 2 攻击发生器发送一定数量的已知人侵攻击,要求这些攻击是在测试编号2中通过测试的 3 在sUT的检测率下逐渐增加背景流量发生器的每秒并发TCP连接数 当每秒并发连接数达到某个值后,SUT的检测率由100%开始下降,这个值就是每秒并发TCP会 话数
预期结果 百兆比网络人侵检测系统每秒并发TCP会话数不应小于5000条/s,千兆比网络人侵检测系统 每秒并发TCP会话数不应小于50000条/s
判定原则: 应符合预期结果要求.否则为不合格
测试编号:24 测试项目:最大并发TCP会话数 测试目的;验证网络人侵检测系统最大可以同时支持的TCP连接数 测试配置;测试环境2 测试过程
按测试环境连接设备 攻击发生器发送一定数量的人侵攻击,要求这些攻击是在测试编号2中通过测试的; 在sUT的检测率下逐渐增加背景流量发生器的并发TCP连接数; 3 当TCP并发连接数达到某个值后,sUT的检测率由100%开始下降,这个值就是最大并发TCP 会话数 预期结果 百兆比网络人侵检测系统最大并发TCP会话数不应小于10o00条,千兆比网络人侵检测系统 最大并发TCP会话数不应小于100000条 判定原则 应符合预期结果要求,否则为不合格
测试编号:25 测试项目;最大规则数 测试目的:验证网络人侵检测系统允许管理员配置的人侵检测规则条目的最大数目 15
GB/T26268一2010 测试配置;测试环境3 测试过程 按测试环境连接设备 流量发生器分别产生被测NIDS端口标称速率的25%、,50%、75%和99%的背景流量 2 攻击发生器发出测试编号2中通过测试的攻击 调整人侵规则数,在不同的背景流强度下测试被测NDS的检测率; 记录检测率为100%时,被测NIDS可配置的最大人侵检测规则数
预期结果 与设备的声明值相符合
判定原则: 应符合预期结果要求,否则为不合格
备注: 最大规则数是指被测NIDS的检测率为100%条件下人侵检测规则条目的最大数目
背景流强度低时对应的最大规则数应该多,背景流强度高时对应的最大规则数少
16
GB/T26268一2010 附录A 资料性附录 典型攻击的类型 攻击发生器的攻击库包括传统的一些典型攻击和测试时流行的、对网络危害较大的攻击
典型的攻击要包括各种利用常用协议的攻击,目前主要包括以下几类 端口扫描类事件(如TCP端口扫描、UDP端口扫描、,ICMP分布式主机扫描等); 拒绝服务类事件(如synFlood,.UDPFlood,IcMPFlood,IGMP拒绝服务等). 后门类事件(如BO.Netbus、,Dolly等); 蠕虫类事件(如红色代码,冲击波,振荡波等), 溢出类事件(如FTP命令溢出、sMTPHEL.O缓冲区溢出、,POP3_foxmail_5.0_缓冲区溢出、 TelnetSolaris_telnet缓冲区溢出、HTTPIISUnicode漏洞、MSsQL.2000_远程溢出、FTP AIx_溢出漏洞等); 强力攻击和弱口令类事件如sMTP口令探测、HTTP口令探测、FTP口令探测、 MSsQL.SERVER_弱口令、,FTP弱口令,POP3_弱口令等) 最新流行的危害较大的攻击主要 参考如下机构发布的漏洞及攻击信息;国家计算机病毒应急处理 中心发布的病毒监测报告;国家计算机网络应急技术处理协调中心发布的漏洞公告;国际权威计算机漏 洞发布机构CVE(CommonVulnerabilitiesandExposures) s)和OSVDB(TheOpenSourceVulnerabilitsy Database)公布的新漏洞
国家计算机病毒应急处理中心是国内权威的计算机病毒发布机构,每周 都会发布级别较高的,危害较大的计算机病毒
国家计算机网络应急技术处理协调中心(简称 CNCERT/CC),为国家公共互联网、国家主要网络信息应用系统以及关键部门提供计算机网络安全的 监测,预警,应急,防范等安全服务和技术支持,及时收集、核实,汇总、发布有关互联网安全的权威性信 Vulr 息
CVE(Common abilitiesandExposures)是国际知名的漏洞发布权威机构,其成员包括商业 lnera 安全工具厂商,研究机构,政府机构和一些卓越的安全专家
OSVDB(开源漏洞数据库)是一些安全行 业的自愿者组成的组织,该组织把英特网漏洞的免费数据公布于网上,并且得到了安全业界的认同
17
GB/T26268一2010 附 录B 资料性附录 常用的编码格式介绍 常用编码格式主要有Asc编码和Unicode编码两大类,这两类编码方式又包括几种不同的编码 方法
AsC编码主要包括如下几种编码方式 a)十六进制编码 十六进制编码方法是对URL进行编码的符合RFC要求的一种方式,也是最简单的URL编码方 法
该方法只须在每个编码字符的十六进制字节值前,加一个“%”
如果我们想对大写的A进行十六 进制编码(AsCI的十六进制值是0x41),编码的结果是 &.#8226;%41=‘A’
