1、ICS 33.040.40;33.200 M 54 中华人民ft -、道自和国国家标准GB/T 26268-2010 网络入侵检测系统测试方法Test method for network intrusion detection system 2011-01-14发布数码防伪/中华人民共和国国家质量监督检验检茂总局中国国家标准化管理委员会2011-06-01实施发布GB/T 26268-2010 目次前言.Illl 范围.2 规范性引用文件-3 术语和定义4 缩略语.25 测试环境.6 接口测试.47 系统功能测试.4 8 系统性能.13 附录A(资料性附录)典型攻击的类型附录B(资料性附录)
2、常用的编码格式介绍四参考文献.20 I GB/T 26268-2010 剧吕本标准是网络入侵检测系统系列标准之一。该系列标准的名称如下:一一网络入侵检测系统技术要求;一一网络入侵检测系统测试方法。网络入侵检测系统技术要求是本标准的技术依据,在使用时需与其配套使用。本标准的附录A和附录B均为资料性附录。本标准由中华人民共和国工业和信息化部提出。本标准由中国通信标准化协会归口。本标准起草单位:工业和信息化部电信研究院、北京启明星辰信息技术有限公司。本标准起草人:周开波、张治兵、郝春光、吴海民。皿GB/T 26268-2010 网络入侵检测系统测试方法1 范围本标准规定了网络入侵检测系统的接口测试、
3、系统功能测试和性能测试等测试内容和相应的测试方法。本标准适用于网络入侵检测系统及相关设备。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T 26269一2010网络入侵检测系统技术要求YD/T 1141-2007 以太网交换机测试方法3 术语和定义下列术语和定义适用于本标准。3. 1 报警alert 报警是指网络入侵检测系统在检测到入侵行为时,发布给具有系统管理角色
4、实体的消息。3.2 攻击attack 攻击是指任何危及计算机资源与网络资源完整性、机密性或可用性的行为。3.3 自动晌应automated response 自动响应是指网络入侵检测系统在发现攻击后自发采取的保护行为。3.4 躲避evasion 躲避是指入侵者发动攻击,而又不希望被发现而采取的行为。3.5 漏报false negatives 漏报是指一个攻击事件未被网络入侵检测系统检测到而造成的错误。3.6 误报false positives 误报是指系统把正常行为作为入侵攻击而进行报誓,或者把一种周知的攻击错误报告为另一种攻击而导致系统错误响应。3. 7 3.8 防火墙firewall 在网
5、络之间执行访问控制策略的一个或一组设备。入侵intrusion 同攻击含义。1 G/T 26268-2010 3.9 入僵栓测intrusion detection 入侵检测是对入侵行为的发觉。它从IP网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现是否有违反安全策略的行为或遭到人侵的迹象。3. 10 3. 11 3.12 入侵检测系统Intrusion Detection System (IDS) 进行入侵检测并依据既定的策略采取一定的响应措施的软件与硬件的组合。网络入侵检测系统Network Intrusion Detection System (NIDS) 使用IP网络数据
6、包作为数据源的入侵检测系统。策略policy 入侵检测系统的策略是指对于IP网络中的攻击事件采取何种响应方式和响应条件。多个策略构成策略集。3. 13 规则rule 入侵检测规则包含了对网络中攻击事件进行评判的依据及对该事件采用的策略,多个规则构成规则集。3. 14 特征signatute 入侵检测系统的特征是使入侵检测系统在攻击行为发生时触发事件的依据。多个特征可以构成特征库。3.15 简单网络管理协议陆阱SNMP Trap 简单网络管理协议陷阱是指由于发生某个网络事件,触发特定的网络设备发送相应的数据。4 缩略语下列缩略语适用于本标准。ARP Address Resolution Prot
