SENFO
   
|
分享:
▼
x0
|
■测试入侵侦测系统方法论
--------------------------------------------------------------------------------
1. 简介
入侵侦测系统(Intrusion Detection System, IDS)定义了来自内部授权的使用者或外部攻
击者未经授权的使用、误用或滥用电脑系统。 有些入侵侦测系统只监看单一台电脑主机,
有些则用来监看网路上所有的电脑主机。 入侵侦测系统是透过分析使用者的来源资讯,包
含系统稽核纪录、系统排程与网路的流量等,综合判断是否有入侵的行为。
许多组织以IDS 作为电脑安全系统的主要元件,评估 IDS 的技术变得愈来愈重要,IDS 的
使用者需要知道所使用 IDS 的效能,来评估依仗IDS 的程度或是必须仰赖其它的安全机制
。然而,评估 IDS 的效能是一件困难的任务。首先,在使用特定的IDS 时,难以定义所有
可能发生的入侵情况,入侵技术的数量是如此庞大,一个 IDS 可能无法侦测所有的入侵资
讯,且入侵者可能使用新的技术或利用尚未发现的系统漏洞进行入侵,IDS可能无法一一侦
测得到。再者,IDS 的评估可能受限于电脑或系统本身的条件,例如:IDS可以侦测到的入
侵行为,当系统负荷处于满载时可能会侦测失败而无效。
面对这些问题,我们发展出一方法论来测试IDS,在方法论的基础上,定义了一组基本IDS
的效能项目,如:IDS 所能侦测到的入侵之概括范围,这个方法论是用来测量 IDS 的效用
及着重在效能项目的测试。包含一组测试案例的选择策略与一组细目测试的程序。 为了发
展这个测试方法论,从软体测试的角度借用一些技巧与结合一些测试 IDS 特定的目的,为
了测试,我们使用了 UNIX 工具 『expect』来建立使用者模拟操作,此外,我们增强了
『expect』原有的功能来进行更为复杂的测试工作。
使用我们所发展的方法或工具将有助于开发 IDS 的人来测试所开发系统的效益,系统管理
者能使用我们的方法来测试目前所用的 IDS 是否正确的使用,对于预计部署使用 IDS的组
织而言,可以使用此方法来评估各种 IDS 的优劣。
在本文第二部分背景说明会简介一些入侵行为、入侵侦测的动机等, 第三个部分将描述所
使用的测试软体平台『expect』及所增强的部分, 第四个部分说明测试的方法:首先定义
IDS重要的效能项目与描述如何选择测试的案例与限制等等,第五个部分说明所制定的实测
程序细节,第六个部分描述实验所得的结果,最后为本文的结论。
2. 背景说明
这个部分将说明一些关于进行工作的背景-入侵与入侵侦测资讯。
2.1. 入侵
入侵事件正以惊人的速率增加,有些站台甚至一个月有数百件试图入侵的事件, 而且入侵
者使用许多不同的入侵技术,有一些入侵事件像是:
● 员工随意翻阅老板对于其他员工的评价
● 使用者利用档案系统的漏洞来查看其他使用者的档案
● 使用者利用系统程式的漏洞来取得系统管理者的权限
● 入侵者使用密码破解程式来破解密码
● 入侵者安装监听器在网路上进行监听工作,以取得使用者的帐号密码或其他敏感的资料
● 入侵者修改网路路由表阻挡讯息的传递
可以容易地往下推断出上所列的事件的结果, 包含遗失或伪造资料、财务上的损失、对合
法使用者的 DoS(denial of service)攻击、电脑或网路系统的不可信、机密资料的曝光等
,都是入侵后可能发生的。
2.2. 同时发生的入侵行为
此外,多样且同时的入侵行为是可能的, 入侵者可能使用多个终端机同时对同一个目标进
行入侵,为了更真实模拟一个或多个入侵行为,我们依照下列几个种类来进行模拟:
● 单一入侵者、单一终端主机(Single Intruder Single Terminal, SIST)
单一个入侵者在单一个终端主机上发动入侵或逻辑上是在单一终端主机上, 终端主机可
