基于環(huán)境模擬的入侵檢測系統測試方法

此網(wǎng)絡(luò )可以模擬規模較大的、實(shí)際的網(wǎng)絡(luò )結構和設備，也可以模擬實(shí)際網(wǎng)絡(luò )中多種多樣的網(wǎng)絡(luò )服務(wù)。具體方法是利用專(zhuān)門(mén)產(chǎn)生網(wǎng)絡(luò )流量的計算機來(lái)產(chǎn)生所需要的網(wǎng)絡(luò )流量，然后使用軟件把這些流量動(dòng)態(tài)地分派給網(wǎng)絡(luò )中的節點(diǎn)。一般需要兩種產(chǎn)生流量的機器：外部流量產(chǎn)生器，產(chǎn)生模擬網(wǎng)絡(luò )和因特網(wǎng)之間的會(huì )話(huà)和流量；內部流量產(chǎn)生機器，產(chǎn)生網(wǎng)絡(luò )內部需要的會(huì )話(huà)和流量。這兩種流量產(chǎn)生器能夠產(chǎn)生比實(shí)際網(wǎng)絡(luò )上更為豐富的會(huì )話(huà)和流量，因為它們可以進(jìn)行人為的控制。流量的產(chǎn)生要考慮測試所需流量的大小以及網(wǎng)絡(luò )規模的大??；另外還需要對多種網(wǎng)絡(luò )服務(wù)和網(wǎng)絡(luò )協(xié)議進(jìn)行模擬，以及模擬一些分布式的流量，所以這樣的流量產(chǎn)生器有時(shí)要占用好幾臺性能優(yōu)越的計算機。
邊界路由器介于流量產(chǎn)生器和網(wǎng)絡(luò )環(huán)境之間，它起到劃分內部流量和外部流量的作用。邊界路由器還有向網(wǎng)內的其他路由器和設備分配流量的作用。其他的如防火墻和主機等設備與它們在實(shí)際網(wǎng)絡(luò )中的作用和位置相同。這樣的模擬環(huán)境基本上反映了真實(shí)網(wǎng)絡(luò )的情況，進(jìn)行合理的配置完全可以模擬真實(shí)網(wǎng)絡(luò )環(huán)境的技術(shù)參數、流量要求等指標，而且整個(gè)模擬環(huán)境可以與外界完全隔離開(kāi)來(lái)獨立使用。

3 IDS測試平臺
有了測試環(huán)境還不能完成IDS的測試工作，還需要針對測試環(huán)境利用軟件搭建一個(gè)測試平臺?；谏厦娴哪M網(wǎng)絡(luò )的測試環(huán)境，建立軟件測試平臺，其流程如圖3所示。

MIT在入侵檢測系統測試評估上發(fā)展了一種系統和通用的評估方法。全部工作流程包括數據集的構造、測試過(guò)程、測試結果分析，提供改進(jìn)算法的意見(jiàn)。這里提出的平臺既考慮了通用性，也考慮了實(shí)際IDS開(kāi)發(fā)環(huán)境的因素，它能夠完成上述流程的全部工作，其中的關(guān)鍵部分有流量仿真、攻擊仿真、事件合成等。
3．1 流量仿真
評估所需的網(wǎng)絡(luò )流量仿真是一項很復雜的工作。常規用于研究網(wǎng)絡(luò )性能的流量仿真方法所產(chǎn)生的數據包，不考慮數據內容，極有可能引起IDS的大量誤報。一般的IDS都工作于網(wǎng)絡(luò )層或網(wǎng)絡(luò )層之上，它們在協(xié)議規定的框架內對網(wǎng)絡(luò )數據包的內容進(jìn)行分析。因此，IDS評估環(huán)境中的網(wǎng)絡(luò )流量仿真，一定是具體到各個(gè)協(xié)議的流量仿真。流量仿真的子系統結構如圖4所示。

由于流量的產(chǎn)生不僅來(lái)自網(wǎng)絡(luò )外部，還有來(lái)自網(wǎng)絡(luò )內部其他主機的流量，這樣就需要生成兩種類(lèi)型的網(wǎng)絡(luò )流量：外部網(wǎng)絡(luò )流量和內部網(wǎng)絡(luò )流量。對應上一節中的測試環(huán)境，這兩種網(wǎng)絡(luò )流量是由測試環(huán)境中的外部流量產(chǎn)生器和內部流量產(chǎn)生器分別產(chǎn)生的。這兩種類(lèi)型的流量中又根據測試需要包含有正常的網(wǎng)絡(luò )會(huì )話(huà)流量和非正常的(有時(shí)是攻擊性的)網(wǎng)絡(luò )會(huì )話(huà)流量。