b)双百分号十六进制编码 双百分号十六进制编码是基于正常的十六进制编码
具体的方法是将百分号编码并后接信息编码 的十六进制值
对大写的A进行编码,结果是 &.井8226;%2541=‘A" 百分号的编码是%25(等价于“%”),该值解码后变成了%4l(等价于“A”)
这种编码方法受到微 软IIS的支持
双四位十六进制编码 双四位十六进制编码也是基于标准的十六进制编码,每个四位十六进制使用标准的十六进制编码 方法
例如,对大写的A编码,结果是: &.井8226;%%34%31=‘A 正常的A,十六进制编码是%41
双四位十六进制编码的方法是对每个四位进行编码,因此,4被 编码为%34(这是数字4的AsCI值),第二个四位,1,被编码为%31(这是数字1的AsCI值)
在第一次URL解码后,四位值变成了数字4和数字1
因为4和1前边有一个%,第二遍会将 %41解码为大写的A
d)首四位十六进制编码 首四位十六进制编码类似于双四位十六进制编码,不同之处是只有第一个四位被编码
因此对于 大写的A,双四位十六进制编码后为%%34%31,而按照首四位十六进制编码结果为 8.#8226;%%341=‘A 像以前一样,第一次URL解码以后,%34被解码为数字4,因此第二次解码时的对象就成了%41. 最后的结果依然是大写的A
e)后四位十六进制编码 后四位十六进制编码与首四位十六进制编码完全相同,只不过只执行标准解码的后四位
因此大 写A的编码结果是 &.井8226;%4%31=‘A" 第一次解码时,%31解码为数字1,第二次解码的对象就是%41,最终的结果是“A” 18
GB/T26268一2010 Unicode编码主要包括如下几种编码 GB2312一1980编码 GB2312一1980一共收录了7445个字符,包括6763个汉字和682个其他符号
汉字区的内码范 围高字节从B0-F7,低字节从A1-FE,占用的码位是6768
其中5个空位是D7FA-D7FE
bGBK编码 GBk字符集是GB2312一1980字符集的扩展,包括汉字区和图形符号区
GB18030一2005编码 c GB18030-2005《信息技术中文编码字符集》中编码字符采用多字节编码,每个字可以由1个、 ,2 个或4个字节组成
d)UTF-8编码 UTF-8编码允许大于单字节(0255)的值以字节流的形式表示
HTTP服务器使用UTF-8编码 来表示大于AsCI代码范围之外(1一127)的Unicode码
UTF-8工作的时候,字节的高位有特殊的含义
两字节的UTF-8和三字节的UTF-8序列表示 如下 110xxxxx10xxxxxx二字节序列 1110xxxx10xxxxxx10xxxxxx (三字节序列 一字节是最重要的,通过它你可以知道这个UTF8序列有多少字节,这是通过检 UTF-8序列的第 查第一个0之前的1的个数来获得的
例子中,两字节的UTF8序列.0之前的高位有两个1
第一个 UTF-8字节0后边的位可以用来计算最终的值
后边的UTF-8字节格式相同,最高位是1,次高位是 0,两位用于鉴别UTF-8,剩下的6位用来计算最终的值
为了对URL进行UTF-8编码,每个UTF-8字节都是用一个百分号进行转换
例如;%C0%AF=/ UTF-16编码 e UTF-16编码使用了一个双字节的编码单元,编码方式与Asc编码类似
编码单元的值与 0x0000到0xFFFF范围内的任意码点的码点值相同,对于该范围内的字符,UTF-16是固定长度的双字 节编码
19
GB/T26268一2010 参 考 文 献 [1]GB2312一1980信息交换用汉字编码字符集基本集 [2]GB18030-2005信息技术中文编码字符集 20
网络入侵检测系统测试方法GB/T26268-2010
随着网络技术的不断发展,网络攻击日益增多,其中最常见的便是黑客入侵。黑客入侵给网络安全带来了很大的威胁,因此,网络入侵检测系统测试方法标准GB/T26268-2010的出台就显得尤为重要。
GB/T26268-2010标准主要针对的是网络入侵检测系统的测试方法。该标准中规定了测试网络入侵检测系统的性能、准确度和可靠性等指标和方法,并提供了测试所需的样本和测试环境等技术支持。
该标准主要包含以下内容:
- 测试原理:介绍了网络入侵检测系统测试的基本原理和流程。
- 测试环境:包括硬件、软件、网络等测试环境的要求。
- 测试指标:定义了测试中需要用到的指标,如误检率、漏检率、准确度等。
- 测试方法:详细介绍了测试的具体方法,如样本的选择、测试数据的统计与分析等。
GB/T26268-2010标准的出台,对保障网络安全具有重要意义。只有在网络入侵检测技术得到有效应用,才能更好地捍卫网络安全,防范网络攻击和黑客入侵。
总之,网络入侵检测系统测试方法是一项非常重要的技术标准。通过该标准的制定和执行,可以更好地保障网络安全,在黑客入侵和攻击面前更加从容应对,为网络安全提供坚实保障。