能是一台直接连接目标主机的机器或经由网路或拨接连到目标主机。
● 单一入侵者、多终端主机(Single Intruder Multiple Terminal, SIMT)
入侵者透过多个终端视窗入侵目标主机,或建立不同的网路连线来入侵目标主机, 企图
混淆或隐藏入侵行为。
● 多入侵者、多终端主机(Multiple Intruder Multiple Terminal, MIMT)
多个入侵者参与入侵目标主机的行动,且一个或多个入侵者使用 SIMT方式入侵目标主机
。目标主机可能是一部或网路多部电脑, 入侵者可能试图在许多可疑的连线中隐藏真正
的攻击行为。
2.3. 入侵侦测的动机
电脑安全的目的在建立一个完全安全的系统。 不幸的是,在某些因素下电脑的周边设备与
环境下无法有效地提供杜绝入侵的能力。 首先,系统软体趋于复杂,程式设计师在面对软
体设计时,难以预期程式执行的所有情况、执行条件与环境, 因此一个系统软体通常包含
一些可能产生的安全漏洞,而软体升级后往往又伴随着新的问题。 第二,随着网路连线需
求的增加,几乎不能对外断绝联络以保护系统安全。 最后,电脑系统的核心元件或是电脑
网路本身是不安全的, 举例来说,有些 TCP/IP implement 就存在着许多安全上的漏洞。
为解决这些问题,在发展安全的系统时,提出一个安全管理系统模型,如下图
┌──────>PREVENTION─────┐
│ v
POST-MORTEM DETECTION
^ │
└─────INVESTIGATION<───┘
发展安全的系统包含四个元件,「PREVENTION」元件定义防止入侵的项目,「DETECTION」
元件定义安全缺口,「INVESTIGATION」元件从「DETECTION」元件定义发生什么事, 此元
件也包含搜集更进一步的资料来定义入侵者,「POST-MORTEM」元件分析未来如何防止类似
的入侵情况的发生。
从前关于电脑安全的研究集中在如何防止入侵,即「PREVENTION」 元件上,后来入侵侦测
的概念提出,才慢慢地将焦点转移到「INVESTIGATION」元件上,但只根据这两个元件并不
足以证明入侵情形的发生,所以新的模型分成四个部分来进行分析与验证。
2.4. 着手处理入侵侦测
根据 IDS入侵攻击行为侦测分类,可分为两类,分别为异常侦测(anomaly detection)和误
用侦测 (misuse detection)。异常侦测是入侵的系统或网路与入侵前的正常系统或网路活
动有明显的不同,而且,入侵者(可能伪装成合法使用者) 与原来使用者行为有明显的不
同。IDS会建立使用者正常行为的资料档,使用者的行为活动会与正常行为的资料档作比较
,如果行为与资料很接近就认为是正常的,反之就认为不正常而发出警告。
misuse detection 是利用样版比对的方式,IDS 收集分析使用者的所有行为(command 和
session…等),并将此行为样版与系统攻击资料库中的资料加以比较。此攻击资料库中,
详细定义着各种入侵攻击样式(attack pattern 或 attacksignature)。若相似于入侵攻击
的样式,便视为是一种攻击入侵行为。
虽然 IDS 只有两种主要的侦测方式,但每一IDS 在设计上所采用的方式并不相同,不同的
IDS 可能采用不同的演算法、不同的标准尺度来定义入侵,所以有几个 IDS 使用两者结合
的侦测方式。通常,IDS的分析资料来源来自于系统的稽核纪录,但系统的稽核纪录在单一
主机上是没有问题的,遇到网路上多台主机或网路环境时,就显不足了。 首先若是多台单
一主机上的 IDS 稽核纪录封包送达分析主机的即时性问题,有一些 IDS采用分离的不同电
脑来执行分析稽核纪录,监看电脑搜集稽核纪录后,将资讯至分析的电脑上。 第二,稽核
系统可能本身是有漏洞的,入侵者藉由这些漏洞还修该稽核系统纪录, 达到隐藏入侵的痕