7、ocol 地址解析协议BGP Border Gateway Protocol 边界网关协议BO Back Orfice 后门DNS Domain N ame Server 域名服务器FTP File Transfer Protocol 文件传输协议HTTP Hypertext Transfer Protocol 超文本传输协议ICMP Internet Control Message Protocol 互联网控制消息协议IP Internet Protocol 因特网协议OSPF Open Shortest Path First 开放最短路径优先POP3 Post Office Protoco
8、l 3 邮局协议的第3个版本RIP Routing Information Protocol 路由信息协议SN岛1PSimple Network Management Protocol 简单网络管理协议S岛1TPSimpleMail Transfer Protocol 简单邮件传输协议SUT System Under Test 被测系统TCP Transmission Control Protocol 传输控制协议UDP User Datagram Protocol 用户数据报协议2 GB/T 26268-2010 5 测试环境在图1中,流量发生器主要用于产生背景流量。背景流量可以是接近实际的
9、业务流,也可以是UDP或TCP数据流。端口Pl和P2中的数据流是流量发生器产生的数据流。流量发生器与交换机之间的数据交换是双向的。被测IDS监测交换机的镜像端口P3,交换机与被测IDS之间的数据交换是单向的。控制台流量发生器交换机SUT 被测IDS图1测试环境1在图2中,流量发生器主要用于产生背景流量,攻击发生器用于产生攻击,攻击目标是被攻击的主机或服务器。背景流量可以是接近实际的业务流,也可以是UDP或TCP数据流。攻击发生器产生的攻击流量和流量发生器的背景流量混合后发送给攻击目标,然后测试SUT是否能够正常检测到入侵行为。端口Pl和P2中的数据流是攻击发生器发出的攻击与流量发生器产生的背景
10、流量的混合数据流。流量发生器与交换机之间的数据交换是双向的,攻击发生器与攻击目标之间的数据交换也是双向的。被测IDS监测交换机的镜像端口P3,交换机与被测IDS之间是单向数据传输。攻击发生器控制台流f主发生器交换机SUT 被测IDS圄2测试环境2攻击目标3 GB/T 26268-2010 在图3中,流量发生器主要用于产生背景流量,攻击发生器用于产生攻击,攻击目标是被攻击的主机或服务器。背景流量可以是接近实际的业务流,也可以是UDP或TCP数据流。攻击发生器产生的攻击流量和流量发生器的背景流量混合后发送给攻击目标,然后测试SUT是否能够正常检测到入侵行为。SUT根据检测到的入侵行为与网络设备或网
11、络安全设备互动,阻断正在进行的人侵行为。端口P1和P2中的数据流是攻击发生器发出的攻击与流量发生器产生的背景流量的混合数据流。流量发生器与交换机之间的数据交换是双向的,攻击发生器与攻击目标之间的数据交换也是双向的。被测IDS监测交换机的镜像端口P3,交换机与被测IDS之间是单向数据传输。SUT与防火墙/交换机/路由器之间传输控制信息,用虚线连接。控制台6 接口测试流量发生器交换机二CSUT 被割IDS控制通道固3测试环境3攻击目标10/100Base-T接口、1000Base-SX、1000Base-LX接口测试要求应符合YD/T1141-2007的规定。7 系统功能测试各项功能的技术要求应符
12、合GB/T26269-2010的规定。7. 1 协议分析功能测试编号:1 测试项目:协议分析功能测试测试目的:验证SUT可以分析、译码基于TCP/IP的协议测试配置:测试环境l测试过程:1.按测试环境连接设备;2.交换机将端口P1出入流量镜像到端口P3;3.被测系统SUT在交换机P3端口监视流量;4.从流量发生器端口1向端口2发送ARP、ICMP、DNS、RIP、OSPF、BGP、HTTP、FTP、TELNET、SMTP、POP3数据流。4 GB/T 26268-2010 预期结果:在步骤4中,SUT应能正常监视数据流,对数据流进行分析、译码并提取数据流特征信息(数据流的特征信息至少包括源MA
13、C地址、目的MAC地址、源E地址、目的IP地址、协议类型和协议内容)。判定原则:应符合预期结果要求,否则为不合格。7.2 攻击识别测试编号:2测试项目:攻击类型测试测试目的:验证SUT可以识别的攻击类型测试配置:测试环境2测试过程:l.按测试环境连接设备;2.交换机将端口Pl出人的数据流镜像到端口P3;3.配置SUT的检测策略为最大策略集;4.被测系统SUT在交换机P3端口监视数据流;5.攻击发生器从事件库中选择具有不同特征的多个事件,组成攻击事件测试集。选取的事件至少应包括如下几类z1) 端口扫描类事件CTCP端口扫描、UDP端口扫描、ICMP分布式主机扫描); 2) 拒绝服务类事件CSyn
