基于環(huán)境模擬的入侵檢測(cè)系統(tǒng)測(cè)試方法

0 引 言
在保障網(wǎng)絡(luò)的安全性時(shí)，入侵檢測(cè)系統(tǒng)已經(jīng)成為必選的技術(shù)和手段，因?yàn)樗绕鹌渌陌踩夹g(shù)存在著很多優(yōu)勢(shì)。用戶在選用IDS時(shí)，總是從各自不同的需要來(lái)考慮。要衡量IDS的優(yōu)劣，就需要明確IDS應(yīng)該具備的性能指標(biāo)，設(shè)計(jì)有效的方法來(lái)測(cè)試。實(shí)際上入侵檢測(cè)系統(tǒng)的測(cè)試是一個(gè)難度較大的問(wèn)題，也是一件費(fèi)時(shí)耗力的工作。對(duì)于這一工作，許多研究機(jī)構(gòu)都進(jìn)行了相應(yīng)的研究，給出了自己的測(cè)試方法和測(cè)試結(jié)果。例如MIT的林肯實(shí)驗(yàn)室分別在1998年和1999年進(jìn)行了IDS的兩次測(cè)試，這兩次測(cè)試的結(jié)果曾受到廣泛的關(guān)注。IBM的蘇黎世研究院和其他一些研究機(jī)構(gòu)也做過(guò)相似的工作。他們的工作都專注于IDS評(píng)估和測(cè)試的本身，沒(méi)有過(guò)多考慮到開(kāi)發(fā)者的需要，而且他們的方法實(shí)現(xiàn)起來(lái)代價(jià)都很大。本文既考慮到測(cè)試的目的，又考慮了開(kāi)發(fā)者的需要，盡量能夠保證測(cè)試環(huán)境和開(kāi)發(fā)環(huán)境的融合，提出模擬現(xiàn)實(shí)的網(wǎng)絡(luò)環(huán)境，然后搭建軟件平臺(tái)進(jìn)行IDS測(cè)試的方法。該方法比較容易實(shí)現(xiàn)，可控制性強(qiáng)，能夠滿足IDS測(cè)試的多種需要，隨后的仿真測(cè)試說(shuō)明該方法是有效的。

1 IDS測(cè)試目的及指標(biāo)
入侵檢測(cè)系統(tǒng)是一個(gè)軟硬件結(jié)合體系，可以借鑒軟件測(cè)試方法來(lái)測(cè)試和評(píng)價(jià)入侵檢測(cè)系統(tǒng)，但是純粹的軟件測(cè)試方法并不能很好地滿足IDS測(cè)試的需要。首先要確定應(yīng)該以什么樣的標(biāo)準(zhǔn)來(lái)測(cè)試IDS，也就是選擇測(cè)試指標(biāo)。根據(jù)IDS的特點(diǎn)采取定量的測(cè)試方法，這些測(cè)試指標(biāo)側(cè)重于那些定量的測(cè)量，以及與檢測(cè)準(zhǔn)確度相關(guān)的項(xiàng)目。
IDS的主要目的就是有效地檢測(cè)出入侵行為，并進(jìn)行及時(shí)處理。檢測(cè)率用來(lái)確定在一個(gè)時(shí)間段內(nèi)及在給定的環(huán)境中IDS可以正確檢測(cè)到攻擊的比率。當(dāng)系統(tǒng)將正常的行為確認(rèn)為人侵行為時(shí)就是發(fā)生誤報(bào)(False Positive)。誤報(bào)率用來(lái)確定在一個(gè)特定的時(shí)間段內(nèi)及在給定環(huán)境中IDS所產(chǎn)生的誤報(bào)比率，大多數(shù)產(chǎn)生誤報(bào)的原因是正常的非惡意的后臺(tái)流量引起的。當(dāng)系統(tǒng)將入侵行為確認(rèn)為正常行為時(shí)，則發(fā)生漏報(bào)(False Negatire)。漏報(bào)率用來(lái)衡量一個(gè)特定的時(shí)間段及在給定環(huán)境中IDS所產(chǎn)生的漏報(bào)比率。
檢測(cè)率和誤報(bào)率是緊密相關(guān)的，受試者行為特性曲線(Receiver Operating Characteristic，ROC)反映了這兩者之間的關(guān)系。ROC曲線的橫軸是IDS的誤報(bào)次數(shù)，縱軸為檢測(cè)率，該曲線準(zhǔn)確地刻畫(huà)了IDS的檢測(cè)率與誤報(bào)率情況。利用ROC曲線還可以找出IDS的檢測(cè)和誤報(bào)之間的平衡點(diǎn)，但是為了獲得這個(gè)點(diǎn)需要預(yù)先做很多工作。
除了上面的幾項(xiàng)指標(biāo)外，還有幾項(xiàng)重要的指標(biāo)需要加以考慮。它們包括：自身安全性(抵抗對(duì)于入侵檢測(cè)系統(tǒng)本身的攻擊)、處理高數(shù)據(jù)流量的能力、事件關(guān)聯(lián)能力、檢測(cè)未知攻擊的能力、確認(rèn)攻擊是否成功的能力等。

