论文部分内容阅读
随着对入侵检测技术的深入研究和入侵检测产品的广泛应用,入侵检测系统进行测试和评估的需求也越来越迫切。对入侵检测系统进行测试和评估可以更好地认识理解IDS的处理方法、所需资源及环境;还有助于建立比较IDS的基准,规范市场上的入侵检测产品;并可以根据测试和评估结果,对IDS进行改善等。
目前入侵检测产品的测试还没有统一的标准,各种测评机构对IDS的测试方法也不尽相同。现在市场上的IDS产品主要采用的是基于规则匹配的滥用检测方法,攻击描述方式以及攻击知识库还没有统一的标准;并且IDS的性能也受到众多因素的影响,要设计一种能够部署任意环境,而检测能力不受影响的入侵检测系统也很困难。
针对目前入侵检测系统测评领域还没有统一权威入侵事件库的现状,通过对基于网络的入侵检测系统的网络数据源的研究,结合协议分析技术,讨论了适合于构建网络攻击事件库和进行攻击仿真的基于NIDS网络数据源的网络攻击分类方法,并对其进行了形式化证明。在此基础上,使用资源描述框架(RDF)建立了入侵事件描述体系,设计构建标准入侵事件库。然后从用户的角度,对IDS的测试进行讨论,探讨了基于具体应用环境的IDS测试方案,并以某校园网络环境为例,使用入侵事件库中收集的入侵事件模拟程序/脚本对挑选的具有代表性的四款IDS产品进行了测试,分析研究测试结果,解决了用户如何选择适合自身需要的入侵检测产品的问题。