14、Flood、UDPFlood、ICMPFlood,IGMP拒绝服务); 3) 后门类事件CBO、Netbus、Dolly); 4) 蠕虫类事件(红色代码、冲击波、振荡波); 5) 溢出类事件CFTP_命令溢出、SMTP_HELO_缓冲区溢出、POP3_foxmail_5.O_缓冲区溢出、T elnet_Solaris_ telnet_缓冲区溢出、HTTP_IIS_Unicode_漏洞、MSSQL2000_远程溢出、FTP_AIX_溢出漏洞); 6) 强力攻击和弱口令类事件CSMTP口令探测、HTTP口令探测、FTP口令探测、MSSQLSERVER_弱口令、FTP_弱口令、POP3_弱口令)。预
15、期结果:在步骤5中,SUT应能正确报告相应的入侵事件。报告的内容应包括事件名称、攻击掘地址、攻击目的地址、事件发生时间以及重要级别等。判定原则:应符合预期结果要求,否则为不合格。7.3 躲避识别测试编号:3测试项目:躲避识别-一IP分片重组测试测试目的:验证SUT可以识别IP分片之后的攻击测试配置:测试环境25 G/T 26268-2010 测试过程:1.按测试环境连接设备;2.交换机将端口凹的数据流镜像到端口P3;3.配置SUT的检测策略为最大策略集;4.被测系统SUT在交换机P3端口监视数据流;5.攻击发生器发送经过分片之后的在测试编号2中通过测试的攻击。预期结果:在步骤5中,SUT应能正
16、确报告相应的人侵事件。判定原则:应符合预期结果要求,否则为不合格。测试编号:4测试项目:躲避识别一-TCP流重组测试测试目的:验证SUT可以识别利用TCP流重组进行的攻击测试配置:测试环境2测试过程z1.按测试环境连接设备;2.交换机将端口Pl的数据流镜像到端口P3;3.配置SUT的检测策略为最大策略集;4.被测系统SUT在交换机P3端口监视数据流;5.攻击发生器发送经过分片和乱序的TCP攻击,所选的TCP攻击是在测试编号2中通过测试的攻击。预期结果z在步骤5中,SUT应能正确报告相应的入侵事件。判定原则:应符合预期结果要求,否则为不合格。测试编号:5测试项目:躲避识别一一端口重定向测试测试目
17、的:验证SUT可以识别利用协议端口重定向进行的攻击测试配置:测试环境2测试过程:1.按测试环境连接设备;2.交换机将端口凹的数据流镜像到端口P3;3.配置SUT的检测策略为最大策略集;4.被测系统SUT在交换机P3端口监视数据流;5.攻击发生器发送协议端口重定向之后的攻击,要求发送的攻击是测试编号2中通过测试的。6 GB/T 26268-2010 预期结果:在步骤5中,SUT应能正确报告相应的入侵事件。判定原则:应符合预期结果要求,否则为不合格。测试编号:6测试项目:躲避识别一一特殊编码格式测试测试目的z验证SUT可以识别利用特殊编码格式进行的攻击测试配置:测试环境2测试过程:1.按测试环境连
18、接设备;2.交换机将端口凹的数据流镜像到端口P3;3.配置SUT的检测策略为最大策略集;4.被测系统SUT在交换机P3端口监视数据流;5.攻击发生器发送特殊编码格式(至少包括UTF-8编码)的攻击,要求发送的攻击是测试编号2中通过测试的。预期结果:在步骤5中,SUT应能正确报告相应的入侵事件。判定原则:应符合预期结果要求,否则为不合格。7.4 报警功能测试编号:7测试项目z报警功能测试目的:验证SUT在检测到入侵事件时,可以将报警信息以邮件、SNMPTrap、报警灯、短消息等至少一种形式提交给具有管理角色的实体测试配置:测试环境2测试过程:1.按测试环境连接设备;2.交换机将端口凹的数据流镜像
19、到端口P3;3.配置SUT的检测策略为最大策略集;4.被测系统SUT在交换机P3端口监视数据流;5.攻击发生器发送选定的在测试编号2中通过测试的攻击。预期结果:在步骤5,SUT应能检测到入侵事件,并将事件以设定的方式报告给管理者。报告的事件内容至少应包括:攻击源IP地址、目的IP地址、发生时间、事件类型、事件内容、事件级别。判定原则:应符合预期结果要求,否则为不合格。7 GB/T 26268-2010 7.5 设备联动测试编号:8测试项目:设备联动测试目的z验证SUT在检测到入侵事件时,可以通过相应的控制方式控制其他的网络设备或安全系统测试配置:测试环境3测试过程:1.按测试环境连接设备;2.
