IDS测试方案201411

IDS

测试方案

2014-01-01

目 录

一、

1.

2.

3.

4.

5.

二、

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.

11.

12.

13.

14.

15.

三、

1.

2.

3.

4.

5.

6.

7.

8.

典型攻击测试 ......................................................................................................... 4

扫描类攻击 ..................................................................................................... 4

DoS类攻击 .................................................................................................... 4

后门类攻击 ..................................................................................................... 5

代码类攻击 ..................................................................................................... 5

规避测试 ......................................................................................................... 6

入侵检测功能测试.................................................................................................. 7

基于会话的入侵检测 ....................................................................................... 7

自定义事件 ..................................................................................................... 8

响应策略编辑.................................................................................................. 8

日志归并 ......................................................................................................... 8

并行数据采集.................................................................................................. 8

虚拟引擎 ......................................................................................................... 9

高级协议识别.................................................................................................. 9

SSL加密数据检测 .......................................................................................... 9

VLAN Trunk封装数据检测 ........................................................................... 10

IP盗用监控 .................................................................................................. 10

会话参数调整................................................................................................ 10

实时会话监控................................................................................................ 10

流量监控 ....................................................................................................... 11

入侵日志缓存................................................................................................ 11

入侵响应 ....................................................................................................... 11

管理功能测试 ....................................................................................................... 12

用户管理功能................................................................................................ 12

引擎状态监控................................................................................................ 12

日志管理 ....................................................................................................... 12

报表 .............................................................................................................. 13

升级管理 ....................................................................................................... 13

分级管理 ....................................................................................................... 14

引擎时间修正................................................................................................ 14

上下文相关联机帮助 ..................................................................................... 14

四、

五、

引擎自身安全性测试 ............................................................................................ 15

性能测试 .............................................................................................................. 15

