[发明专利]网络攻击检测内部追踪方法

说明书

技术领域

本发明涉及一种测试入侵检测系统(IDS)的方法，尤其涉及一种用于测试网络入侵检测系统的网络攻击检测内部追踪方法。 

背景技术

目前，在业界测试入侵检测系统(Intrusion Detection System，简称IDS)的测试工具有很多种，在网络附连储存(NASA)项目中，测试人员针对SNORT的测试使用了很多种工具和技术，SNORT是一种目前选用的小型的网络入侵检测系统，能够实时分析网络通信和IP包登录。SNORT能够出色的完成协议分析，内容搜索/匹配以及检测到多种攻击和扫描，如缓冲溢出、端口扫描、通用网关接口(CGI)攻击、服务器信息块(SMB)探察等。SNORT使用一种灵活的规则语言来描述它应该收集或过滤的信息，像一台检测引擎一样去利用建模插件体系结构。所述工具和技术例如：Traffic IQ、IDSInformer、Nmap(Network Mapper，网络映射器)、Stick、Snot、Sneeze、Hping等等。Traffic IQ是一款攻击模拟软件，它包含了丰富的攻击脚本库，涵盖了蠕虫、后门木马与间谍件、DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)，以及针对Web(网页)、FTP(文件传输协议)、邮件、数据库等多种服务器和RPC(远程进程调用)远程漏洞的攻击脚本，它还提供接口供用户自定义新的攻击文件，具有良好的可扩展性。此外，Traffic IQ提供几乎所有常见协议，以帮助考察被测设备的协议支持能力。IDS Informer是一种高级包重发工具，包含一个独有的安全的包分发机制而无需任何协议和服务。IDSInformer可以允许用户在两块网卡之间传输预先定义的攻击数据，在硬件级别模拟计算机系统的操作，模拟任何一个源IP地址的目的地IP地址。而这些模拟攻击操作可以在任何一个投入运作的网络上进行，无需担心随之而来的额外的风险。这些操作都是在IDS Informer的控制之中，可以随时重复，或者根据预先定义操作发生。Nmap(Network Mapper，网络映射器)为一款开 放源代码的网络探测和安全审核的工具。Nmap的设计目标是快速地扫描大型网络，当然用它扫描单个主机也没有问题。Nmap以新颖的方式使用原始IP报文来发现网络上有哪些主机，这些主机提供什么样的服务(应用程序名和版本)，这些服务运行在什么操作系统(包含版本信息)，它们使用什么类型的报文过滤器/防火墙，以及其它功能。虽然Nmap通常用于安全审核，但许多系统管理员和网络管理员也用它来做一些日常的工作，比如查看整个网络的信息，管理服务升级计划，以及监视主机和服务的运行。Stick是一款针对IDS的拒绝服务工具，以SNORT的规则作为输入。Snot是一款针对IDS的拒绝服务工具，以SNORT的规则作为输入，Snot为一个任意包生成器，使用SNORT规则文件作为它的包信息源，可实时生成任意的未包含于规则中的信息，以牵制SNORT规则′Snot检测′的生成。Hping是一款基于命令行的TCP/IP工具，它在UNIX上得到很好地应用，一直被用作安全工具，可以用来测试网络及主机的安全。但在使用这些工具和技术进行测试的时候，测试人员发现其中存在以下一些问题： 

(1)有很多测试工具，发送了很多攻击数据包，但是SNORT检测到的警报事件常常小于攻击工具发送的数据包。这种现象有些是可以通过SNORT的检测原理来解释的，但是有更多情况是无法解释清楚的，SNORT是一个非常庞大的系统，对于数据包的过滤有很多层，攻击数据包的类型也是多种多样的，所以测试人员无法知道这些攻击数据包到底是被正常过滤了，还是在哪些环节被丢掉了。 

(2)从攻击到防御再到攻击目的地，整个进程对于测试人员来说是暗箱作业的，是不可见的，尤其在不能保证环境、攻击工具、检测工具完全可靠性的情况下，测试人员很难对测试结果做出一个准确的令人信服的判断。 

(3)此外，在移植SNORT的时候，会发现SNORT系统庞大，工作模块众多。移植的时候技术人员经常会问，哪些模块可以卸载掉？哪些检测效率低下？哪些模块在防御中起到主要作用？虽然以上问题技术人员可以通过分析其源代码略知一二，但是如果能有一种检测工具或方法可以测试出每一项具体数据就更佳了。 

发明内容