20、交换机将端口凹的数据流镜像到端口P3;3.配置SUT的检测策略为最大策略集;4.被测系统SUT在交换机问端口监视数据流;5.攻击发生器发送在测试编号2中通过测试的攻击。预期结果:在步骤5,SUT应能检测到入侵事件,并通知指定的网络设备(例如交换机或路由器)或安全系统(例如防火墙)进行联动,网络设鲁或安全系统阻断该入侵行为。判定原则:应符合预期结果要求,否则为不合格。测试编号:9测试项目:实时切断会话连接测试目的:验证SUT在检测到入侵事件时,可以通过发送特定的阻断信息来实现阻断当前连接测试配置=测试环境3测试过程:1.按测试环境连接设备;2.交换机将端口Pl的数据流镜像到端口P3;3.被测系统
21、SUT在交换机?3端口监视数据流;4.攻击发生器发送在测试编号2中通过测试的攻击。预期结果:在步骤4,SUT应能检测到入侵事件,并发送特定的阻断信息(例如TCPReset)来阻断当前连接。判定原则:应符合预期结果要求,否则为不合格。理一管EE色H-m一角-1: 理一号一目一管一编一项一一试一试一一测一测一7llLlt-L8 GB/T 26268-2010 测试目的:验证SUT可以采用不同的角色进行管理测试配置:测试环境3测试过程:1.按测试环境连接设备;2.流量发生器产生任意的背景流量,攻击发生器发出任意的攻击;3.创建一个属于用户管理角色的用户A;4.创建一个属于系统管理角色的用户队5.创建
22、一个属于审计管理角色的用户Ca预期结果z在步骤3中,创建的用户A可以生成、删除系统管理角色的账号,调整系统管理角色对应账号具体的操作权限,但用户A不能调整自身和审计管理角色的权限;在步骤4中,创建的用户B具有对IDS的管理权限,例如配置入侵检测规则、查看入侵检测日志、报警响应,但无用户管理和用户系统操作日志审计功能;在步骤5中,用户仅具有对系统操作日志的查看、备份和删除的权限,可以进行可选的用户审计配置、审计日志的完整性检查及登陆失败的处理。判定原则:应符合预期结果要求,否则为不合格。测试编号:11测试项目z设备管理测试目的:验证SUT中具有管理角色的用户可以查看到设备的相关信息测试配置:测试
23、环境3测试过程:1.按测试环境连接设备;2.流量发生器产生任意的背景流量,攻击发生器发出任意的攻击;3.创建一个属于系统管理角色的用户。预期结果:在步骤3中,创建的用户可以查看网络入侵检测系统的网络接口状态、组件的工作状态、当前日志文件的大小、CPU占用率、内存占用率、存储器占用率以及软硬件版本信息;管理员可以配置以上网络入侵检测系统组件的参数以及状态;设置管理接口的通讯参数;启动或者停止系统运行。判定原则:应符合预期结果要求,否则为不合格。测试编号:12测试项目z规则管理测试目的z验证SUT的规则管理功能9 G/T 26268-2010 测试配置:测试环境2测试过程:1.按测试环境连接设备;
