CN101447991A - 用于测试入侵检测系统的测试装置及测试方法 - Google Patents
用于测试入侵检测系统的测试装置及测试方法 Download PDFInfo
- Publication number
- CN101447991A CN101447991A CNA2008101810049A CN200810181004A CN101447991A CN 101447991 A CN101447991 A CN 101447991A CN A2008101810049 A CNA2008101810049 A CN A2008101810049A CN 200810181004 A CN200810181004 A CN 200810181004A CN 101447991 A CN101447991 A CN 101447991A
- Authority
- CN
- China
- Prior art keywords
- network attack
- packet
- script
- test
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种用于测试入侵检测系统的测试装置及测试方法,该测试装置包括网络攻击脚本生成模块、网络攻击脚本库模块、网络攻击脚本解析模块、网络攻击生成模块和报告模块。该测试方法包括以下步骤:(a)生成网络攻击脚本,并存储到网络攻击脚本库中;(b)从网络攻击脚本库中选择指定脚本,并进行解析,获取网络攻击的关键参数字段,为攻击会话重新产生做好准备;(c)对步骤b解析得到的相关参数进行重新配置,并创建网络攻击会话;(d)根据IDS或IDS模块对网络攻击的告警情况,生成测试报告。应用本发明,可实现对IDS或IDS模块的测试,尤其是对采用了状态协议分析技术的IDS或IDS模块的测试,并能够提高测试的效率和准确率。
Description
技术领域
本发明属于信息安全技术领域,涉及网络安全产品的测试,特别是涉及一种用于入侵检测系统(Intrusion Detection System,简称IDS)测试的测试装置及测试方法。
背景技术
入侵检测是一种为计算机网络提供实时保护的网络安全技术,主要是对当前输入受护网络或受护主机中的数据进行检测,确定当前检测数据为合法数据还是非法数据。通常,网络入侵检测系统从计算机网络系统中的若干关键点收集网络通信的信息,如用户活动的状态和行为等,通过已建立的入侵检测规则库来分析网络中是否有违反安全策略的行为,若发现违反安全策略的行为则进行报警,从而提供对计算机网络系统的实时保护。
随着IDS或IDS模块的广泛应用,IDS或IDS模块的入侵检测能力、运维管理和升级更新成了信息安全测评机构、网络管理部门和用户日益关心的事情,他们对测试工具和方法的需求更加迫切。通常,对IDS或IDS模块的测试是通过IDS或IDS所在网络进行网络攻击,并通过评估IDS对攻击的告警情况来判断IDS的能力。
目前,公知的IDS或IDS模块的测试系统包括手工利用黑客工具、攻击特征包发送和录播重放。其中,手工利用黑客工具就是直接操作黑客工具,产生网络攻击来进行测试;攻击特征包发送通过向攻击目标发送一个或多个包含攻击特征的数据包,来实现对IDS或IDS模块的测试;录播重放通过重新发送捕获的历史网络攻击数据来进行测试。这些系统或方法存在如下不足:
一、手工操作黑客工具尽管能够产生真实的网络攻击,但却存在诸多问题,例如效率太低,有的工具操作复杂,不可信,不安全,而且需要相关软硬件环境支持,难以进行大批量的测试或重复测试,等等。集成的黑客工具集构建的测试系统同样也存在这些问题。
二、攻击特征包发送通常通过协议分析仪实现,产生的是虚假的网络攻击,不是完整的网络攻击(只含有攻击特征字段),不会对攻击目标产生危害,如果IDS或IDS模块对此告警,这就是一种成功的插入与规避攻击(Insertion andEvasion Attack),说明IDS或IDS模块存在安全缺陷。而目前IDS或IDS模块广泛采用了状态协议分析技术,采用这种技术后,IDS能够对网络会话的状态、真实性和完整性进行判断,正确丢弃不完整的数据包。因此,单纯地攻击特征包发送已经不能正确地对此类IDS或IDS模块进行测试。
三、录播重放可通过协议分析仪或专门的测试工具进行,它在网络中重新注入历史的网络攻击数据,但这些数据是包含有错误字段的网络连接(例如IP地址、端口、时间戳和序列号等),并不会真正地产生危害,同样可能是插入与规避攻击,这些数据会遭到攻击目标和IDS或IDS模块的忽略,从而也不能对采用状态协议分析技术的IDS或IDS模块的进行正确的测试。
发明内容
本发明的目的是提供一种能够生成真实的、有状态的网络攻击会话的入侵检测系统测试装置和测试方法,从而实现了对采用状态协议分析技术的IDS或IDS模块的测试,并提高了IDS测试的效率和准确率。
本发明的用于入侵检测系统的测试装置,包括:网络攻击脚本生成模块,用于产生测试所需的网络攻击脚本,其首先从真实的历史网络攻击数据中提取一次完整的网络攻击,然后通过对攻击包进行分析后生成网络攻击会话的环境描述文件和网络攻击会话的数据文件,并将上述两个文件存储到网络攻击脚本库中;网络攻击脚本库模块,用于维护网络攻击脚本,形成测试的基准库;网络攻击脚本解析模块,用于对网络攻击脚本进行解析,得到网络攻击会话的关键参数与数据,为重新产生网络攻击会话做好准备;网络攻击生成模块,用于根据解析得到的脚本信息产生网络攻击会话;报告模块,用于根据测试结果生成测试报告。
其中,该测试装置还进一步包括:管理模块,用于提供测试系统的人机接口和配置项管理。
一种用于入侵检测系统的测试方法,包括以下步骤:
(1)生成网络攻击脚本:首先从真实的历史攻击数据中提取一次完整的网络攻击,然后通过对攻击包进行分析,生成网络攻击会话的环境描述文件和数据文件,并将上述两个文件存储到网络攻击脚本库中;
