[发明专利]用于测试入侵检测系统的测试装置及测试方法无效
| 申请号: | 200810181004.9 | 申请日: | 2008-11-19 |
| 公开(公告)号: | CN101447991A | 公开(公告)日: | 2009-06-03 |
| 发明(设计)人: | 钟力;何金勇 | 申请(专利权)人: | 中国人民解放军信息安全测评认证中心 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/26 |
| 代理公司: | 国防专利服务中心 | 代理人: | 周玉秀 |
| 地址: | 100016*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 用于 测试 入侵 检测 系统 装置 方法 | ||
1.一种用于测试入侵检测系统的测试装置,包括:
网络攻击脚本生成模块,用于产生测试所需的网络攻击脚本,其首先从真实的历史网络攻击数据中提取一次完整的网络攻击,然后通过对攻击包进行分析,生成网络攻击会话的环境描述文件和数据文件,并将上述两个文件存储到网络攻击脚本库中;
网络攻击脚本库模块,用于维护网络攻击脚本,形成测试的基准库;
网络攻击脚本解析模块,用于对网络攻击脚本进行解析,所述网络攻击脚本解析模块首先根据测试策略选择相应的测试用例,然后对该测试用例对应的环境描述文件和数据文件进行解析;
网络攻击生成模块,用于根据解析得到的脚本信息产生网络攻击会话;该模块根据实际测试环境,对网络攻击脚本解析模块解析得到的攻击数据包相关参数进行重新配置并重新计算数据包校验和后,产生真实的、有状态的网络攻击会话;
所述网络攻击脚本解析模块在解析完一个测试用例后,会将解析结果发送到网络攻击生成模块,由网络攻击生成模块完成一次完整的网络攻击会话,然后再根据测试策略继续下一个测试用例,待测试策略中所有测试用例测试完成以后,此次测试完成;
报告模块,用于根据测试结果生成测试报告。
2.根据权利要求1所述的测试装置,其特征在于,所述网络攻击会话的环境描述文件包括测试用例的ID、名称、描述、功能类型和文件名称,针对 IDS的脆弱性ID和脆弱性值,策略类型,以及网络攻击的源IP和目的IP。
3.根据权利要求1所述的测试装置,其特征在于,所述网络攻击会话的数据文件,包括此次攻击所需的全部网络会话数据,所述会话数据按照网络攻击发生的时间顺序存储。
4.根据权利要求2所述的测试装置,其特征在于,所述策略类型包括CGI脚本、WEB脚本、拒绝服务脚本、缓冲区溢出脚本和木马后门脚本。
5.根据权利要求1所述的测试装置,其特征在于,所述网络攻击脚本库模块的脚本管理包括脚本的添加、删除和升级。
6.根据权利要求1所述的测试装置,其特征在于,所述网络攻击脚本解析模块对于环境描述文件,解析得到测试用例的ID、名称、描述、功能类型和文件名称,针对IDS的脆弱性ID和脆弱性值,策略类型,以及网络攻击的源IP和目的IP;对于数据文件,顺序解析出整个网络攻击会话中的所有数据包,以及每个数据包对应的结构信息,包括数据包的源MAC地址、目的MAC地址、源IP、目的IP、源端口、目的端口、协议类型、序列号、数据长度和数据内容。
7.根据权利要求1所述的测试装置,其特征在于,所述网络攻击生成模块首先构建客户端和服务端两个数据包发送程序,分别模拟攻击机和IDS防护网段内的一台受攻击的主机,然后根据网络攻击脚本模块解析出的源IP和目的IP判断哪个数据包由客户端发送,哪个数据包由服务端发送;如果数据包由客户端发送,则修改数据包的包头信息,将源MAC、IP地址替换为客户端所对应网卡的MAC、IP地址,将目的MAC、IP地址替换为服务端所对应网 卡的MAC、IP地址,并重新计算数据包的校验和,然后将重组后的数据包通过客户端所对应的网卡进行发送;如果数据包由服务端发送,则也修改数据包中的包头信息,将源MAC、IP地址替换为服务端所对应网卡的MAC、IP地址,将目的MAC、IP替换为客户端所对应网卡的MAC、IP地址,并重新计算数据包的校验和,并将重组后的数据包通过服务端所对应的网卡进行发送。
8.根据权利要求1所述的测试装置,其特征在于,所述测试装置进一步包括:管理模块,用于对测试过程和测试配置项进行管理。
9.一种用于入侵检测系统的测试方法,包括以下步骤:
(1)生成网络攻击脚本:首先从真实的历史攻击数据中提取一次完整的网络攻击,然后通过对攻击包进行分析,生成网络攻击会话的环境描述文件和数据文件,并将上述两个文件存储到网络攻击脚本库中;
(2)对网络攻击脚本进行解析:根据测试策略从网络攻击脚本库中选择相应的测试用例,并对该测试用例对应的环境描述文件和数据文件进行解析,还原网络攻击会话关键参数与数据;对于环境描述文件,解析得到源IP和目的IP地址,系统会根据IP地址来确定数据包的发送方向,如果数据包的源IP与环境描述文件中的源IP相等,则系统会从客户端发送这个数据包,否则,系统会从服务端发送这个数据包;对于数据文件,首先解析出每个数据包在数据文件中的偏移位置和每个数据包的长度,然后根据数据包在文件中的偏移位置和数据包的长度读取到一个完整的数据包,接着根据IP/TCP/UDP协议规范,解析出数据包的包头,包括源IP、源端口、目的IP、目的端口、校验和,最后解析出数据包中除包头外的其它部分;通过循环这一过程,能够解析出数据文件中的所有数据包,从而完成对攻击脚本的解析;
(3)产生网络攻击会话:首先构建客户端和服务端两个数据包发送程序,用于分别发送攻击机和被攻击机的攻击数据和应答数据,其次客户端和服务端重组数据文件中的每一个数据包,包括修改源MAC地址、源IP、目的MAC地址和目的IP,并重新计算数据包的校验和,然后按照网络攻击顺序来构建整个网络攻击会话,最后根据数据包源IP和目的IP的不同,选择从客户端或服务端将数据包按照顺序发送出去;
(4)测试结果评估:待所有网络攻击测试完成后,根据IDS对网络攻击的告警情况对IDS进行评估。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国人民解放军信息安全测评认证中心,未经中国人民解放军信息安全测评认证中心许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/200810181004.9/1.html,转载请声明来源钻瓜专利网。
- 上一篇:包缝机缝制品前后自动剪切线装置
- 下一篇:金樱根提取物的用途