24、2.流量发生器产生任意的背景流量,攻击发生器发出任意的攻击;3.创建一个属于系统管理角色的用户;4.查询当前的策略配置,增加、删除与修改检测规则。预期结果:在步骤3中,创建的用户应具备以下功能z可以查询当前的策略配置,可以根据需要增加、删除与修改检测规则;对于系统内置的人侵检测规则,用户可以根据需要进行修改;可以导人和导出人侵检测规则。判定原则:应符合预期结果要求,否则为不合格。测试编号:13测试项目z升级管理测试目的:验证SUT的升级功能测试配置:测试环境3测试过程:1.接测试环境连接设备;2.流量发生器产生任意的背景流量,攻击发生器发出任意的攻击;3.创建一个属于系统管理角色的用户;4.用
25、户对系统软件和人侵检测特征库升级。预期结果z在步骤4中,系统软件和入侵事件特征库升级完成后工作正常。人侵事件特征库升级完成后不|重启系统就能生效。判定原则z应符合预期结果要求,否则为不合格。7.7 日志功能测试编号:14测试项目z系统操作日志测试目的:验证SUT的操作日志是否有效记录用户的行为测试配置:测试环境2测试过程:1.按测试环境连接设备;2.流量发生器产生任意的背景流量,攻击发生器发出任意的攻击;3.创建一个属于系统管理角色的用户;4.用户登陆SUT,进行设备管理操作。10 GB/T 26268-2010 预期结果z在步骤4中,用户的登陆及操作应记入系统操作日志。日志的内容应至少包括:
26、操作者、操作时间、操作内容和是否成功等字段。判定原则:应符合预期结果要求,否则为不合格。测试编号:15测试项目z入侵日志测试目的:验证SUT在检测到人侵事件时,将入侵事件记录到日志中测试配置:测试环境2测试过程:1.按测试环境连接设备;2.交换机将端口P1的数据流镜像到端口P3;3.配置SUT的检测策略为最大策略集;4.被测系统SUT在交换机P3端口监视数据流;5.攻击发生器发送测试编号2中SUT可以识别的攻击。预期结果:在步骤5,SUT应能检测到入侵事件,并将入侵事件记录到日志中。记录的内容至少应包括事件主体、事件客体、发生时间、事件类型、事件内容、事件级别。判定原则z应符合预期结果要求,否
27、则为不合格。7.8 审计功能测试编号:16测试项目:审计功能测试目的:验证SUT的审计功能测试配置z测试环境2测试过程:1.按测试环境连接设备;2.流量发生器产生任意的背景流量,攻击发生器发出任意的攻击;3.创建一个属于系统管理角色的用户;4.用户登陆SUT,进行设备管理操作;5.创建一个属于审计管理角色的用户;6.用户登陆SUT,进行审计相关操作。预期结果:在步骤4中,用户可以查询和审阅入侵检测日志,但不能删除日志;在步骤6中,用户可以查询和审阅全部系统操作日志,并可以在确认后删除日志数据。11 GB/T 26268-2010 判定原则:应符合预期结果要求,否则为不合格。7.9 系统自身安全
28、测试编号:17测试项目z系统安全测试目的:验证系统自身的安全性能测试配置z测试环境2测试过程:1.按测试环境连接设备;2.流量发生器发出任意的背景流量,攻击发生器发出任意的攻击;3.用管理端口登陆SUT,给SUT配置IP地址;4.查看SUT除管理端口之外其他端口的状态;5.在组件之间的通信网络上加上协议分析仪查看组件之间的通信数据。预期结果:系统没有启用除远程管理外的任何Internet服务;组件间的通信已加密的,不能是明文数据。判定原则:应符合预期结果要求,否则为不合格。测试编号:18测试项目z管理安全测试目的:验证系统管理的安全性能测试配置:测试环境2测试过程:1.按测试环境连接设备;2.