一、 典型攻击测试

1. 扫描类攻击

测试目的

预制条件

测试方法

检测扫描类攻击

测试IDS引擎及控制台已经开启并正常工作

使用Iris软件，回放扫描类攻击包

1. 回放nmap –sF

2. 回放fscan

3. 回放HTTP—Xscan—CGI 扫描

4. 回放UNICODE

5. 回放FTP—口令穷举探测

6. 回放HTTP_口令穷举探测

7. 回放NNTP_口令穷举探测

8. 回放IMAP_口令穷举探测

9. 回放POP3_口令穷举探测

10. 回放TCP_冲击波蠕虫扫描

可以检测到以上所作扫描攻击

Nmap –sF

Fscan

HTTP—Xscan—CGI 扫描

UNICODE

FTP—口令穷举探测

HTTP_口令穷举探测

NNTP_口令穷举探测

IMAP_口令穷举探测

POP3_口令穷举探测

TCP_冲击波蠕虫扫描

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

预期结果

测试结果

2. DoS类攻击

测试目的

预制条件

测试方法

检测DOS类攻击

测试IDS引擎及控制台已经开启并正常工作

使用Iris软件，回放DOS类攻击包

1、 回放DOS TearDrop攻击

2、 回放DOS VOOB S攻击

3、 回放DOS WinNUKE S攻击

4、 回放Synflood攻击

5、 回放TCP_拒绝服务_winnuke_攻击

6、 回放udpflood攻击

可以检测到以上所作DOS攻击

Synflood攻击 □Pass □Fail

预期结果

测试结果

udpflood攻击

DOS TearDrop攻击

DOS WinNUKE S攻击

□Pass □Fail

□Pass □Fail

□Pass □Fail

3. 后门类攻击

测试目的

预制条件

测试方法

检测后门类攻击

测试IDS引擎及控制台已经开启并正常工作

使用Iris软件，回放后门类攻击包

1、 回放Backdoor 灰鸽子 辐射版v0.3 连接客户端

2、 回放glac84-7626攻击

3、 回放glac84-9000攻击

4、 回放winshell攻击

5、 回放Wollf攻击

6、 回放广外女生攻击

可以检测到以上所做的后门类攻击

Backdoor 灰鸽子 辐射版v0.3 连接客户端

glac84-7626攻击

glac84-9000攻击

winshell攻击

Wollf攻击

广外女生攻击

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

预期结果

测试结果

4. 代码类攻击

测试目的

预制条件

测试方法

检测代码攻击

测试IDS引擎及控制台已经开启并正常工作

使用Iris软件，回放后门类攻击包

1. 回放12-IDA（溢出）攻击

2. 回放bsd-tele攻击

3. 回放CDE ToolTalk远程堆溢出漏洞攻击

4. 回放cgi_gcuhl_u_webdistcgi2攻击

5. 回放HTTP cgixp U攻击

6. 回放Http_htsearch_读取任意文件尝试攻击

7. 回放Http_IIS_传输头查看代码aaaaaaaaaaaaaaaaaaaaaaaaaaaaa攻击

8. 回放idq攻击

9. 回放iisx攻击

10. 回放MS RPC DCOM攻击

11. 回放MSSQLHACK攻击

12. 回放WEBDAV攻击

可以检测到以上所做的代码类攻击

IDA（溢出）攻击

bsd-tele攻击

□Pass □Fail

□Pass □Fail

预期结果

测试结果

CDE ToolTalk远程堆溢出漏洞攻击

cgi_gcuhl_u_webdistcgi2攻击

HTTP cgixp U攻击

Http_htsearch_读取任意文件尝试攻击

Http_IIS_传输头查看代码aaaaaaaaaaaaaaaaaaaaaaaaaaaaa攻击

idq攻击

iisx攻击

MS RPC DCOM攻击

MSSQLHACK攻击

WEBDAV攻击

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

5. 规避测试

测试目的

预制条件

测试方法

检测分片及编码攻击

测试IDS引擎及控制台已经开启并正常工作

使用Iris软件，回放规避类攻击包

1. 回放fragroute base-1攻击

2. 回放fragroute frag-1攻击

3. 回放fragroute frag-2攻击

4. 回放fragroute frag-3攻击

5. 回放fragroute frag-4攻击

6. 回放fragroute frag-5.攻击

7. 回放fragroute frag-6攻击

8. 回放fragroute frag-7-unix攻击

9. 回放fragroute frag-7-win32攻击

10. 回放fragroute ins-2攻击

11. 回放fragroute tcbc-2攻击

12. 回放fragroute tcp-3攻击

13. 回放fragroute tcp-7攻击

14. 回放fragroute tcp-9攻击

15. 回放whiskerI0攻击

16. 回放whiskerI1攻击

17. 回放whiskerI2攻击

18. 回放whiskerI3攻击

19. 回放whiskerI4攻击

20. 回放whiskerI5攻击

21. 回放whiskerI6攻击

22. 回放whiskerI7攻击

23. 回放whiskerI8攻击

24. 回放whiskerI9攻击

预期结果

测试结果

IDS不受影响，还可以正常工作，报告攻击

fragroute base-1攻击

fragroute frag-1攻击

fragroute frag-2攻击

fragroute frag-3攻击

fragroute frag-4攻击

fragroute frag-5.攻击

fragroute frag-6攻击

fragroute frag-7-unix攻击

fragroute frag-7-win32攻击

