ITPub博客

首页 > IT基础架构 > 网络安全 > 实验室环境下测试千兆入侵检测系统(转)

实验室环境下测试千兆入侵检测系统(转)

原创 网络安全 作者:RegisterForBlog 时间:2007-09-19 22:53:11 0 删除 编辑
实验室环境下测试千兆入侵检测系统(转)[@more@]

  在上期报纸中,我们重点介绍了美国《Network World》于2003年对千兆IDS进行的模拟真实情况测试。在这期文章中,我们将主要介绍美国《Network World》于2002年在实验室环境下对千兆IDS进行的测试。

  测试攻击检测率

  测试人员测试了5种IDS。这些系统在基线测试中性能参差不齐,当测试人员将速度提高千兆时,一些IDS的性能下降多达50%。

  测试网络是由一台Extreme Network的Summit 5I、一台Extreme Summit 7i和两台Extreme 48交换机构成。测试人员在交换机上使用Net Optic的千兆光纤和铜分接头以及端口镜像功能将IDS连接到实验网络中。测试人员利用Agilent Network Analyzer J6800(采用1.1.15版软件)检验了网络分接头是否正常工作。

  测试背景数据流是由Perl脚本和运行IxWeb Version 1.25的Ixia的1600T设备生成。Ixia机架上安装了能够产生真正Web流的6块测试卡(每块测试卡具有8个端口)。Perl脚本是由测试人员自己开发,运行在基于Debian Linux的机器上。Compaq ProLiant ML350服务器用于处理资源密集型脚本。背景数据流是由HTTP、FTP、POP3、SMTP、NNTP、DNS、Telnet和SSH组成。

  攻击是从Windows 2000和Debian Linux机器发出。受攻击的机器是未经修补的Windows 2000和Redhat 6.0计算机。测试人员运行的攻击程序包括监视、远程缓冲区溢出、分布式与普通拒绝服务攻击以及特洛伊木马。所有攻击程序都是针对公开披露的安全漏洞,并具有已知的利用方法。

  千兆IDS的检测能力是按照检测到的攻击百分比、报告的准确性和反应时间来评定。测试人员首先以基线速度进行了测试,没有添加任何背景数据流,然后又以970Mbps的速度进行了测试。

  测试人员对每项测试都进行了三次,如果IDS在三分钟内检测到三次攻击中的两次,IDS就被认为是检测到了这种攻击。测试人员还记录了攻击被正确识别所用的时间。反应迅速的IDS所用时间在15秒以下。如果IDS在三分钟之内没有检测到攻击,测试人员就记录一次检测失败。测试人员还对IDS做出的部分检测进行了记录。部分检测是指IDS捕获到一次攻击,但不能正确标识它。例如,测试人员运行了A攻击,而IDS却报告说它检测到了B攻击。测试人员将测试结果记录为没有完全检测到攻击。

  从测试结果看,测试人员在一条没有其他数据流传输的线路上,向未经调整的IDS发起了28种广为人知的攻击,多数产品只检测到了一半左右的攻击。当对IDS调整后,多数产品有了一定的改善,但仍放过了相当多的攻击。

  检测率对性能的影响

  测试人员对IDS在千兆流量负载时的性能表现进行了测试。测试人员以比千兆负载略低的速度执行了测试,以确保传送所有的攻击程序。

  在无数据流的基线测试中,测试人员没有对IDS系统进行任何调整,但是启动了所有的特征和协议异常检测。测试人员对每一种IDS发动了28种攻击,包括拒绝服务攻击、监视与探测攻击以及旨在绕过IDS的Stick和Fragrouter攻击。总之,这些产品捕获到了大约一半的攻击。造成IDS表现不佳的原因在于一些厂商为提高性能而关闭了IDS的特征检测功能。

  测试人员对调整后的IDS系统进行了同样的测试。调整意味着厂商可以调节IDS的特征数据库,让IDS捕获并正确识别某一攻击。厂商可以将UDP改为TCP,反之亦然,以捕获Back Orifice攻击。厂商也可以降低TCP连接数量的临界值来捕获NMAP攻击,还可以关闭需要大量处理器时间的引擎来提高IDS的性能。

  一些产品在一小时之内调整完毕,一些产品则用了更长的时间,厂商的技术人员对IDS系统的熟悉程度在其中起到了重要作用。用户应当考虑厂商能够为IDS系统调整提供什么样的帮助。

  测试人员不允许厂商向数据库增加新的攻击特征,不允许定制已有特征或从Snort数据库中下载特征在测试过程中使用。在实际部署中,用户可以利用这些选项,但测试人员禁止这些选项是因为测试人员需要评估厂商现场技术人员调整IDS系统的水平。调整帮助IDS检测到更多攻击,不过增加的数量并不太多。为了改进性能,所有的厂商允许用户向IDS数据库添加特征并且提供特征定制功能。显然提高攻击检测率需要花费大量时间和进行大量调整。测试人员还评估了IDS的管理应用程序,观察它们在高负载下的表现。

  通过此次测试,测试人员得出了以下结论:千兆IDS产品在不经过重大调整就可以全面防御攻击之前还有很长的路要走。不经过调整的大部分IDS产品只检测到一半的攻击,其中的许多攻击已经出现很长时间了,IDS系统应当能够检测到它们。

  

本文来自:http://www.linuxpk.com/30749.html

-->linux电子图书免费下载和技术讨论基地

·上一篇:覆盖*printf()系列函数本身的返回地址

·下一篇:新型入侵检测系统将降低误报和漏报
 
     最新更新
·注册表备份和恢复

·低级格式化的主要作用

·如何防范恶意网站

·常见文件扩展名和它们的说明

·专家:警惕骇客骗局,严守企业信息

·PGPforWindows介紹基本设定(2)

·解剖安全帐号管理器(SAM)结构

·“恶作剧之王”揭秘

·绿色警戒

·黑客反击战

·网络四大攻击方法及安全现状描述

·可攻击3种浏览器代码流于互联网

·黑客最新的兴趣点,下个目标会是谁?

·“僵尸”——垃圾邮件的主要传播源

·Lebreat蠕虫惊现3变种

·POSTFIX反病毒反垃圾Ų…

·在FreeBSD上用PHP实现在线添加FTP用户

·简单让你在FreeBSDADSL上…

·安全版本:OpenBSD入门技巧解析

·Internet连接共享上网完全攻略

·关于ADSL上网网速常识

·静态缓存和动态缓存的比较

·最友好的SQL注入防御方法

·令网站提速的7大秘方

·网络基础知识大全

·路由基本知识

·端口映射的几种实现方法

·VLAN经典诠释

·问题分析与解决——ADSL错误代码

·问题分析——关于2条E1的线路绑定


关于我们 | 联系方式 | 广告合作 | 诚聘英才 | 网站地图 | 网址大全 | 友情链接 | 免费注册

Copyright © 2004 - 2007 All Rights Reserved

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10763080/viewspace-970291/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论