29、流量发生器发出任意的背景流量,攻击发生器发出任意的攻击;3.登录系统,检查是否在执行所有功能之前要求首先进行身份认证;4.检查系统的安全功能是否可定义用户鉴别尝试的最大允许失败次数;5.检查系统的安全功能是否可定义当用户鉴别尝试失败连续达到指定次数后,采取相应的措施(如锁定该账号); 6.尝试多次失败的用户鉴别行为,检查到达指定的鉴别失败次数后,系统是否采取了相应的措施,并生成了审计事件;7.登陆SUT后,不做任何操作;8.查看操作日志。12 GB/T 26268-2010 预期结果:系统应具备定义用户鉴别尝试的最大允许失败次数的功能;系统应定义当用户鉴别尝试失败连续达到指定次数后,采取相应的
30、措施(如锁定该账号); 当用户鉴别尝试失败连续达到指定次数后,系统应锁定该账号,并将有关信息生成审计事件;最多失败次数仅由授权管理员设定;管理员在设定时间内没有任何操作,则自动退出。如要进行其他操作,必须重新登录。设定最大超时时间只能由授权管理员进行操作;操作日志应记录所有的登录与操作事件。判定原则z应符合预期结果要求,否则为不合格。8 系统性能测试编号:19测试项目:最大处理能力测试目的:验证系统在检测率下能够正常报警的最大流量测试配置:测试环境2测试过程:1.按测试环境连接设备;2.在指定的网络带宽(百兆网络、千兆网络、或厂商声明的其他网络带宽)测试环境下,攻击发生器产生有状态背景流,逐渐
31、增加背景流量强度,随机选择攻击的源地址、目的地址和端口,测试被测NIDS在各种环境下对网络数据包的最大处理能力;3.记录在100%的检测率下,系统能处理的最大流量。预期结果:最大处理能力应该达到接口标称速率的80%。判定原则:应符合预期结果要求,否则为不合格。测试编号:20测试项目:检测率测试目的:验证被监视网络在受到入侵攻击时,系统能够正确报曹的概率测试配置:测试环境2测试过程:1.按测试环境连接设备;2.流量发生器产生有状态的背景流,如TCP流,流量强度分别加到标称速率的25%、50%、75%、99%;3.攻击发生器发送一定数量不同类型的已知攻击;4.记录此时SUT检测到的攻击数。13 G
32、B/T 26268-2010 预期结果:检测率=SUT检测到的攻击数/攻击发生器发送的攻击数测试编号:21测试项目:误报率测试目的:验证系统把正常行为作为入侵攻击而进行报警和已知的一种攻击报成另一种攻击的概率测试配置:测试环境2测试过程:1.按测试环境连接设备;2.利用误报测试工具或通过人工构造数据包的方式,生成虚假的攻击包,查看网络型入侵检测系统是否报曹;3.依据已有的事件库,生成多个己知的攻击事件,查看网络型入侵检测系统是否正确报告出了事件名称。预期结果:1.对虚假的攻击包,网络型入侵检测系统不应该报警,如果有报誓,则该条报警就是误报;2.对己知的攻击,系统所报告的入侵事件名称应正确元误,
33、否则即为误报;3.记录测试的事件总数量和系统的误报数量;4.误报率=SUT检测到的攻击数/攻击发生器发送的正常行为。测试编号:22测试项目:漏报率测试目的:验证被检测网络受到入侵攻击时,系统不能正确报警的概率测试配置:测试环境2测试过程:1.按测试环境连接设备;2.从已有的事件库中选择具有不同特征的多个事件,组成攻击事件测试集,发送攻击事件测试集中的所有事件,记录系统的检测结果;3.选取部分攻击事件作为测试基线;选取64字节、128字节、512宇节、1518字节大小的数据包作为背景流量,分别以满负荷背景流量的25%、50%、75%、99%作为背景流量强度,将选取的基线攻击发送多次(如100次)
34、,记录系统的检测结果。预期结果:1.对攻击事件测试集的所有攻击,系统应报告相应的入侵事件,未报告的事件即为漏报;2.对测试基线的事件,系统应检测到相应的攻击次数(如100次)并报告,未报告的事件即为漏报;记录测试的事件总数量(总发送次数)和系统漏报的攻击数量。14 GB/T 26268-2010 测试编号:23测试项目:每秒并发TCP会话数测试目的z验证网络入侵检测系统每秒最大可以增加的TCP连接数测试配置:测试环境2测试过程:1.按测试环境连接设备;2.攻击发生器发送一定数量的已知入侵攻击,要求这些攻击是在测试编号2中通过测试的;3.在SUT的检测率下逐渐增加背景流量发生器的每秒并发TCP连
