入侵检测测试方案

《入侵检测测试方案》由会员分享，可在线阅读，更多相关《入侵检测测试方案（4页珍藏版）》请在金锄头文库上搜索。

1、入侵检测测试方案入侵检测测试方案模拟测试目的是检测设备对入侵特征库的覆盖情况，实际测试目的是观察设备在 Internet 背景下 IPS 所表现的实际能力。第一部份第一部份 模拟测试模拟测试1.1 测试环境测试环境AttackLog-serverAttackLog-server1.2 测试条件测试条件Attack安装专业测试入侵特征库的 Blade software，Log-server 安装 Kiwi_Syslogd.exe 日志记录软件。1.3 测试配置测试配置1.3.1 分别连接分别连接 Attack 到到 ASA 的的 outside 和和 inside 接口接口1.3.2 配置配置

2、AIP-SSM 监控流量监控流量1.3.3 配置配置 ASA 将将 log 发送到发送到 Log-server 上上1.3.4 在在 outside 口发起攻击口发起攻击包括两部份包括两部份，一是设置一是设置，二是实施攻击。二是实施攻击。设置 setting如图所示，标记共有四处。1、2 处的设置相似，用作设置 NIC1 和 NIC2. 注意选择对应的网卡类型，对应 的 MAC 地址，对应的 IP 地址和网关的 MAC 地址；3 处钩选以便设定网关的 MAC 地址；4 处设定每个攻击的时间间隔，设定为处设定每个攻击的时间间隔，设定为 3s。如果攻击的间隔太短部分数据包会被如果攻击的间隔太短部分

3、数据包会被 Firewall 核心拒绝，不会到核心拒绝，不会到 IDS 引擎。引擎。2)攻击攻击 Attack选择全部攻击模拟库，点击 Run Attack 按钮。1.4 测试结果：测试结果：在 Kiwi Syslog Server 上会实时记录 ASA 检测到的入侵活动，根据攻击模拟库 的大小，检测到日志的条目，可以得到一个百分比，此值可以反映 IPS 设备对 攻击活动的识别能力。第二部份第二部份 实际测试实际测试实际测试指在 Internet 背景下来测试 IPS 的功能作用。拟测试的内容有：对 P2P 和 IM 的控制，包括 BitComet、eDonkey、Skype、QQ、MSN。P2P 和 IM 流量，特别是 BT 流量，已经严重地影响了 Internet 带来的生产力，阻断 BT 流量的特性也是当前企业十分关注的功能之一。2.1 测试条件测试条件要求具备真实的上 Internet 环境，以便测试阻挡 BT，MSN，QQ，Skype 的能力。如果能够提供此环境，可以根据现场情况，设计测试环境。能阻挡 MSN（V7.0） 、QQ（V2005） 、skype（V1.3）和 eMule(V0.46b). BitComet 0.59 等软件