(2)对网络攻击脚本进行解析:根据测试策略从网络攻击脚本库中选择相应的测试用例,并对该测试用例对应的环境描述文件和数据文件进行解析,还原网络攻击会话关键参数与数据;对于环境描述文件,解析得到源IP和目的IP地址;对于数据文件,首先解析出每个数据包在数据文件中的偏移位置和每个数据包的长度,然后根据数据包在文件中的偏移位置和数据包的长度读取到一个完整的数据包,接着根据IP/TCP/UDP等协议规范,解析出数据包的包头信息,包括源IP、源端口、目的IP、目的端口、校验和,最后解析出数据包中除包头外的其它部分;通过循环这一过程,能够解析出数据文件中的所有数据包,从而完成对攻击脚本的解析;
(3)产生网络攻击会话:首先构建客户端和服务端两个数据包发送程序,用于分别发送攻击机和被攻击机的攻击数据和应答数据,其次客户端和服务端重组数据文件中的每一个数据包,包括修改源MAC地址、源IP、目的MAC地址和目的IP,并重新计算数据包的校验和,然后按照网络攻击顺序来构建整个网络攻击会话,最后根据数据包源IP和目的IP的不同,选择从客户端或服务端将数据包按照顺序发送出去;
(4)测试结果评估:待所有网络攻击测试完成后,根据IDS对网络攻击的告警情况,对IDS的入侵检测能力、入侵检测性能、抗插入与规避攻击的能力进行评估,提交评估报告。
本发明产生的网络攻击为真实的网络连接,且攻击会话也不是单纯地攻击特征包,而是有状态的会话,因此解决了传统的测试方法无法对采用状态协议分析技术的IDS或IDS模块进行正确测试的问题,实现了对采用状态协议分析技术的IDS或IDS模块的测试。此外,本发明还包括多种类型的攻击脚本,且可以连续发起多组网络攻击,大大提高了测试的效率和准确率,同时也可对网络攻击的次数与频率进行精确控制,提高了测试的能力和灵活性。
附图说明
图1为本发明的用于测试IDS或IDS模块的测试装置的结构框图。
图2为本发明的用于测试IDS或IDS模块的测试装置在测试时的连接示意图。
图3为本发明的用于测试IDS或IDS模块的测试方法流程图。
图4为缓冲区溢出攻击—Microsoft Internet Information Server(简称IIS)的Printer Overflow攻击的CAP文件示例。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细的说明。
图1是本发明的用于测试IDS或IDS模块的测试装置的结构框图。该测试装置包括以下模块:
管理模块:该模块提供基于图形界面的人机接口,用于对测试过程和测试配置项进行管理。其中,测试过程管理包括测试进程的启动和停止,用户可根据需求随时控制测试进程的启动和停止;测试配置项管理,包括测试环境和测试参数的配置,如攻击机和被攻击机的网络接口IP地址、测试策略等。一个测试用例代表一种网络攻击手段,一种策略代表某些测试用例的集合,即一组测试用例;本实施例提供4种测试策略供用户选择,分别为最小策略、推荐策略、最大策略或自定义策略:最小策略使用最基本的测试用例集,即各类型典型的2至3种攻击;推荐策略是测试系统推荐用户使用的测试用例集,即各类型典型的5至10种攻击;最大策略是所有测试用例的合集;自定义策略是由用户自行编辑、修改、定制的策略,可以直接选定某些特定的测试用例。
网络攻击脚本生成模块:用于产生测试所需的网络攻击脚本。所述网络攻击脚本与测试用例一一对应,每个脚本代表一个测试用例。
网络攻击脚本生成模块首先从真实的历史攻击数据中提取一次完整的网络攻击,并通过对攻击包进行分析后生成两个文件:
一个是网络攻击会话的环境描述文件,包括测试用例的ID、名称、描述、功能类型和文件名称,针对IDS的脆弱性ID和脆弱性值,策略类型,以及网络攻击的源IP和目的IP等内容;其中,测试用例的名称、ID和描述是对测试用例的标识和描述,用户可自行定义,但必须确保ID的唯一性;功能类型用于对测试用例进行功能分类,共有三种类型的测试用例:功能检测类、安全性检测类和升级检测类,功能检测类用整形数1表示,这类测试用例用于测试IDS检测攻击的能力;安全性检测类用整形数2表示,这类测试用例用于测试IDS自身的安全性,如针对IDS的插入规避攻击;升级检测类用整形数3表示,这类测试用例用于对最新的攻击进行测试,以判断IDS最近是否进行了升级;脆弱性值表示IDS自身的脆弱性程度,如果IDS不能检测到某种攻击,那么IDS就存在着相应的脆弱性,我们可以使用这个脆弱性值对IDS进行安全风险评估,这个脆弱性值不存在与数据包中,它是脚本的一个属性,而且,脆弱性值与这种攻击的危害程度有关,该攻击的危害程度越高,则脆弱性值也越高,脆弱性值由1到5这5个整形数来表示,1表示脆弱性低,2表示脆弱性较低,3表示脆弱性为中,4表示脆弱性较高,5表示脆弱性高;策略类型包括CGI脚本、WEB脚本、拒绝服务脚本、缓冲区溢出脚本、木马后门脚本5种类型,也可根据需要增加新类型。所有环境描述文件的文件名以后缀.var结束,其格式定义为:每项内容为一行,每行以内容名称开头,然后是冒号,冒号后面对应的是该项内容的值。一个环境描述文件例子如下所示:
测试用例ID:IF-020
测试用例名称:缓冲区溢出攻击—IIS的Printer Overflow
测试用例描述:进行Printer Overflow攻击
功能类型:1
文件名称:IF-020-Overflow-Printer.cap
脆弱性ID:V02-1020
脆弱性值:3
策略类型:1
源IP:192.168.1.100
目的IP:192.168.1.20
另一个文件是网络攻击会话的数据文件,包括此次攻击所需的全部网络会话数据,所述会话数据按照网络攻击发生的时间顺序存储。数据文件是CAP格式的网络数据包文件,来自历史网络攻击数据。所述历史攻击数据可以是利用协议分析仪或嗅探器程序捕获的实时的、真实的网络攻击数据,也可以是来自历史攻击数据库中存储的攻击数据。
例如,缓冲区溢出攻击—IIS的Printer Overflow攻击的CAP文件如附图4所示。
所述网络攻击会话的环境描述文件和网络攻击会话的数据文件均存储到网络攻击脚本库中。