35、接数;4.当每秒并发连接数达到某个值后,SUT的检测率由100%开始下降,这个值就是每秒并发TCP会话数。预期结果:百兆比网络入侵检测系统每秒并发TCP会话数不应小于5000条/s,千兆比网络入侵检测系统每秒并发TCP会话数不应小于50000条/so判定原则z应符合预期结果要求,否则为不合格。测试编号:24测试项目:最大并发TCP会话数测试目的z验证网络人侵检测系统最大可以同时支持的TCP连接数测试配置:测试环境2测试过程=1.按测试环境连接设备F2.攻击发生器发送一定数量的入侵攻击,要求这些攻击是在测试编号2中通过测试的;3.在SUT的检测率下逐渐增加背景流量发生器的并发TCP连接数;4.当
36、TCP并发连接数达到某个值后,SUT的检测率由100%开始下降,这个值就是最大并发TCP会话数。预期结果:百兆比网络入侵检测系统最大并发TCP会话数不应小于10000条,千兆比网络入侵检测系统最大并发TCP会话数不应小于100000条。判定原则:应符合预期结果要求,否则为不合格。测试编号:25测试项目:最大规则数测试目的:验证网络入侵检测系统允许管理员配置的入侵检测规则条目的最大数目15 GB/T 26268-2010 测试配置:测试环境3测试过程z1.按测试环境连接设备;2.流量发生器分别产生被测NIDS端口标称速率的25%、50%、75%和99%的背景流量;3.攻击发生器发出测试编号2中通
37、过测试的攻击;4.调整入侵规则数,在不同的背景流强度下测试被测NIDS的检测率;5.记录检测率为100%时,被测NIDS可配置的最大入侵检测规则数。预期结果:与设备的声明值相符合。判定原则:应符合预期结果要求,否则为不合格。备注:最大规则数是指被测NIDS的检测率为100%条件下入侵检测规则条目的最大数目。背景流强度低时对应的最大规则数应该多,背景流强度高时对应的最大规则数少。16 GB/T 26268-2010 附录A(资料性附录)典型攻击的类型攻击发生器的攻击库包括传统的一些典型攻击和测试时流行的、对网络危害较大的攻击。典型的攻击要包括各种利用常用协议的攻击,目前主要包括以下几类: 端口扫
38、描类事件(如TCP端口扫描、UDP端口扫描、ICMP分布式主机扫描等h 拒绝服务类事件(如SynFlood、UDPFlood、ICMPFlood、IGMP拒绝服务等); 后门类事件(如BO、Netbus、Dolly等); 蠕虫类事件(如红色代码、冲击波、振荡技等); 溢出类事件(如FTP_命令溢出、SMTP_HELO_缓冲区溢出、POPLfoxmail_5.0_缓冲区溢出、Telnet_Solaris telnet_缓冲区溢出、HTTP_IIS_Unicode_漏洞、MSSQL2000_远程溢出、FTP_AIX_溢出漏洞等h 强力攻击和弱口令类事件(如SMTP口令探测、HTTP口令探测、FTP
39、口令探测、MSSQLSERVER_弱口令、FTP弱口令、POP3_弱口令等。最新流行的危害较大的攻击主要参考如下机构发布的漏洞及攻击信息:国家计算机病毒应急处理中心发布的病毒监测报告;国家计算机网络应急技术处理协调中心发布的漏洞公告:国际权威计算机漏洞发布机构CVE(CommonVulnerabilities and Exposures)和OSVDB(TheOpen Source Vulnerability Database)公布的新漏洞。国家计算机病毒应急处理中心是中国国内权威的计算机病毒发布机构,每周都会发布级别较高的、危害较大的计算机病毒。国家计算机网络应急技术处理协调中心(简称CNCE
40、RT/CC) ,为国家公共互联网、国家主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持,及时收集、核实、汇总、发布有关互联网安全的权威性信息。CVE(CommonVulnerabilities and Exposures)是国际知名的漏洞发布权威机构,其成员包括商业安全工具厂商,研究机构,政府机构和一些卓越的安全专家。OSVDB(开源漏洞数据库)是一些安全行业的自愿者组成的组织,该组织把英特网漏洞的免费数据公布于网上,并且得到了安全业界的认同。17 GB/T 26268-2010 附录B(资料性附录)常用的编码格式介绍常用编码格式主要有ASCII编