迹。最后,稽核纪录可能不具备足够的资讯足以分析入侵的行为, 举例来说,一个叫做
doorknob 的攻击,入侵者试图猜测网路上几台主机的帐号密码, 为了避免起疑,入侵者
只有试图猜了几次放在网路上的几台个人电脑主机,这样的入侵情况在许多的主机型IDS并
没有被侦测到,这种入侵网路上一部以上的电脑主机入侵行为,我们称为网路入侵
(network intrusion)。
这样的例子告诉我们,有效的 IDS 应该要搜集分析网路的资讯,举例来说,NSM 会监看区
域网路上的封包及流量,所以 NSM 能够侦测安全相关的网路事件,像在网路上传送密码档
等等,DIDS 搜集与分析来自网路与监看电脑两者的资讯,所以 DIDS 有能力分辨出如上述
(doorknob)的网路入侵行为。
3. 软体平台
本文所用的测试方法是在 IDS 运作期间模拟电脑使用者(一般使用者或是入侵者)的实际
操作情形,在测试实验中我们采用「expect」这个 UNIX 套件,『expect』在其他的 UNIX
中称为 Tcl(Tool command language),使用「expect」这个 UNIX 套件可以用来撰写类似
真正使用者(一般使用者或是入侵者)所键入命令模式的系统所执行的命令批次档。
Tcl 套件提供简单的程式语言直译器,并且包含程式语言所拥有的变数、程序
(procedures)、控制、逻辑判断、字串、计算等能力,目前的 Tcl 也包含使用正规表示来
搜寻文字的功能,Tcl 的语法有点类似 UNIX Shell 或Lisp,因为它是由 C 函式库套件实
作的套件。
expect 套件一样也提供程式语言的直译器,expect 直译器核心是采用 Tcl 的直译器,但
expect 延伸了 Tcl 指令集,包含几个用来控制使用者互动介面的指令。
expect 套件本身提供建立 Script 模拟电脑使用者的能力, 我们额外增加一些指令让
expect 能够提供同时执行 Scripts 的能力与 scripts间同步化与资料传递的机制,以制
作在上述 2.2 所提的多个入侵者、多部终端主机等测试项目。
通常在测试 IDS 可能需要重复某一个特定的测试项目,例如测试为什么 IDS失效。不断地
循序执行一个 Script 使可以完成的,然而,在需要同步执行的 Script测试时,重复测试
可能变得很困难。我们发展出同步化的机制来执行共同测试 Script,利用事件触发的方式
来同步执行,而且这个机制是有弹性的,程式设计师可以轻易地修改以符合实验所需。
此外我们合并软体平台「记录与重新执行(record and replay)」的能力,使用者可以循
序地建键入指令并会记录键入的顺序,而且能够重新执行指令, 唯一的限制是无法提供直
接编程控制能力(programmability)。然而这样的限制可以藉由含有程式的 Script 来解决
,总言之,「记录与重新执行(record and replay)」提供了更容易建立模拟 Scripts
能力的特色,特别是对于某些特别的测试个案模拟及入侵技术之模拟。
4. 测试项目
现在进行讨论测试的方法与主要的测试议题。
4.1. 效能测试
测试 IDS 的第一步骤是定义测试 IDS 的效能项目,我们定义以下测试物件:
● 明显的侦测范围(Broad Detection Range):指 IDS 所能够侦测的入侵情况,IDS 应该
要能够从正常运作的行为中侦测出入侵行为。
● 资源使用的节省(Economy in Resource Usage):IDS的功能应该使用较少的系统资源,
如记忆体、CPU 时间、磁碟空间等。
● 压力承受程度(Resilience to Stress):IDS 的功能应该要在系统处于高压(高负载)
的情况还能继续运作,像非常大量的电脑运算等。