网络攻击脚本库模块:用于维护产生的各种网络攻击脚本。网络攻击脚本库是所有攻击脚本的集合,它对应着两类文件,一是网络攻击会话的环境描述文件,二是该环境描述文件对应的网络攻击会话的数据文件。网络攻击脚本库模块利用ACCESS数据库对这些文件进行管理,脚本管理包括新脚本的添加和脚本的升级更新操作。添加脚本时,该模块会解析脚本,分析脚本对应的环境描述文件,然后,系统将解析得到的测试用例信息、功能类型、数据文件名称、脆弱性ID、脆弱性值、策略类型、源IP和目的IP等信息录入到数据库中;当用户需要升级脚本时,该模块还可以对数据库进行编辑,升级更新数据库中的测试用例信息。
网络攻击脚本解析模块:用于对网络攻击脚本进行解析,为网络攻击会话的重新产生做好准备。该模块首先根据测试策略选择相应的测试用例,然后对该测试用例对应的环境描述文件和数据文件进行解析。对于环境描述文件,解析得到源IP和目的IP地址,系统会根据IP地址来确定数据包的发送方向,如果数据包的源IP与环境描述文件中的源IP相等,则系统会从客户端发送这个数据包,否则,系统会从服务端发送这个数据包;对于数据文件,由于一个完整的网络攻击可能包含若干个数据包,因此需要顺序解析出整个网络攻击会话中的所有数据包,以及每个数据包对应的结构信息,包括数据包的源MAC地址、目的MAC地址、源IP、目的IP、源端口、目的端口、协议类型(IP协议、TCP协议、UDP协议等)、序列号、数据长度、数据内容等信息,根据这些信息并结合真实的测试环境,系统就会构建出新的网络攻击会话,包括用测试环境中的客户端和服务端IP地址、MAC地址来替换数据文件中的IP地址和MAC地址。
网络攻击生成模块:用于根据解析的脚本信息产生网络攻击数据,包括客户端单元和服务端单元,客户端单元和服务端单元本质上是一个数据包发送程序,而非真正的客户机和服务器程序,客户端模拟攻击机,服务端模拟IDS防护网段内的一台受攻击的主机。该模块首先根据网络攻击脚本模块解析出的源IP和目的IP判断哪个数据包由客户端发送,哪个数据包由服务端发送。如果数据包由客户端发送,则根据实际测试环境,修改数据包的包头信息,将源MAC、IP地址替换为客户端所对应网卡的MAC、IP地址,将目的MAC、IP地址替换为服务端所对应网卡的MAC、IP地址,并重新计算数据包的校验和,然后将重组后的数据包通过客户端所对应的网卡进行发送;如果数据包由服务端发送,则也修改数据包中的包头信息,将源MAC、IP地址替换为服务端所对应网卡的MAC、IP地址,将目的MAC、IP替换为客户端所对应网卡的MAC、IP地址,并重新计算数据包的校验和,并将重组后的数据包通过服务端所对应的网卡进行发送。
网络攻击脚本解析模块在解析完一个测试用例后,会将解析结果发送到网络攻击生成模块,由网络攻击生成模块完成一次完整的网络攻击会话,然后再根据测试策略继续下一个测试用例,待测试策略中所有测试用例测试完成后,此次测试完成。
从网络传输的视角看,这些数据包是实时地按照顺序产生的,并且是真实的、完整的、有状态的网络攻击会话。它们不是只包含攻击特征与行为的数据包,也不只是简单的历史数据重播,而是历史真实网络攻击会话的重新产生。
报告模块:用于测试完成后,基于IDS或IDS模块对网络攻击的告警情况,产生以列表和图形方式相结合的测试报告。报告内容包括:①IDS的入侵检测能力,如IDS能检测什么类型的攻击、能检测到基准库中的多少种攻击;②IDS的入侵检测性能,如误报率和漏报率等;③IDS的抗插入与规避攻击能力,如能检测到哪些类型的插入与规避攻击等。
报告以列表的方式列出IDS对测试用例的报警情况,分为“通过”和“不通过”两种情况,“通过”说明IDS能够检测到测试用例所对应的网络攻击,“不通过”表示IDS不能够检测到测试用例所对应的网络攻击,并显示测试用例的编号、名称和描述等信息。而且,该模块还会统计“通过”和“不通过”测试用例各自所占比例,并以饼状图和柱状图的形式来进行显示,并可导出为PDF或WORD格式的文档。
本发明的用于测试IDS或IDS模块的测试装置的工作流程如下:
首先,网络攻击脚本生成模块通过对历史攻击数据进行分析,从中提取出网络攻击的相关参数,并按照网络攻击脚本库确定的统一存储结构存储到网络攻击脚本库中;其次,网络攻击脚本解析模块根据用户提交的测试策略,如最小策略、推荐策略、最大策略或自定义策略,从网络攻击脚本库中抽取相应的脚本信息,并对脚本进行反解析,还原网络攻击会话关键参数与数据;再次,网络攻击生成模块的客户端单元将上述解析得到的攻击数据包重新修订后发送到IDS所在网络,服务端单元在接收到上述攻击数据包后也将网络攻击脚本解析模块解析得到的应答数据包重新修订后发送回客户端,从而在客户端和服务端形成真实的、有状态的网络攻击会话;待所有网络攻击测试完成后,根据IDS对网络攻击的告警情况对IDS的入侵检测能力、入侵检测性能、抗插入与规避攻击的能力进行评估,提交评估报告。
图2是本发明的测试装置在测试时的连接示意图。测试装置基于双宿主机平台,可以是具有双网网络接口的笔记本电脑、PC主机或服务器;客户端C和服务端S是测试装置的实时产生网络攻击会话的两个通信实体,分别绑定在不同的网络接口上;端口1和端口2是指IDS或IDS模块所监测的路由器或交换机上的两个任意端口。
测试时,测试装置的客户端C和服务端S同时与IDS或IDS模块引擎所监测的路由器或交换机上的两个任意端口连接,分别模拟攻击主机和受攻击主机。这样,测试设备所产生的网络攻击会话将流经IDS或IDS模块引擎所监测的路由器或交换机。通过评估IDS或IDS模块的控制台是否有正确的告警信息,来测试IDS或IDS模块的攻击检测能力。作为测试仪器,测试系统的客户端C和服务端S没有主机内的数据转发,从而确保测试时不存在回路。
图3是本发明的用于入侵检测系统测试的方法的工作流程图,该方法包括以下步骤:
1、生成网络攻击脚本:首先从真实的历史攻击数据中提取一次完整的网络攻击,然后通过对攻击包进行分析,生成网络攻击会话的环境描述文件和数据文件,并将上述两个文件存储到网络攻击脚本库中。