fragroute ins-2攻击

fragroute tcbc-2攻击

fragroute tcp-3攻击

fragroute tcp-7攻击

fragroute tcp-9攻击

whiskerI0攻击

whiskerI1攻击

whiskerI2攻击

whiskerI3攻击

whiskerI4攻击

whiskerI5攻击

whiskerI6攻击

whiskerI7攻击

whiskerI8攻击

whiskerI9攻击

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

二、 入侵检测功能测试

1. 基于会话的入侵检测

测试目的

预制条件

测试方法

验证测试IDS是否为基于会话进行入侵分析

测试IDS引擎及控制台已经开启并正常工作

1. 使用报文回放软件回放一个基于TCP的攻击，确保测试IDS可以报警；

2. 回放同一个攻击，但不包括TCP三次握手部分的三个数据包，并验证测试IDS是否报警；

测试IDS时基于会话进行入侵分析，针对无TCP三次握手的攻击不报警

预期结果

测试结果

2. 自定义事件

测试目的

预制条件

测试方法

验证测试IDS是否支持自定义事件功能

测试IDS引擎及控制台已经开启并正常工作

1. 针对telnet协议root账号登录设置自定义事件；

2. 针对FTP协议下载指定文件名称设置自定义事件；

3. 针对HTTP协议内容部分指定字符串设置自定义事件；

4. 执行相应操作，验证测试IDS是否报警

自定义事件灵活、简便，并能准确报警

预期结果

测试结果

3. 响应策略编辑

测试目的

预制条件

测试方法

验证测试IDS是否支持响应策略编辑功能

测试IDS引擎及控制台已经开启并正常工作

要求测试IDS可以支持源地址、目的地址、时间、响应等可选参数，并能设置响应策略优先级

1. 确定一个测试IDS可以报警的事件；

2. 设置策略来自攻击主机A的攻击在早9点至下午5点时的响应方式为控制台报警+记录日志+切断会话；

3. 设置策略来自攻击主机B的攻击在早9点至下午5点时的响应方式为控制台报警+记录日志+报文回放；

4. 设置在早9点至下午9点之外的所有时间，来自所有攻击主机的响应方式为控制台报警+记录日志；

可灵活编辑响应策略

预期结果

测试结果

4. 日志归并

测试目的

预制条件

测试方法

验证测试IDS是否支持日志归并功能

测试IDS引擎及控制台已经开启并正常工作

要求测试IDS可以支持源地址、目的地址、事件等归并基准，并可设置显示周期

1. 设置按事件进行归并；

2. 设置按源地址+事件进行归并；

3. 设置按目的地址+事件进行归并；

4. 设置1分钟显示一次；

5. 设置2分钟显示一次；

可以按不同条件进行归并

预期结果

测试结果

5. 并行数据采集

测试目的 验证测试IDS是否支持并行数据采集功能

预制条件

测试方法

预期结果

测试结果

测试IDS引擎及控制台已经开启并正常工作

1. 在交换机上将被攻击主机所在接口的TX、RX分别镜像到交换机的2个端口；

2. 在攻击主机上向被攻击发起基于TCP的攻击；

3. 验证测试IDS是否可以报警；

可以报警

6. 虚拟引擎

测试目的

预制条件

测试方法

验证测试IDS是否支持虚拟引擎功能

测试IDS引擎及控制台已经开启并正常工作

1. 在交换机上将被攻击主机所在端口镜像到2个不同的接口；

2. 在IDS上设置虚拟引擎，每个虚拟引擎分别接不同的镜像口；

3. 为每个虚拟引擎设置不同的策略；

4. 查看每个虚拟的入侵检测日志；

5. 查看每个虚拟监控的流量信息；

支持虚拟引擎功能，可为每个虚拟引擎单独配置策略，并单独查看日志及监控信息

预期结果

测试结果

7. 高级协议识别

测试目的

预制条件

测试方法

验证测试IDS是否支持高级协议识别功能

测试IDS引擎及控制台已经开启并正常工作

1. 针对HTTP80、FTP21、Telnet23知名端口进行攻击，并确保测试IDS可以报警；

2. 修改HTTP、FTP、Telnet为非知名端口；

3. 进行相同的攻击；

4. 验证测试IDS是否可以报警；

测试IDS根据协议特征而非端口进行检测

预期结果

测试结果

8. SSL加密数据检测

测试目的

预制条件

测试方法

验证测试IDS是否支持SSL加密数据检测功能

测试IDS引擎及控制台已经开启并正常工作

1. 搭建HTTPS服务器；

2. 在HTTPS下进行攻击；

3. 验证测试IDS是否可以报警；

可以对SSL加密数据进行检测

预期结果

测试结果

9. VLAN Trunk封装数据检测

测试目的

预制条件

测试方法

验证测试IDS是否支持VLAN Trunk封装数据检测功能

测试IDS引擎及控制台已经开启并正常工作

1. 确定测试IDS可以报警的攻击事件；

2. 搭建环境，让攻击报文进行802.1Q封装；

3. 搭建环境，让攻击报文进行ISL封装；

4. 验证测试IDS是否可以报警；

测试IDS支持VLAN Trunk封装数据检测

预期结果

测试结果

10. IP盗用监控

测试目的

预制条件

测试方法

验证测试IDS是否支持IP盗用监控功能

测试IDS引擎及控制台已经开启并正常工作

1. 在IDS上设置IP、MAC地址绑定；

2. 修改一台主机的IP地址，验证测试IDS是否报警；

3. 将本机IP地址配置到另外一台主机上，验证测试IDS是否报警；

可以对IP、MAC地址盗用进行报警

预期结果

测试结果

11. 会话参数调整

测试目的

预制条件

测试方法

验证测试IDS是否支持会话生成确认时间和会话维持时间调整

测试IDS引擎及控制台已经开启并正常工作

1. 在IDS上设置会话生成确认时间；

2. 使用报文回放软件回放某个会话的TCP三次握手报文，三个报文依次回放，在会话生成确认时间内回放完成，并验证测试IDS是否可以建立会话；

3. 使用报文回放软件回放某个会话的TCP三次握手报文，三个报文依次回放，回放完前两个报文后，等超过会话生成确认时间再回放第三个报文，并验证测试IDS是否可以建立会话；

