欢迎来到天天文库
浏览记录
ID:36469307
大小:223.18 KB
页数:3页
时间:2019-05-11
《IDS穿透性测试工具的设计与实现》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、万方数据本栏目由保密通信国防科技重点实验室协办学术研究’黪
2、孽
3、露嚣嚣
4、季善;誉鎏;f掌善奔;簿警gg掌警爸蠢爹鋈缮菇≤;÷;簿g嚣《l《囊
5、藻8“。“IDS穿透性测试工具的设计与实现李红阳1吴世忠2(1华中科技大学计算机学院2中国信息安全产品测评认证中心)摘璎:在对嘲络入侵检潮系统遘行分级评椎中需要避行穿透性鼬试以验证该系统是否_fi】以抵御其一定攻击潜力的攻击者的攻击,本测试:I:具是在fmgroute的基础上改进谗戎。增掘j1友好的强形操作器商。扩襞。了功能组件.可以方便地甩于测试人侵检渤系统抵御插入年f:l规避攻击的能力,引言入侵检测系统(IDS)已成为信息安全体系的
6、重要组成部分,如何测试和评估IDS也变得越来越重要。传统测试方法只关注IDs对攻击的检测率、漏报率,而没有进行针对IDs本身脆弱性的穿透性测试。按CC标准进行的分级评估是为满足基本安全功能要求的产品所采取的保证措施确定一个可信级别,以帮助用户确定信息技术产品对他们的应用而言是否足够安全,以及在使用中隐藏的安全风险是否可以容忍【112Ⅱ”。分级评估要求评估者独立地进行脆弱性分析,并基于脆弱性分析实施穿透性测试,以验证产品是否可以抵御具有一定攻击潜力的攻击者的攻击。本文说明的测试工具是针对目前主流的网络入侵检测系统(NIDs)的脆弱性进行穿透性测试的工具。该工具是开放源软件fra
7、g叫te的改进版本,增加了便于用户操作的图形界面,增强对测试过程的监测功能,扩展了功能插件[“。1.穿透性测试脆弱性分析是为了探知系统中可能被用来违反安全策略的弱点,穿透性测试则是在系统预期的使用环境下,模拟一定攻击潜力的攻击者对系统实现攻击以验证系统抵御攻击的能力口】。当前主流的IDs是基于嗅探的NIDs,采用基于规则匹配的技术来检测已知攻击【5】。这种NIDs在进行协议分析时存一定的脆弱性,就是NIDS与终端系统对协议的理解不一致,可能造成NIDs不足以重构复杂协议事务中发生的事件,从而导致漏报和误报。针对基于嗅探的NIDs的攻击有多种方式,主要是针对它的协议分析部分,阻
8、止NIDs收集到足够的信息来识别出攻击,这种攻击分为两种方式:插入攻击和规避攻击,两种方式都是利用NIDs与终端对数据包的接受或者处理方式不一致的弱点【6】。“插入攻击”是设法让NIDs接受终端会丢弃的数据包来欺骗NIDs,攻击者可能插入一些数据给NIDS,使得NIDS与终端对接收的数据理解不一样,例如在数据流中插入一些数据包,终端接受的请求是GET/bin/phf,但NIDS收到的是无意义的请求GET/bin/pphhff。“规避攻击”则是设法让NIDS忽略对终端有效的数据包。与插入攻击情况相反,NIDS可能拒绝一个被终端接收的包,这就可能导致NIDS接收的内容不够完整。攻
9、击者可利用这种弱点避开NIDs检测出关键信息,如对数据流中的部分数据包作相应处理后,终端接收的请求是GET/bin/pM,但NIDS看到的却是无意义的请求GET/bin/f。2.工具的设计(1)设计要求。针对NIDS分析IP协议、TCP协议数据包的脆弱性,实施对NIDs的插入和规避攻击。要求提供方便的操作接口,详细的过程监控以便评估者对测试结果进行评价。(2)设计思想。测试工具本身并不产生真实的攻击,它截获本地机发出的攻击数据包,并按设置要求作相应的处理,以达到规避NIDs检测的效果。这种将攻击与处理分开的思想,可以方便用户添加不同的攻击。由于图形界面的实现对系统平台依赖性很
10、强,因此将图形界面与包处理功能实现分别以独立的程序来实现,可方便程序在不同平台上的移植,并提供更加灵活的操作方式。(5)模块划分——用户界面模块。用户编辑包处理脚本,启动包处理进程,并将处理脚本作为参数传递给包处理进程。获取正常路由时目的主机对应的网关及网络设备的配置,用于设置抓包进程的过滤器及控制包处理进程的包发送。启动抓包进程,实时监控攻击过程,将抓取的数据包按要求显示给用户,供评估者评估参考。工具界面效果如图1所示。信息安全与通信保密·z。。5·761万方数据学术研究本栏目由保密通信国防科技重点实验室协办囊螽a黉誊警≯游}裤倦8
11、鬻警喾簖2j襻《萋甏器髓孽嚣§鬟嚣
12、簧鹫
13、j4‘——包处理进程初始化模块。根据用户设置构建包处理规则链表。首先获取目的主机正常路由对应的网关及网络设备的配置,用于数据包的发送,然后修改路由表,使目标主机指向Lo设备。截获L0收到的攻击数据包。——包处理模块。该模块顺序调用规则链表中对应的插件处理函数,对包链表中的数据包进行处理。包处理插件的语法规则如下:deIay卅stlIastlrandomms延时插件从包链表中选取第一个或最后一个.或随机选取一个数据包延时Ms百万分之一秒后发送。drop衍st¨ast旧ndomprob一%丢包插件丢弃包链表
此文档下载收益归作者所有