环境描述文件包括测试用例的ID、名称、描述、功能类型和数据文件名称,针对IDS的脆弱性ID和脆弱性值,策略类型,以及网络攻击的源IP和目的IP等内容;其中,测试用例的名称、ID和描述是对测试用例的标识和描述,用户可自行定义,但必须确保ID的唯一性;功能类型用于对测试用例进行功能分类,共有三种类型的测试用例:功能检测类、安全性检测类和升级检测类,功能检测类用整形数1表示,这类测试用例用于测试IDS检测攻击的能力;安全性检测类用整形数2表示,这类测试用例用于测试IDS自身的安全性,如针对IDS的插入规避攻击;升级检测类用整形数3表示,这类测试用例用于对最新的攻击进行测试,以判断IDS最近是否进行了升级;脆弱性值表示IDS自身的脆弱性程度,如果IDS不能检测到某种攻击,那么IDS就存在着相应的脆弱性,我们可以使用这个脆弱性值对IDS进行安全风险评估,这个脆弱性值不存在于数据包中,它是脚本的一个属性,而且,脆弱性值与这种攻击的危害程度有关,该攻击的危害程度越高,则脆弱性值也越高,脆弱性值由1到5这5个整形数来表示,1表示脆弱性低,2表示脆弱性较低,3表示脆弱性为中,4表示脆弱性较高,5表示脆弱性高;策略类型包括CGI脚本、WEB脚本、拒绝服务脚本、缓冲区溢出脚本、木马后门脚本。
数据文件包括此次攻击所需的全部网络会话数据,所述会话数据按照网络攻击发生的时间顺序存储。
2、对网络攻击脚本进行解析:根据测试策略从网络攻击脚本库中选择相应的测试用例,并对该测试用例对应的环境描述文件和数据文件进行解析,还原网络攻击会话关键参数与数据。对于环境描述文件,解析得到源IP和目的IP地址,系统会根据IP地址来确定数据包的发送方向,如果数据包的源IP与环境描述文件中的源IP相等,则系统会从客户端发送这个数据包,否则,系统会从服务端发送这个数据包;对于数据文件,首先解析出每个数据包在数据文件中的偏移位置和每个数据包的长度,然后根据数据包在文件中的偏移位置和数据包的长度读取到一个完整的数据包,接着根据IP/TCP/UDP等协议规范,解析出数据包的包头,包括源IP、源端口、目的IP、目的端口、校验和等信息,最后解析出数据包中除包头外的其它部分。通过循环这一过程,能够解析出数据文件中的所有数据包,从而完成对攻击脚本的解析。
3、产生网络攻击会话:构建客户端单元和服务端单元(本质上是数据包发送程序,而非真正的客户机和服务器程序),用于分别发送攻击机和被攻击机的攻击数据和应答数据。首先,客户端和服务端会重组数据文件中的每一个数据包,包括修改源MAC地址、源IP、目的MAC地址和目的IP等字段,并重新计算数据包的校验和;然后,按照网络攻击顺序来构建整个网络攻击会话;最后,根据数据包源IP和目的IP的不同,选择从客户端或服务端将数据包按照顺序发送出去,这些数据会在被测的网络中形成真实的、有状态的网络攻击会话。这些网络攻击会话被IDS监测到,并引起IDS的告警等响应。这里,还可以定制网络攻击会话的产生频率和次数,从而能够更灵活地对IDS进行测试。
4、测试结果评估:待所有网络攻击测试完成后,根据IDS对网络攻击的告警情况对IDS的入侵检测能力、入侵检测性能、抗插入与规避攻击的能力进行评估,提交评估报告。
Claims (9)
1.一种用于测试入侵检测系统的测试装置,包括:
网络攻击脚本生成模块,用于产生测试所需的网络攻击脚本,其首先从真实的历史网络攻击数据中提取一次完整的网络攻击,然后通过对攻击包进行分析,生成网络攻击会话的环境描述文件和数据文件,并将上述两个文件存储到网络攻击脚本库中;
网络攻击脚本库模块,用于维护网络攻击脚本,形成测试的基准库;
网络攻击脚本解析模块,用于对网络攻击脚本进行解析,所述网络攻击脚本解析模块首先根据测试策略选择相应的测试用例,然后对该测试用例对应的环境描述文件和数据文件进行解析;
网络攻击生成模块,用于根据解析得到的脚本信息产生网络攻击会话。该模块根据实际测试环境,对网络攻击脚本解析模块解析得到的攻击数据包相关参数进行重新配置并重新计算数据包校验和后,产生真实的、有状态的网络攻击会话;
所述网络攻击脚本解析模块在解析完一个测试用例后,会将解析结果发送到网络攻击生成模块,由网络攻击生成模块完成一次完整的网络攻击会话,然后再根据测试策略继续下一个测试用例,待测试策略中所有测试用例测试完成以后,此次测试完成;
报告模块,用于根据测试结果生成测试报告。
2.根据权利要求1所述的测试装置,其特征在于,所述网络攻击会话的环境描述文件包括测试用例的ID、名称、描述、功能类型和文件名称,针对IDS的脆弱性ID和脆弱性值,策略类型,以及网络攻击的源IP和目的IP。
3.根据权利要求1所述的测试装置,其特征在于,所述网络攻击会话的数据文件,包括此次攻击所需的全部网络会话数据,所述会话数据按照网络攻击发生的时间顺序存储。
4.根据权利要求2所述的测试装置,其特征在于,所述策略类型包括CGI脚本、WEB脚本、拒绝服务脚本、缓冲区溢出脚本和木马后门脚本。
5.根据权利要求1所述的测试装置,其特征在于,所述网络攻击脚本库模块的脚本管理包括脚本的添加、删除和升级。
6.根据权利要求1所述的测试装置,其特征在于,所述网络攻击脚本解析模块对于环境描述文件,解析得到测试用例的ID、名称、描述、功能类型和文件名称,针对IDS的脆弱性ID和脆弱性值,策略类型,以及网络攻击的源IP和目的IP;对于数据文件,顺序解析出整个网络攻击会话中的所有数据包,以及每个数据包对应的结构信息,包括数据包的源MAC地址、目的MAC地址、源IP、目的IP、源端口、目的端口、协议类型、序列号、数据长度和数据内容。
7.根据权利要求1所述的测试装置,其特征在于,所述网络攻击生成模块首先构建客户端和服务端两个数据包发送程序,分别模拟攻击机和IDS防护网段内的一台受攻击的主机,然后根据网络攻击脚本模块解析出的源IP和目的IP判断哪个数据包由客户端发送,哪个数据包由服务端发送。如果数据包由客户端发送,则修改数据包的包头信息,将源MAC、IP地址替换为客户端所对应网卡的MAC、IP地址,将目的MAC、IP地址替换为服务端所对应网卡的MAC、IP地址,并重新计算数据包的校验和,然后将重组后的数据包通过客户端所对应的网卡进行发送;如果数据包由服务端发送,则也修改数据包中的包头信息,将源MAC、IP地址替换为服务端所对应网卡的MAC、IP地址,将目的MAC、IP替换为客户端所对应网卡的MAC、IP地址,并重新计算数据包的校验和,并将重组后的数据包通过服务端所对应的网卡进行发送。
8.根据权利要求1所述的测试装置,其特征在于,所述测试装置进一步包括:管理模块,用于对测试过程和测试配置项进行管理。