41、码和Unicode编码两大类,这两类编码方式又包括几种不同的编码方法。ASCII编码主要包括如下几种编码方式:a) 十六进制编码十六进制编码方法是对URL进行编码的符合RFC要求的一种方式,也是最简单的URL编码方法。该方法只须在每个编码字符的十六进制字节值前,加一个%。如果我们想对大写的A进行十六进制编码(ASCII的十六进制值是Ox41),编码的结果是z%41 =A。b) 双百分号十六进制编码双百分号十六进制编码是基于正常的十六进制编码。具体的方法是将百分号编码并后接信息编码的十六进制值。对大写的A进行编码,结果是:&.#8226;%2541 =A 百分号的编码是%25(等价于%勺,该值解
42、码后变成了%41(等价于A勺。这种编码方法受到微软IIS的支持。c) 双四位十六进制编码双四位十六进制编码也是基于标准的十六进制编码,每个四位十六进制使用标准的十六进制编码方法。例如,对大写的A编码,结果是:& # 8226; % %34%31 =A 正常的A,十六进制编码是%410双四位十六进制编码的方法是对每个四位进行编码,因此,4被编码为%34(这是数字4的ASCII值),第二个四位,1,被编码为%31(这是数字1的ASCII值)。在第一次URL解码后,四位值变成了数字4和数字1。因为4和1前边有一个%,第二遍会将%41解码为大写的A。d) 首四位十六进制编码首四位十六进制编码类似于双四
43、位十六进制编码,不同之处是只有第一个四位被编码。因此对于大写的A,双四位十六进制编码后为%34%31,而按照首四位十六进制编码结果为:%341 =A 像以前一样,第一次URL解码以后,%34被解码为数字4,因此第二次解码时的对象就成了%41,最后的结果依然是大写的人e) 后四位十六进制编码后四位十六进制编码与首四位十六进制编码完全相同,只不过只执行标准解码的后四位。因此大写A的编码结果是:%4%31 =A 第一次解码时,%31解码为数字1,第二次解码的对象就是%41,最终的结果是A。18 GB/T 26268-2010 Unicode编码主要包括如下几种编码:a) GB 2312-1980编码
44、GB 2312-1980一共收录了7445个字符,包括6763个汉字和682个其他符号。汉字区的内码范围高字节从BO-F7,低字节从A1-FE,占用的码位是67680其中5个空位是D7FA-D7FE。b) GBK编码GBK字符集是GB2312 1980字符集的扩展,包括汉字区和图形符号区。c) GB 18030-2005编码GB 180302005(信息技术中文编码字符集中编码字符采用多字节编码,每个字可以由1个、2个或4个字节组成。d) UTF-8编码UTF-8编码允许大于单字节(。一255)的值以字节流的形式表示。HTTP服务器使用UTF-8编码来表示大于Ascrr代码范围之外(1 127
45、)的Unicode码。UTF-8工作的时候,字节的高位有特殊的含义。两字节的UTF-8和三字节的UTF-8序列表示如下:110xxxxx 10xxxxxx (二字节序列)1110 xxxx 10 xxxxxx 10 xxxxxx (三字节序列)UTF-8序列的第一字节是最重要的,通过它你可以知道这个UTF-8序列有多少字节,这是通过检查第一个0之前的1的个数来获得的。例子中,两字节的UTF-8序列,0之前的高位有两个1。第一个UTF-8字节0后边的位可以用来计算最终的值。后边的UTF-8字节格式相同,最高位是1,次高位是0,两位用于鉴别UTF-8,剩下的6位用来计算最终的值。为了对URL进行U
46、TF-8编码,每个UTF-8字节都是用一个百分号进行转换。例如:%CO%AF=/。e) UTF-16编码UTF-16编码使用了一个双宇节的编码单元,编码方式与ASCrr编码类似。编码单元的值与OxOOOO到OxFFFF范围内的任意码点的码点值相同,对于该范围内的字符,UTF-16是固定长度的双字节编码。19 GB/T 26268-2010 20 参考文献1J GB 2312-1980 信息交换用汉字编码字符集基本集2J GB 18030-2005信息技术中文编码字符集OFON|NNH因。华人民共和国家标准网络入侵检测系统测试方法GB/T 26268-2010 国由祷中国标准出版社出版发行北京复兴门外三里河北街16号邮政编码:100045网址电话:6852394668517548 中国标准出版社秦皇岛印刷厂印刷各地新华书店经销* 印张1.75 字数39千字2011年5月第一次印刷开本880X12301/16 2011年5月第一版司k27.00元如有印装差错由本社发行中心调换版权专有侵权必究举报电话:(010)68533533定价书号:155066. 1-42374 GB/T 26268-2010 打印H期:2011年6月8日F002