入侵侦测系统应该要符合第一项否则许多入侵行为都将侦测不到, 第二项需求也是必须的
,如果一个 IDS 耗用太多资源,那么使用 IDS 将变得困难与不切实际。 最后采用第三个
项目有下列两点原因:1.压力环境可能经常发生在一般的电脑环境设备中, 2.在进行入侵
前,入侵者可能建立有压力的状态干扰 IDS 的运作以避免被侦测。
举例来说,入侵者可能在 IDS 主机上建立沈重的负载试图影响 IDS的运作。在一般的电脑
环境中,为了测试 IDS ,我们认为这三项测试标的是必要的,所以我们的测试程序在设计
这三项的衡量方法以衡量 IDS 的效能。当然,在不同的地方这三项的衡量值也会不一样,
若有其他安全机制可免于遭受攻击,明显的侦测范围(Broad Detection Range)可能就不
需要,例如使用防火墙来阻挡外来的连线或严格的存取控制或验证技术等, 资源使用的节
省(Economy in Resource Usage)项目在非常注重安全性及电脑的资源远超出使用者需求
时,可以暂不考虑。当使用单独一台机器时,压力承受程度(Resilience to Stress) 项目
或许也可以忽略,所以哪些是评估需要的项目应该由管理者自行来决定。
4.2. 测试项目的选择
在本文中,一个测试个案是模拟使用者的连线(session),有一些用来测试正常的连接,
大部分是用来模拟入侵的行为,但是首要的问题是要选择哪一类的入侵来模拟呢?测试实验
应该尽可能地搜集入侵的资料,在 UNIX系统上,入侵的资料可以从许多的地方获得,如
CERT 所发布的 Advisories,杂志期刊如 PHRACK, 2600 与 USERNET, 弱点分析安全工具
如 COPS 与 TIGER。 但是入侵攻击的数量实在太庞大,必须进行分类并就该类型中找出具
有代表性的入侵行为来进行模拟测试。
现在我们来想一下该如何把选择入侵的个案分类, 第一个策略是依照入侵的技术来进行分
类,第二个策略是依入侵所使用的系统漏洞来分类, 那么可能会有同一个入侵但包含两种
分类方式的情形,第三个策略是以入侵的特征分类, 但可能可以选择的测试个案数量较少
,然而这样的技术可能衍生出更好的分类方式,在一些特定的IDS中,这样的技术能够被使
用来发展出更好的入侵特征比对技术。
提供这样的分类与了解各分类的限制是为了帮助我们选择测试个案及能更广泛地测试IDS。
最后用以选择所需的测试案例,测试者可以针对自己所欲部署的 IDS 系统环境来选择或是
额外补充某些个测试的个案,举例来说,在电脑使用政策管理严谨的环境中, 使用的行为
可以被区分成一般正常的使用行为与入侵行为两种, 测试者可以针对某一些特定的活动来
建立测试案例,另一个例子是,测试者可能发现一些尚未公布的入侵技术等。 模拟这些技
术时应该包含成一组测试个案。
4.3. 限制
这一段中将说明测试 IDS 的一些限制。首先我们用以模拟使用者的软体平台并无法完全模
拟使用者使用 GUI 介面程式所作的行为,如 X-Windows。然而,并非所有的入侵者的动作
都是必须模拟的,有些入侵动作是属于系统的活动, 但模拟工具可能无法模拟这样的行为
。例如,使用者移动滑鼠点选某一个 GUI 选单的选项,虽然模拟工具无法模拟这样的入侵
动作,但我们的测试方法仍然是有效的, 我们可以使用不同的工具来模拟入侵行为,最坏
的情况下,测试者还可以手动地模拟入侵行为。
第二个限制是我们所设计的测试发法主要是用以 misuse detection,然而,一些测试
的程序仍是可以用在测试 Anomaly detection。
4.4. 测试结果的使用及重要性
测试得结果有助于 IDS 研发者、使用者、及想增进 IDS效能的潜在顾客使得网路系统更加
安全;IDS 研发者可以使用测试结果来改善 IDS 的弱点,举例来说,如果测试结果说明
IDS 无法侦测某依特定的攻击,研发者可以增加描述该类攻击的特征,使 IDS 可以侦测该