9.一种用于入侵检测系统的测试方法,包括以下步骤:
(1)生成网络攻击脚本:首先从真实的历史攻击数据中提取一次完整的网络攻击,然后通过对攻击包进行分析,生成网络攻击会话的环境描述文件和数据文件,并将上述两个文件存储到网络攻击脚本库中;
(2)对网络攻击脚本进行解析:根据测试策略从网络攻击脚本库中选择相应的测试用例,并对该测试用例对应的环境描述文件和数据文件进行解析,还原网络攻击会话关键参数与数据;对于环境描述文件,解析得到源IP和目的IP地址,系统会根据IP地址来确定数据包的发送方向,如果数据包的源IP与环境描述文件中的源IP相等,则系统会从客户端发送这个数据包,否则,系统会从服务端发送这个数据包;对于数据文件,首先解析出每个数据包在数据文件中的偏移位置和每个数据包的长度,然后根据数据包在文件中的偏移位置和数据包的长度读取到一个完整的数据包,接着根据IP/TCP/UDP等协议规范,解析出数据包的包头,包括源IP、源端口、目的IP、目的端口、校验和,最后解析出数据包中除包头外的其它部分;通过循环这一过程,能够解析出数据文件中的所有数据包,从而完成对攻击脚本的解析;
(3)产生网络攻击会话:首先构建客户端和服务端两个数据包发送程序,用于分别发送攻击机和被攻击机的攻击数据和应答数据,其次客户端和服务端重组数据文件中的每一个数据包,包括修改源MAC地址、源IP、目的MAC地址和目的IP,并重新计算数据包的校验和,然后按照网络攻击顺序来构建整个网络攻击会话,最后根据数据包源IP和目的IP的不同,选择从客户端或服务端将数据包按照顺序发送出去;
(4)测试结果评估:待所有网络攻击测试完成后,根据IDS对网络攻击的告警情况对IDS进行评估。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810181004A CN101447991B (zh) | 2008-11-19 | 2008-11-19 | 用于测试入侵检测系统的测试装置及测试方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810181004A CN101447991B (zh) | 2008-11-19 | 2008-11-19 | 用于测试入侵检测系统的测试装置及测试方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101447991A true CN101447991A (zh) | 2009-06-03 |
| CN101447991B CN101447991B (zh) | 2012-10-24 |
Family
ID=40743388
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810181004A Expired - Fee Related CN101447991B (zh) | 2008-11-19 | 2008-11-19 | 用于测试入侵检测系统的测试装置及测试方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101447991B (zh) |
Cited By (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101799855A (zh) * | 2010-03-12 | 2010-08-11 | 北京大学 | 一种基于ActiveX组件模拟的网页木马检测方法 |
| CN101841437A (zh) * | 2010-03-23 | 2010-09-22 | 华为技术有限公司 | 对设备进行测试的方法及装置 |
| CN102223267A (zh) * | 2011-06-17 | 2011-10-19 | 北京电子科技学院 | 一种ids的检测方法及检测设备 |
| CN102457401A (zh) * | 2012-01-06 | 2012-05-16 | 北京星网锐捷网络技术有限公司 | 日志模拟生成方法、装置和服务器 |
| CN101699815B (zh) * | 2009-10-30 | 2012-08-15 | 华南师范大学 | 一种网络攻击自动执行/展现的系统及方法 |
| CN102736013A (zh) * | 2011-04-12 | 2012-10-17 | 安凯(广州)微电子技术有限公司 | 一种SoC芯片的空闲状态测试方法、系统及测试装置 |
| CN103312551A (zh) * | 2012-03-12 | 2013-09-18 | 腾讯科技(深圳)有限公司 | 通用网关接口的测试方法及测试装置 |
| CN103916384A (zh) * | 2014-01-21 | 2014-07-09 | 中国人民解放军信息安全测评认证中心 | 一种面向gap隔离交换设备的渗透测试方法 |
| CN104052628A (zh) * | 2013-03-12 | 2014-09-17 | 腾讯科技(深圳)有限公司 | 协议包检测方法及协议包检测装置 |
| CN104065534A (zh) * | 2014-06-30 | 2014-09-24 | 上海斐讯数据通信技术有限公司 | 移动终端添加路由器黑名单的测试系统、测试方法 |
| CN104219221A (zh) * | 2014-05-30 | 2014-12-17 | 郭瑞 | 一种网络安全流量生成方法和系统 |
| WO2016022705A1 (en) * | 2014-08-05 | 2016-02-11 | AttackIQ, Inc. | Cyber security posture validation platform |
| CN106998323A (zh) * | 2017-03-06 | 2017-08-01 | 深信服科技股份有限公司 | 应用层网络攻击仿真方法、装置及系统 |
| CN107332731A (zh) * | 2017-06-23 | 2017-11-07 | 北京北信源软件股份有限公司 | 一种用于网络安全监测设备的测试系统和测试床 |
