实验室环境下测试千兆入侵检测系统

　　　在上期报纸中，我们重点介绍了美国《Network World》于2003年对千兆IDS进行的模拟真实情况测试。在这期文章中，我们将主要介绍美国《Network World》于2002年在实验室环境下对千兆IDS进行的测试。 　　　

　　　测试攻击检测率

　　　测试人员测试了5种IDS。这些系统在基线测试中性能参差不齐，当测试人员将速度提高千兆时，一些IDS的性能下降多达50%。 　　　

　　　测试网络是由一台Extreme Network的Summit 5I、一台Extreme Summit 7i和两台Extreme 48交换机构成。测试人员在交换机上使用Net Optic的千兆光纤和铜分接头以及端口镜像功能将IDS连接到实验网络中。测试人员利用Agilent Network Analyzer J6800(采用1.1.15版软件)检验了网络分接头是否正常工作。 　　　

　　　测试背景数据流是由Perl脚本和运行IxWeb Version 1.25的Ixia的1600T设备生成。Ixia机架上安装了能够产生真正Web流的6块测试卡(每块测试卡具有8个端口)。Perl脚本是由测试人员自己开发，运行在基于Debian Linux的机器上。Compaq ProLiant ML350服务器用于处理资源密集型脚本。背景数据流是由HTTP、FTP、POP3、SMTP、NNTP、DNS、Telnet和SSH组成。 　　　

　　　攻击是从Windows 2000和Debian Linux机器发出。受攻击的机器是未经修补的Windows 2000和Redhat 6.0计算机。测试人员运行的攻击程序包括监视、远程缓冲区溢出、分布式与普通拒绝服务攻击以及特洛伊木马。所有攻击程序都是针对公开披露的安全漏洞，并具有已知的利用方法。 　　　

　　　千兆IDS的检测能力是按照检测到的攻击百分比、报告的准确性和反应时间来评定。测试人员首先以基线速度进行了测试，没有添加任何背景数据流，然后又以970Mbps的速度进行了测试。 　　　

　　　测试人员对每项测试都进行了三次，如果IDS在三分钟内检测到三次攻击中的两次，IDS就被认为是检测到了这种攻击。测试人员还记录了攻击被正确识别所用的时间。反应迅速的IDS所用时间在15秒以下。如果IDS在三分钟之内没有检测到攻击，测试人员就记录一次检测失败。测试人员还对IDS做出的部分检测进行了记录。部分检测是指IDS捕获到一次攻击，但不能正确标识它。例如，测试人员运行了A攻击，而IDS却报告说它检测到了B攻击。测试人员将测试结果记录为没有完全检测到攻击。 　　　

　　　从测试结果看，测试人员在一条没有其他数据流传输的线路上，向未经调整的IDS发起了28种广为人知的攻击，多数产品只检测到了一半左右的攻击。当对IDS调整后，多数产品有了一定的改善，但仍放过了相当多的攻击。 　　　

　　　检测率对性能的影响

　　　测试人员对IDS在千兆流量负载时的性能表现进行了测试。测试人员以比千兆负载略低的速度执行了测试，以确保传送所有的攻击程序。 　　　

　　　在无数据流的基线测试中，测试人员没有对IDS系统进行任何调整，但是启动了所有的特征和协议异常检测。测试人员对每一种IDS发动了28种攻击，包括拒绝服务攻击、监视与探测攻击以及旨在绕过IDS的Stick和Fragrouter攻击。总之，这些产品捕获到了大约一半的攻击。造成IDS表现不佳的原因在于一些厂商为提高性能而关闭了IDS的特征检测功能。 　　　

　　　测试人员对调整后的IDS系统进行了同样的测试。调整意味着厂商可以调节IDS的特征数据库，让IDS捕获并正确识别某一攻击。厂商可以将UDP改为TCP，反之亦然，以捕获Back Orifice攻击。厂商也可以降低TCP连接数量的临界值来捕获NMAP攻击，还可以关闭需要大量处理器时间的引擎来提高IDS的性能。 　　　

　　　一些产品在一小时之内调整完毕，一些产品则用了更长的时间，厂商的技术人员对IDS系统的熟悉程度在其中起到了重要作用。用户应当考虑厂商能够为IDS系统调整提供什么样的帮助。 　　　

　　　测试人员不允许厂商向数据库增加新的攻击特征，不允许定制已有特征或从Snort数据库中下载特征在测试过程中使用。在实际部署中，用户可以利用这些选项，但测试人员禁止这些选项是因为测试人员需要评估厂商现场技术人员调整IDS系统的水平。调整帮助IDS检测到更多攻击，不过增加的数量并不太多。为了改进性能，所有的厂商允许用户向IDS数据库添加特征并且提供特征定制功能。显然提高攻击检测率需要花费大量时间和进行大量调整。测试人员还评估了IDS的管理应用程序，观察它们在高负载下的表现。 　　　

　　　通过此次测试，测试人员得出了以下结论：千兆IDS产品在不经过重大调整就可以全面防御攻击之前还有很长的路要走。不经过调整的大部分IDS产品只检测到一半的攻击，其中的许多攻击已经出现很长时间了，IDS系统应当能够检测到它们。