攻击行为,如果测试结果说明 IDS 耗用太多资源(如 cpu、disks),研发者可以改进IDS
的效能使用更少的资源,如果测试没有发现什么弱点,研发者也可以对外广告宣传该IDS测
试的结果。使用者也可将 IDS 结合其他的安全工具来保护网路的安全,IDS 的使用者可依
测试结果来决定该对 IDS 作最佳化的校调,或配合其他安全机制来保护电脑系统安全。最
后 IDS 顾客可以使用测试结果来比较不同的 IDS 以选择适合自己电脑环境的 IDS。
5.测试方法论
我们发展一组详细的测试程序来测试 IDS,这些测试程序监看网路上的主机并测试IDS,然
而,一些程序能够只监看单一台电脑主机就能达到效果。 这些测试必须在一的单独的区域
网路中,因为一些测试需求会直接控制整个网路的大量活动, 为避免影响正常的网路运作
,一个良好的测试环境必须是独立于正常的网路中。
在安装与设定 IDS 时应该要更小心,测试者应该参考 IDS使用手册决定该如何安装设
定档及如何设定最适合的参数,测试的程序可能最后会受到 IDS 设定的影响,这样的情况
下,可能必须重新设定并在一次测试。
我们的许多测试程序是依照下列基本的测试程序, 再针对不同的环境变数作一些更动调整
的:
● 建立或选择一组测试的 scripts
● 建立在运算环境下的假设条件(像背景、电脑运作活动等)
● 开始 IDS
● 执行测试 scripts
● 分析 IDS 所产出纪录的资料
5.1. 入侵确认测试
以两种入侵确认的测试方式来衡量 IDS 是否能在正常的行为中辨认出入侵的行为,首先第
一个是基本侦测测试(Basic Detection Test),依照下列步骤进行:
● 建立一组 intrusion scripts
● 尽可能减少环境中无关测试的运算活动
● 开启IDS运作
● 执行 intrusion scripts
测试者可以分析 IDS 所产出的资料,分析方法要从特定 IDS所产出的可用资讯类型下手,
例如,将其分类成「可疑的」与「正常」, 测试者可以简单地计算出入侵的剧本描述所进
行的行为被 IDS 所确认并侦测出来的百分比。
第二例子是进行每一个 intrusion scripts IDS 所产生的警告值,与在正常的使用情况下
进行比较,测试者可以利用一些统计技巧来比较 IDS 所产生警告值与在正常的使用情况下
所产生的不同,藉以厘清 IDS 是否能够分辨出入侵与正常使用之行为。
基本侦测测试(Basic Detection Test)测试 IDS 是否能侦测出入侵行为,第二个入侵确认
的测试方式项目是正规的使用者测试(Normal User Test),及在正规的使用者行为中 IDS
是否能够发现入侵。其方法与基本侦测测试相同,只不过将 intrusion scripts 换成
normal-user scripts。对于 IDS所产出的资讯应该测定些正常使用者的行为被判别出是可
疑的,这样的测量结果由助于评估多少时间是浪费在处理假警报上,也就是衡量 IDS 系统
对于正常使用者行为的误判率(false alarm rate)。
5.2. 资源使用测试
资源使用测试用以测量 IDS 使用了多少的系统资源,这样的测试结果可以用以评估要将特
定的 IDS 装载在什么样的电脑环境平台中,在这个测试中我们发展了一个测试项目 ─磁碟
空间测试(The Disk Space Test),用以评估 IDS需要使用多少的磁碟空间,我们使用一个
固定比例的 scripts 来模拟使用者使用电脑的执行程序的行为,举例来说,scripts 可能
循序重复地执行一些指令。
资源使用测试的程序如下:
● 排除测试环境中一些不相关的活动
● 开启 IDS
● 执行 scripts 一段时间(如一小时)
● 计算这段时间执行 Script 时,IDS 所留下的纪录使用磁碟的总数