| CN107360061A (zh) * | 2017-08-08 | 2017-11-17 | 上海斐讯数据通信技术有限公司 | 一种用于无线路由器的攻击测试系统及方法 |
| CN108683689A (zh) * | 2018-08-01 | 2018-10-19 | 公安部第三研究所 | 实现nids和nips入侵检测功能的改进测试系统及方法 |
| CN109257389A (zh) * | 2018-11-23 | 2019-01-22 | 北京金山云网络技术有限公司 | 一种攻击处理方法、装置及电子设备 |
| CN109472138A (zh) * | 2017-12-01 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种检测snort规则冲突的方法、装置和存储介质 |
| CN110635972A (zh) * | 2019-10-17 | 2019-12-31 | 南京中孚信息技术有限公司 | 网络测试方法、装置、网络测试仪及计算机可读存储介质 |
| CN111669303A (zh) * | 2020-06-08 | 2020-09-15 | 湖北阿桑奇汽车电子科技有限公司 | 一种fota安全的应用流程 |
| CN112422557A (zh) * | 2020-11-17 | 2021-02-26 | 中国信息安全测评中心 | 一种工控网络的攻击测试方法及装置 |
| CN112491867A (zh) * | 2020-11-24 | 2021-03-12 | 北京航空航天大学 | 一种基于会话相似性分析的ssh中间人攻击检测系统 |
| CN113992386A (zh) * | 2021-10-25 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 一种防御能力的评估方法、装置、存储介质及电子设备 |
| CN114679291A (zh) * | 2021-05-31 | 2022-06-28 | 北京网藤科技有限公司 | 一种用于工业网络入侵监测的系统 |
| CN115022036A (zh) * | 2022-06-01 | 2022-09-06 | 中国科学院计算技术研究所 | 一种攻击流量生成方法、系统及网络安全测试系统 |
| CN115022082A (zh) * | 2022-07-11 | 2022-09-06 | 平安科技(深圳)有限公司 | 网络安全检测方法、网络安全检测系统、终端以及介质 |
| CN115174245A (zh) * | 2022-07-15 | 2022-10-11 | 湖北天融信网络安全技术有限公司 | 一种基于DoIP协议检测的测试方法及系统 |
| CN116170243A (zh) * | 2023-04-26 | 2023-05-26 | 北京安博通科技股份有限公司 | 基于poc生成规则文件的方法、装置、电子设备及介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005515541A (ja) * | 2002-01-15 | 2005-05-26 | ファウンドストーン インコーポレイテッド | ネットワーク脆弱性の検出および報告のためのシステムならびに方法 |
| CN100369423C (zh) * | 2005-07-14 | 2008-02-13 | 牛伟 | 网络仿真测试系统及方法 |
| CN100403691C (zh) * | 2005-11-17 | 2008-07-16 | 郭世泽 | 网络信息系统的安全性及生存性评估的系统和方法 |
-
2008
- 2008-11-19 CN CN200810181004A patent/CN101447991B/zh not_active Expired - Fee Related
Cited By (44)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101699815B (zh) * | 2009-10-30 | 2012-08-15 | 华南师范大学 | 一种网络攻击自动执行/展现的系统及方法 |
| CN101799855A (zh) * | 2010-03-12 | 2010-08-11 | 北京大学 | 一种基于ActiveX组件模拟的网页木马检测方法 |
| CN101799855B (zh) * | 2010-03-12 | 2012-08-22 | 北京大学 | 一种基于ActiveX组件模拟的网页木马检测方法 |
| CN101841437A (zh) * | 2010-03-23 | 2010-09-22 | 华为技术有限公司 | 对设备进行测试的方法及装置 |
| CN102736013A (zh) * | 2011-04-12 | 2012-10-17 | 安凯(广州)微电子技术有限公司 | 一种SoC芯片的空闲状态测试方法、系统及测试装置 |
| CN102736013B (zh) * | 2011-04-12 | 2015-08-05 | 安凯(广州)微电子技术有限公司 | 一种SoC芯片的空闲状态测试方法、系统及测试装置 |
| CN102223267A (zh) * | 2011-06-17 | 2011-10-19 | 北京电子科技学院 | 一种ids的检测方法及检测设备 |
| CN102223267B (zh) * | 2011-06-17 | 2014-04-09 | 北京电子科技学院 | 一种ids的检测方法及检测设备 |
| CN102457401A (zh) * | 2012-01-06 | 2012-05-16 | 北京星网锐捷网络技术有限公司 | 日志模拟生成方法、装置和服务器 |
| CN102457401B (zh) * | 2012-01-06 | 2014-07-30 | 北京星网锐捷网络技术有限公司 | 日志模拟生成方法、装置和服务器 |