2 IDS測(cè)試環(huán)境
測(cè)試環(huán)境是對(duì)IDS進(jìn)行評(píng)估和測(cè)試的基礎(chǔ)，因?yàn)樗苯雨P(guān)系到測(cè)試的結(jié)果，也直接影響測(cè)試的真實(shí)性和客觀性。無(wú)論何種類型的IDS，其運(yùn)行的真實(shí)環(huán)境總是一個(gè)具體的網(wǎng)絡(luò)。但是測(cè)試中環(huán)境卻不拘泥于是否是在某種特定的網(wǎng)絡(luò)里，IDS的部署和配置總是根據(jù)它所在的網(wǎng)絡(luò)環(huán)境而千差萬(wàn)別，建立的測(cè)試環(huán)境應(yīng)該能夠滿足IDS測(cè)試中多樣性的需要，使它不僅能對(duì)測(cè)試環(huán)境進(jìn)行靈活的調(diào)整，又能在現(xiàn)實(shí)網(wǎng)絡(luò)中使其流量要求與技術(shù)指標(biāo)相符合。測(cè)試環(huán)境分為三種：現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境、純軟件模擬環(huán)境和模擬網(wǎng)絡(luò)環(huán)境。
2．1 現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境和模擬環(huán)境
現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境就是本地現(xiàn)有的正在實(shí)際使用的網(wǎng)絡(luò)環(huán)境。整個(gè)因特網(wǎng)就是一個(gè)最大的現(xiàn)實(shí)的網(wǎng)絡(luò)測(cè)試環(huán)境，如圖1所示。

在內(nèi)網(wǎng)中布置了IDS，該IDS可以是基于主機(jī)(Host-based IDS)的，也可以是基于網(wǎng)絡(luò)(Network-based IDS)的。發(fā)起攻擊的主機(jī)(產(chǎn)生攻擊行為的主機(jī)，這樣的主機(jī)可以是一臺(tái)也可以是多臺(tái))可以在網(wǎng)內(nèi)，也可以在網(wǎng)外。網(wǎng)內(nèi)和網(wǎng)外是一個(gè)相對(duì)而言的概念，把與IDS同在一個(gè)局域網(wǎng)中的設(shè)備和節(jié)點(diǎn)看作網(wǎng)內(nèi)，其他情況稱為網(wǎng)外。發(fā)起攻擊測(cè)試的主機(jī)如果是在網(wǎng)內(nèi)，那么它們應(yīng)該與所要測(cè)試的IDS在同一個(gè)局域網(wǎng)內(nèi)，如果這臺(tái)主機(jī)是在網(wǎng)外，那么它的位置跨度可以很大，它們可以是因特網(wǎng)上的任何機(jī)器。