这样的测试可能重复几次并且使用不一样的测量时间,在这样的测试下, 测试者可以找出
磁碟使用与 IDS 监看时间的关系,同样地也可执行多个 scripts模拟多个使用者的使用情
况,测试者可以找出磁碟使用与 IDS 监看多个使用者的关系,测试者可以分析所有的情况
藉以预测在真实环境中 IDS 监看多个使用者所需要的磁碟空间,测试者也可以以此为基准
比较不同的 IDS。
5.3. 压力测试
这部分主要是在衡量 IDS 会不会因为在负载过重的情况下,而影响到其原来的侦测能力。
而所谓的负载有许多种情况,分别如下所述:
5.3.1 Smokescreen Noise
所谓的 Noise ,在此定义为一个不属于入侵攻击行为当中的其他任何正常使用者行为命令
。入侵者可能试着利用这些 Noise 来巧妙伪装入侵攻击行为,至使得入侵攻击程式就好像
躲在烟幕中的情况一般。一简单的做法,乃是在入侵攻击行为的指令当中, 夹杂一些正常
的使用者行为命令。例如,在执行 ls 期间插入 edit 的指令修改档案等, 来混淆入侵攻
击行为,使之看起来像正常行为一般。
IDS 可能无法侦测像这样隐藏在正常行为当中的入侵,Smokescreen Noise测试的第一步是
建立一个适合的测试 scripts, 在原本正常的执行指令中插入一些入侵的指令,然后采用
像基本侦测测试(Basic Detection Test)的方式, 比较基本侦测测试的方式与此一测试方
式的不同,在基本侦测测试的方式中,IDS可能可以正确地侦测入侵的指令,但加入正常指
令夹杂在其中时,IDS 就不一定能够正确地辨识。测试者也可以藉此样的测试可以了解IDS
的弱点在哪里。
5.3.2 Background Noise
此部份主要在在衡量 IDS 系统会不会受到正常使用者活动所影响,例如:入侵攻击行为可
能发生于系统忙碌时间(working hours)。故在实验的过程中,首先即先产生大量正常的使
用者活动,然后触发入侵攻击行为,以衡量 IDS 系统是否会因为受到这些正常活动的影响
,而没有侦测出入侵攻击行为。 相同的,在试验的过程中,必须考虑不同量的正常使用者
活动对 IDS 的影响。同时也要重复地实验数次,以求得可靠的实验结果。
5.3.3 High-Volume Sessions
这部分主要在测试 IDS 会不会受到高载量的连线或系统环境所影响。所谓的高载量完全依
据 IDS 所决定。举例来说,如果 IDS 监看每一个连线的使用者命令时, 那么这些监看的
命令量即为载量。故在进行实验的时候,首先先执行一载量程式, 接着执行入侵攻击程式
,以此来观察 IDS 会不会因为其所要监看的行为过于高载量,而失去侦测入侵攻击行为的
能力。同时也要重复地实验数次,以求得可靠的实验结果。
5.3.4 Intensity
这部分实验主要在探讨 IDS,会不会因为使用者大量地活动, 必须在亟短的时间内纪录这
些活动讯息,而影响到 IDS 的侦测能力。所以同样的,在进行实验的时候,一样必须先执
行一载量程式,接着执行入侵攻击程式,以此来观察 IDS 会不会因为瞬间发生大量的使用
者行为,来不及纪录所有活动讯息,而失去侦测入侵攻击行为的能力。
这样的测试应尽可能地同时执行不同的测试 scripts, 来测试在高载量下隐藏在使用者活
动的入侵者行为能否被侦测到。
5.3.4 Load
此部份在衡量 IDS 会不会因为 CPU 过于忙碌而影响侦测能力。 故在进行实验的时候,可
以简单地在 IDS 所架设的主机上,同时间执行大量的应用程式,藉此以消耗 IDS 的 CPU
使用量,接着再执行入侵攻击程式,藉以测试 IDS 是否会因为如此,而影响其本身的侦测
能力。
6. 测试结果
我们利用 NSM 来进行测试实验,NSM 会监看它所连接的所有区域网路的封包流量,且能够
监看点对点传输的封包,NSM会依据封包的内容给予警告数据值及依据连线的流量作出数据