| CN103312551B (zh) * | 2012-03-12 | 2016-02-17 | 腾讯科技(深圳)有限公司 | 通用网关接口的测试方法及测试装置 |
| CN103312551A (zh) * | 2012-03-12 | 2013-09-18 | 腾讯科技(深圳)有限公司 | 通用网关接口的测试方法及测试装置 |
| CN104052628A (zh) * | 2013-03-12 | 2014-09-17 | 腾讯科技(深圳)有限公司 | 协议包检测方法及协议包检测装置 |
| CN104052628B (zh) * | 2013-03-12 | 2018-10-30 | 腾讯科技(深圳)有限公司 | 协议包检测方法及协议包检测装置 |
| CN103916384A (zh) * | 2014-01-21 | 2014-07-09 | 中国人民解放军信息安全测评认证中心 | 一种面向gap隔离交换设备的渗透测试方法 |
| CN104219221A (zh) * | 2014-05-30 | 2014-12-17 | 郭瑞 | 一种网络安全流量生成方法和系统 |
| CN104065534A (zh) * | 2014-06-30 | 2014-09-24 | 上海斐讯数据通信技术有限公司 | 移动终端添加路由器黑名单的测试系统、测试方法 |
| WO2016022705A1 (en) * | 2014-08-05 | 2016-02-11 | AttackIQ, Inc. | Cyber security posture validation platform |
| US10812516B2 (en) | 2014-08-05 | 2020-10-20 | AttackIQ, Inc. | Cyber security posture validation platform |
| US11637851B2 (en) | 2014-08-05 | 2023-04-25 | AttackIQ, Inc. | Cyber security posture validation platform |
| CN106998323A (zh) * | 2017-03-06 | 2017-08-01 | 深信服科技股份有限公司 | 应用层网络攻击仿真方法、装置及系统 |
| CN106998323B (zh) * | 2017-03-06 | 2020-08-14 | 深信服科技股份有限公司 | 应用层网络攻击仿真方法、装置及系统 |
| CN107332731A (zh) * | 2017-06-23 | 2017-11-07 | 北京北信源软件股份有限公司 | 一种用于网络安全监测设备的测试系统和测试床 |
| CN107360061A (zh) * | 2017-08-08 | 2017-11-17 | 上海斐讯数据通信技术有限公司 | 一种用于无线路由器的攻击测试系统及方法 |
| CN109472138A (zh) * | 2017-12-01 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种检测snort规则冲突的方法、装置和存储介质 |
| CN108683689A (zh) * | 2018-08-01 | 2018-10-19 | 公安部第三研究所 | 实现nids和nips入侵检测功能的改进测试系统及方法 |
| CN108683689B (zh) * | 2018-08-01 | 2021-01-29 | 公安部第三研究所 | 实现nids和nips入侵检测功能的改进测试系统及方法 |
| CN109257389A (zh) * | 2018-11-23 | 2019-01-22 | 北京金山云网络技术有限公司 | 一种攻击处理方法、装置及电子设备 |
| CN109257389B (zh) * | 2018-11-23 | 2021-09-17 | 北京金山云网络技术有限公司 | 一种攻击处理方法、装置及电子设备 |
| CN110635972A (zh) * | 2019-10-17 | 2019-12-31 | 南京中孚信息技术有限公司 | 网络测试方法、装置、网络测试仪及计算机可读存储介质 |
| CN110635972B (zh) * | 2019-10-17 | 2020-12-29 | 南京中孚信息技术有限公司 | 网络测试方法、装置、网络测试仪及计算机可读存储介质 |
| CN111669303A (zh) * | 2020-06-08 | 2020-09-15 | 湖北阿桑奇汽车电子科技有限公司 | 一种fota安全的应用流程 |
| CN112422557A (zh) * | 2020-11-17 | 2021-02-26 | 中国信息安全测评中心 | 一种工控网络的攻击测试方法及装置 |
| CN112491867A (zh) * | 2020-11-24 | 2021-03-12 | 北京航空航天大学 | 一种基于会话相似性分析的ssh中间人攻击检测系统 |
| CN114679291A (zh) * | 2021-05-31 | 2022-06-28 | 北京网藤科技有限公司 | 一种用于工业网络入侵监测的系统 |
| CN114679291B (zh) * | 2021-05-31 | 2024-04-09 | 北京网藤科技有限公司 | 一种用于工业网络入侵监测的系统 |
| CN113992386A (zh) * | 2021-10-25 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 一种防御能力的评估方法、装置、存储介质及电子设备 |
| CN115022036A (zh) * | 2022-06-01 | 2022-09-06 | 中国科学院计算技术研究所 | 一种攻击流量生成方法、系统及网络安全测试系统 |
| CN115022082A (zh) * | 2022-07-11 | 2022-09-06 | 平安科技(深圳)有限公司 | 网络安全检测方法、网络安全检测系统、终端以及介质 |
