實驗室環境下測試千兆入侵檢測系統(轉)

實驗室環境下測試千兆入侵檢測系統(轉)[@more@]

　　在上期報紙中，我們重點介紹了美國《Network World》於2003年對千兆IDS進行的模擬真實情況測試。在這期文章中，我們將主要介紹美國《Network World》於2002年在實驗室環境下對千兆IDS進行的測試。

　　測試攻擊檢測率

　　測試人員測試了5種IDS。這些系統在基線測試中效能參差不齊，當測試人員將速度提高千兆時，一些IDS的效能下降多達50%。

　　測試網路是由一臺Extreme Network的Summit 5I、一臺Extreme Summit 7i和兩臺Extreme 48交換機構成。測試人員在交換機上使用Net Optic的千兆光纖和銅分接頭以及埠映象功能將IDS連線到實驗網路中。測試人員利用Agilent Network Analyzer J6800(採用1.1.15版軟體)檢驗了網路分接頭是否正常工作。

　　測試背景資料流是由Perl指令碼和執行IxWeb Version 1.25的Ixia的1600T裝置生成。Ixia機架上安裝了能夠產生真正Web流的6塊測試卡(每塊測試卡具有8個埠)。Perl指令碼是由測試人員自己開發，執行在基於Debian Linux的機器上。Compaq ProLiant ML350伺服器用於處理資源密集型指令碼。背景資料流是由HTTP、FTP、POP3、SMTP、NNTP、DNS、Telnet和SSH組成。

　　攻擊是從Windows 2000和Debian Linux機器發出。受攻擊的機器是未經修補的Windows 2000和Redhat 6.0計算機。測試人員執行的攻擊程式包括監視、遠端緩衝區溢位、分散式與普通拒絕服務攻擊以及特洛伊木馬。所有攻擊程式都是針對公開披露的安全漏洞，並具有已知的利用方法。

　　千兆IDS的檢測能力是按照檢測到的攻擊百分比、報告的準確性和反應時間來評定。測試人員首先以基線速度進行了測試，沒有新增任何背景資料流，然後又以970Mbps的速度進行了測試。

　　測試人員對每項測試都進行了三次，如果IDS在三分鐘內檢測到三次攻擊中的兩次，IDS就被認為是檢測到了這種攻擊。測試人員還記錄了攻擊被正確識別所用的時間。反應迅速的IDS所用時間在15秒以下。如果IDS在三分鐘之內沒有檢測到攻擊，測試人員就記錄一次檢測失敗。測試人員還對IDS做出的部分檢測進行了記錄。部分檢測是指IDS捕獲到一次攻擊，但不能正確標識它。例如，測試人員執行了A攻擊，而IDS卻報告說它檢測到了B攻擊。測試人員將測試結果記錄為沒有完全檢測到攻擊。

　　從測試結果看，測試人員在一條沒有其他資料流傳輸的線路上，向未經調整的IDS發起了28種廣為人知的攻擊，多數產品只檢測到了一半左右的攻擊。當對IDS調整後，多數產品有了一定的改善，但仍放過了相當多的攻擊。

　　檢測率對效能的影響

　　測試人員對IDS在千兆流量負載時的效能表現進行了測試。測試人員以比千兆負載略低的速度執行了測試，以確保傳送所有的攻擊程式。

　　在無資料流的基線測試中，測試人員沒有對IDS系統進行任何調整，但是啟動了所有的特徵和協議異常檢測。測試人員對每一種IDS發動了28種攻擊，包括拒絕服務攻擊、監視與探測攻擊以及旨在繞過IDS的Stick和Fragrouter攻擊。總之，這些產品捕獲到了大約一半的攻擊。造成IDS表現不佳的原因在於一些廠商為提高效能而關閉了IDS的特徵檢測功能。

　　測試人員對調整後的IDS系統進行了同樣的測試。調整意味著廠商可以調節IDS的特徵資料庫，讓IDS捕獲並正確識別某一攻擊。廠商可以將UDP改為TCP，反之亦然，以捕獲Back Orifice攻擊。廠商也可以降低TCP連線數量的臨界值來捕獲NMAP攻擊，還可以關閉需要大量處理器時間的引擎來提高IDS的效能。

　　一些產品在一小時之內調整完畢，一些產品則用了更長的時間，廠商的技術人員對IDS系統的熟悉程度在其中起到了重要作用。使用者應當考慮廠商能夠為IDS系統調整提供什麼樣的幫助。

　　測試人員不允許廠商向資料庫增加新的攻擊特徵，不允許定製已有特徵或從Snort資料庫中下載特徵在測試過程中使用。在實際部署中，使用者可以利用這些選項，但測試人員禁止這些選項是因為測試人員需要評估廠商現場技術人員調整IDS系統的水平。調整幫助IDS檢測到更多攻擊，不過增加的數量並不太多。為了改進效能，所有的廠商允許使用者向IDS資料庫新增特徵並且提供特徵定製功能。顯然提高攻擊檢測率需要花費大量時間和進行大量調整。測試人員還評估了IDS的管理應用程式，觀察它們在高負載下的表現。

　　透過此次測試，測試人員得出了以下結論：千兆IDS產品在不經過重大調整就可以全面防禦攻擊之前還有很長的路要走。不經過調整的大部分IDS產品只檢測到一半的攻擊，其中的許多攻擊已經出現很長時間了，IDS系統應當能夠檢測到它們。

　　

·上一篇：

·下一篇：

最新更新
	· · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·