图表,警告值介于 0 到 10 之间,值越高代表该连线愈可疑。我们将 NSM 安装在
SUN SPARC2 工作站上并连接到专用的网段上进行实验。
6.1. 基本侦测测试(Basic Detection Test)
在这个测试中,我们使用了几个不同的 expect scripts,每一个是设计来模拟入侵者所执
行的命令顺序,特别的是 scripts 模拟以下的一些行为:
● 依照使用手册,使用ls指令来列出档案与使用文书编辑软体来查看档案内容
● 密码破解
● 使用字典档来猜测密码
● door-knob行为(使用通用密码来猜测密码)
● 试图修改系统档案(如:/etc/passwd)
● 过分的网路移动行为(利用Telnet来连接不同的电脑)
● 利用系统程式的弱点来取得超级使用者(root)的身分
每一个 scripts 利用 Telnet 连接到另一台电脑,循序送出入侵的指令给远端的电脑然后
断线,NSM 会监看这些 scripts 的执行并且给予每一个连线的警告值。为了比较差异,我
们设定 NSM 监看网路上电脑的流量,虽然入侵行为可能引起一些流量产生,但我们认为大
部分的网路流量是经由合法的行为及合法的使用者所产生的。
观念上,警告值在合法的连接会给予较低的值,入侵行为则会给予较高的值,实际上,NSM
成功地分辨这些行为,并给予正常的连接较低的警告值。
然而,NSM 会给予某些入侵的 Script 较低的值,我们认为这是在设定上的问题。 就像其
他的 IDS 一样,NSM 允许校调系统,所以对于一些特定的入侵循序指令会较灵敏。我们的
经验告诉我们怎样的测试程序能够找到 IDS 本身与 IDS 设定的弱点。
6.2. 压力测试(Stree Tests)
我们假设在 CPU 高负载的压力下,会影响 NSM 主机监看网路连接的能力,所以我们进行
5.3.5 描述的测试程序。我们设定 NSM 监看在网路上利用 Telnet 连接到电脑 A 的 TCP
封包,然后在 NSM 主机上建立不同层级的负载,我们使用 Telnet 连线到 NSM 主机上,
然后传送循序的指令 script 建立负载,我们使用 uptime 指令来增加 CPU 负载,并使用
nice 指令降低 NSM 程式执行排程的优先权。
在每一个 CPU 高负载测试的 Script 执行后,使用 6.1 所提的入侵 Script 连线到电脑A
,并送出入侵指令。很显然的,在 CPU 高负载的压力下,NSM 主机会开始遗失所监看的
TCP 封包的标头,并且错过封包的搜集。我们解释这样的情况是因为 NSM 程式正在等待排
程处理,所以会错过一些传送的 TCP 资料,但实际上监看的运作还包含网路的硬体与软体
,所以情况会更复杂,虽然测试的结果显示 IDS 可能会被有压力的条件环境所影响,这些
潜在的弱点可能会被入侵者利用来攻击。
7. 结论与未来建议
实验结果证明,我们的测试方法论可以获得有益于 IDS 的资讯及能力。为了后续 IDS的使
用及研发,测试方法的演进是重要的, 未来的工作将精心发展更加适合的基本侦测测试个
案,我们计划发展更进一步的效能测试项目与测试其他的 IDS。
另外的工作是微调测试程序与发展建立适合的 IDS 效能指标(benchmarks suite),在测
量方面,我们的工具能有系统地评估与测量 IDS 的效能与性能,我们希望能够发展能够确
实评估 IDS 的方法,以利 IDS的研发者能够从我们的测试结果中得到一些回应藉以设计优
良的 IDS,我们希望一些测试的方法技术也能够用以测试其他的软体系统, 特别是在压力
测试项目上, 压力测试的技术能够测试电脑作业系统、即时控制系统与任何一般的软体系
统上。
(本文节录自 IEEE Transactions on Software Engineering, vol.22, No.10, October 1996)
|