| CN115022082B (zh) * | 2022-07-11 | 2023-06-27 | 平安科技(深圳)有限公司 | 网络安全检测方法、网络安全检测系统、终端以及介质 |
| CN115174245A (zh) * | 2022-07-15 | 2022-10-11 | 湖北天融信网络安全技术有限公司 | 一种基于DoIP协议检测的测试方法及系统 |
| CN115174245B (zh) * | 2022-07-15 | 2024-06-21 | 湖北天融信网络安全技术有限公司 | 一种基于DoIP协议检测的测试方法及系统 |
| CN116170243A (zh) * | 2023-04-26 | 2023-05-26 | 北京安博通科技股份有限公司 | 基于poc生成规则文件的方法、装置、电子设备及介质 |
| CN116170243B (zh) * | 2023-04-26 | 2023-07-25 | 北京安博通科技股份有限公司 | 基于poc生成规则文件的方法、装置、电子设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101447991B (zh) | 2012-10-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101447991B (zh) | 用于测试入侵检测系统的测试装置及测试方法 | |
| Khamphakdee et al. | Improving intrusion detection system based on snort rules for network probe attack detection | |
| CN109818985B (zh) | 一种工控系统漏洞趋势分析与预警方法及系统 | |
| Pilli et al. | Network forensic frameworks: Survey and research challenges | |
| CN107135093B (zh) | 一种基于有限自动机的物联网入侵检测方法及检测系统 | |
| EP2953298B1 (en) | Log analysis device, information processing method and program | |
| El-Atawy et al. | Policy segmentation for intelligent firewall testing | |
| Rekhis et al. | A system for formal digital forensic investigation aware of anti-forensic attacks | |
| Fonseca et al. | Vulnerability & attack injection for web applications | |
| Wehbi et al. | Events-based security monitoring using MMT tool | |
| CN108183916A (zh) | 一种基于日志分析的网络攻击检测方法及装置 | |
| CN105391729A (zh) | 基于模糊测试的web漏洞自动挖掘方法 | |
| RU2757597C1 (ru) | Системы и способы сообщения об инцидентах компьютерной безопасности | |
| Hodo et al. | Anomaly detection for simulated iec-60870-5-104 trafiic | |
| CN102833269B (zh) | 跨站攻击的检测方法、装置和具有该装置的防火墙 | |
| CN102123058A (zh) | 一种对网络协议解码器进行测试的测试设备和方法 | |
| Frye et al. | An ontology-based system to identify complex network attacks | |
| Zhang et al. | An empirical study of a vulnerability metric aggregation method | |
| CN110365714A (zh) | 主机入侵检测方法、装置、设备及计算机存储介质 | |
| Erlansari et al. | Early Intrusion Detection System (IDS) using Snort and Telegram approach | |
| Al Balushi et al. | OSCIDS: An Ontology based SCADA Intrusion Detection Framework. | |
| Esposito et al. | Real time detection of novel attacks by means of data mining techniques | |
| Massicotte et al. | An analysis of signature overlaps in Intrusion Detection Systems | |
| Kerschbaum et al. | Using internal sensors and embedded detectors for intrusion detection | |
| CN113159992A (zh) | 一种闭源电力工控系统行为模式的分类方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20121024 Termination date: 20141119 |
|
| EXPY | Termination of patent right or utility model |