[发明专利]一种入侵检测规则测试平台及测试方法

说明书

本申请提供一种入侵检测规则测试平台及测试方法，所述入侵检测规则测试平台包括：漏洞模拟平台，用于接受攻击行为；数据包采集器，其用于对所述漏洞模拟平台遭受的攻击行为进行采样，并进行存储；存储器，其用于存储所述数据包采集器采集的数据样本以及待测试的入侵检测规则；入侵检测规则测试引擎，其用于接收正常数据流量，并基于所述正常数据流量对存储的所述入侵检测规则进行第一测试，还用于利用所述数据包采集器采集的数据样本对所述存储的入侵检测规则进行第二测试；以及网络管理平台，其用于响应输入指令，呈现待测试的入侵检测规则，以及输出第一测试结果及第二测试结果。本申请的入侵检测规则测试平台能够自动化测试入侵检测规则。

技术领域

本申请实施例涉及计算机技术领域，特别涉及一种入侵检测规则测试平台及测试方法。

背景技术

入侵检测：入侵检测系统(intrusion detection system，简称“IDS”)是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。

SNORT：在1998年，Martin Roesch用C语言开发了开放源代码(Open Source)的入侵检测系统Snort。直至今天，Snort已发展成为一个具有多平台(Multi-Platform)、实时(Real-Time)流量分析、网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System)，即NIDS/NIPS。

Snort规则(入侵检测规格)：被snort检测软件所支持的检测规则。随着安全领域的发展，snort规则被越来越多的安全研究人员所接受，当今其已成为使用最为广泛的入侵检测规则语法之一。

由于Snort规则适用性强，所以越来越多的用户通过编写snort规则来检测网络攻击。但是如何确保编写出的snort规则是安全有效的成为目前的一大难题。通常的做法是通过人为手动攻击snort规则以对其进行验证。但是手动验证snort规则，不但操作繁琐，验证周期长，且会由于测试的不专业，不充分，导致验证效率低下，甚至是验证结果具有较大误差。

发明内容

本申请提供了一种能够自动化测试入侵检测规则的入侵检测规则测试平台及测试方法。

为了解决上述技术问题，本申请实施例提供了一种入侵检测规则测试平台，包括：

漏洞模拟平台，用于接受攻击行为；

数据包采集器，其用于对所述漏洞模拟平台遭受的攻击行为进行采样，并进行存储；

存储器，其用于存储所述数据包采集器采集的数据样本以及待测试的入侵检测规则；

入侵检测规则测试引擎，其用于接收正常数据流量，并基于所述正常数据流量对存储的所述入侵检测规则进行第一测试，还用于利用所述数据包采集器采集的数据样本对所述存储的入侵检测规则进行第二测试；以及

网络管理平台，其用于响应输入指令，呈现待测试的入侵检测规则，以及输出第一测试结果及第二测试结果。

作为优选，所述漏洞模拟平台由多台虚拟机构成。

作为优选，所述入侵检测规则测试引擎中包括多块网卡，所述第一测试为监听所述入侵检测规则测试引擎中各网卡的常驻状态，确定所述保存的入侵检测规则是否对于所述网卡上的正常数据流量产生具有攻击行为的误报。

作为优选，所述第二测试为基于所述保存的入侵检测规则遍历所述采集的数据样本，并进行分析，以确定是否具有漏报的攻击行为。

作为优选，所述入侵检测规则测试引擎以指定格式输出所述第一测试结果与第二测试结果，所述指定格式包括脚本语言对象简谱格式。

本发明同时提供一种测试方法，包括：