[发明专利]用于测试入侵检测系统的测试装置及测试方法

说明书

技术领域

本发明属于信息安全技术领域，涉及网络安全产品的测试，特别是涉及 一种用于入侵检测系统(Intrusion Detection System，简称IDS)测试的测 试装置及测试方法。

背景技术

入侵检测是一种为计算机网络提供实时保护的网络安全技术，主要是对 当前输入受护网络或受护主机中的数据进行检测，确定当前检测数据为合法 数据还是非法数据。通常，网络入侵检测系统从计算机网络系统中的若干关 键点收集网络通信的信息，如用户活动的状态和行为等，通过已建立的入侵 检测规则库来分析网络中是否有违反安全策略的行为，若发现违反安全策略 的行为则进行报警，从而提供对计算机网络系统的实时保护。

随着IDS或IDS模块的广泛应用，IDS或IDS模块的入侵检测能力、运维 管理和升级更新成了信息安全测评机构、网络管理部门和用户日益关心的事 情，他们对测试工具和方法的需求更加迫切。通常，对IDS或IDS模块的测 试是通过IDS或IDS所在网络进行网络攻击，并通过评估IDS对攻击的告警 情况来判断IDS的能力。

目前，公知的IDS或IDS模块的测试系统包括手工利用黑客工具、攻击特 征包发送和录播重放。其中，手工利用黑客工具就是直接操作黑客工具，产 生网络攻击来进行测试；攻击特征包发送通过向攻击目标发送一个或多个包 含攻击特征的数据包，来实现对IDS或IDS模块的测试；录播重放通过重新发 送捕获的历史网络攻击数据来进行测试。这些系统或方法存在如下不足：

一、手工操作黑客工具尽管能够产生真实的网络攻击，但却存在诸多问 题，例如效率太低，有的工具操作复杂，不可信，不安全，而且需要相关软 硬件环境支持，难以进行大批量的测试或重复测试，等等。集成的黑客工具 集构建的测试系统同样也存在这些问题。

二、攻击特征包发送通常通过协议分析仪实现，产生的是虚假的网络攻 击，不是完整的网络攻击(只含有攻击特征字段)，不会对攻击目标产生危害， 如果IDS或IDS模块对此告警，这就是一种成功的插入与规避攻击(Insertion and Evasion Attack)，说明IDS或IDS模块存在安全缺陷。而目前IDS或IDS模块广泛 采用了状态协议分析技术，采用这种技术后，IDS能够对网络会话的状态、真 实性和完整性进行判断，正确丢弃不完整的数据包。因此，单纯地攻击特征 包发送已经不能正确地对此类IDS或IDS模块进行测试。

三、录播重放可通过协议分析仪或专门的测试工具进行，它在网络中重 新注入历史的网络攻击数据，但这些数据是包含有错误字段的网络连接(例 如IP地址、端口、时间戳和序列号等)，并不会真正地产生危害，同样可能是 插入与规避攻击，这些数据会遭到攻击目标和IDS或IDS模块的忽略，从而也 不能对采用状态协议分析技术的IDS或IDS模块的进行正确的测试。

发明内容

本发明的目的是提供一种能够生成真实的、有状态的网络攻击会话的入 侵检测系统测试装置和测试方法，从而实现了对采用状态协议分析技术的IDS 或IDS模块的测试，并提高了IDS测试的效率和准确率。

本发明的用于入侵检测系统的测试装置，包括：网络攻击脚本生成模块， 用于产生测试所需的网络攻击脚本，其首先从真实的历史网络攻击数据中提 取一次完整的网络攻击，然后通过对攻击包进行分析后生成网络攻击会话的 环境描述文件和网络攻击会话的数据文件，并将上述两个文件存储到网络攻 击脚本库中；网络攻击脚本库模块，用于维护网络攻击脚本，形成测试的基 准库；网络攻击脚本解析模块，用于对网络攻击脚本进行解析，得到网络攻 击会话的关键参数与数据，为重新产生网络攻击会话做好准备；网络攻击生 成模块，用于根据解析得到的脚本信息产生网络攻击会话；报告模块，用于 根据测试结果生成测试报告。

其中，该测试装置还进一步包括：管理模块，用于提供测试系统的人机 接口和配置项管理。

一种用于入侵检测系统的测试方法，包括以下步骤：

(1)生成网络攻击脚本：首先从真实的历史攻击数据中提取一次完整的 网络攻击，然后通过对攻击包进行分析，生成网络攻击会话的环境描述文件 和数据文件，并将上述两个文件存储到网络攻击脚本库中；