4. 在IDS上设置会话维持时间；

5. 建立telnet会话，登录后不做任何操作，并验证在等待设定的会话维持时间后测试IDS是否会清除该会话；

测试IDS支持对会话生成确认时间和会话维持时间进行调整

预期结果

测试结果

12. 实时会话监控

测试目的

预制条件

测试方法

验证测试IDS是否支持实时会话监控功能

测试IDS引擎及控制台已经开启并正常工作

1. 建立HTTP、TELNET、FTP等会话；

2. 验证测试IDS是否可以实时显示会话列表，并可以手动切断会话或保

预期结果

测试结果

存会话内容；

测试IDS可以实时显示会话列表，并可以手动切断会话或保存会话内容；

实时会话列表显示

手动切断会话

保存会话内容

□Pass □Fail

□Pass □Fail

□Pass □Fail

13. 流量监控

测试目的

预制条件

测试方法

验证测试IDS是否支持实时会话监控功能

测试IDS引擎及控制台已经开启并正常工作

1. 在攻击主机与被攻击主机之间进行正常访问生成正常网络流量，进行攻击生成攻击流量；

2. 验证测试IDS是否可以显示网络流量和攻击流量；

测试IDS可以显示网络流量和攻击流量

预期结果

测试结果

14. 入侵日志缓存

测试目的

预制条件

测试方法

验证测试IDS在控制台没有连接引擎时是否支持引擎日志缓存功能

测试IDS引擎及控制台已经开启并正常工作

1. 关闭控制台软件；

2. 进行攻击；

3. 重新打开控制台软件，验证测试IDS是否保存了此前的攻击日志；

测试IDS在控制台没有连接引擎时是否支持引擎日志缓存功能

预期结果

测试结果

15. 入侵响应

测试目的

预制条件

测试方法

验证测试IDS是否支持丰富的入侵响应方式

需要准备网御防火墙、CISCO路由器和中国移动短信网关

1. 设置不同的响应方式；

2. 进行攻击回放；

3. 验证测试IDS是否支持相应的响应方式；

测试IDS支持丰富的入侵响应方式

控制台报警

记录数据库

声音报警

邮件报警

短信报警

SNMP Trap

报警消息器

报文回放

切断会话

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

预期结果

测试结果

网御防火墙联动

CISCO路由器联动

二次报警

□Pass □Fail

□Pass □Fail

□Pass □Fail

三、 管理功能测试

1. 用户管理功能

测试目的

预制条件

测试方法

验证测试IDS是否支持用户管理功能

测试IDS控制台已经开启并正常工作

1. 添加不同权限的用户，并验证是否具有不同的权限；

2. 是否可以设置用户登录失败锁定；

3. 用户登录失败锁定后是否可以邮件通知管理员；

测试IDS具有用户管理功能

用户权限分级

登录失败锁定

登录失败锁定邮件通知

□Pass □Fail

□Pass □Fail

□Pass □Fail

预期结果

测试结果

2. 引擎状态监控

测试目的

预制条件

测试方法

验证测试IDS是否支持引擎状态监控功能

测试IDS引擎及控制台已经开启并正常工作

1. 打开控制台，打开引擎状态监控窗口；

2. 查看引擎运行时间、CPU、内容、监控网络信息，并验证是否准确；

3. 控制台不能连接引擎时，是否可以通过邮件通知管理员

测试IDS可以查看引擎状态

引擎运行时间

CPU使用率

内存使用率

流量

报文

会话数

丢包数

引擎断开邮件通知

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

预期结果

测试结果

3. 日志管理

测试目的

预制条件

验证测试IDS是否支持日志管理功能

测试IDS引擎及控制台已经开启并正常工作

测试方法

预期结果

测试结果

1. 进行攻击，生成入侵日志；

2. 进行日志查看，是否可以支持丰富的查询参数；

3. 日志删除，是否可以灵活删除指定时间范围内的日志；

4. 是否支持手动备份日志功能；

5. 是否支持按周期、按时间、按大小等条件的自动日志备份功能；

6. 是否支持日志恢复功能；

测试IDS支持日志管理功能

日志查看

日志删除

手动备份日志

自动备份日志

日志恢复

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

4. 报表

测试目的

预制条件

测试方法

验证测试IDS是否支持报表功能

测试IDS引擎及控制台已经开启并正常工作

1. 进行攻击，生成入侵日志；

2. 生成入侵报表；

3. 生成汇总报表；

4. 生成流量报表；

5. 报表导出：rpt、doc、excel、html、xml、rtf格式；

6. 按周、月、年自动生成报表并上传到指定的FTP服务器；

测试IDS支持入侵、流量、汇总报表，支持报表导出功能，支持自动生成报表功能

入侵报表

流量报表

汇总报表

报表导出

自动生成报表

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

预期结果

测试结果

5. 升级管理

测试目的

预制条件

测试方法

验证测试IDS是否支持升级管理功能

测试IDS引擎及控制台已经开启并正常工作

1. 在控制台执行在线升级；

2. 在控制台执行脱机升级；

3. 在引擎执行在线升级；

4. 在引擎执行脱机升级

测试IDS可以支持在线、脱机升级功能

控制台在线升级

控制台脱机升级

引擎在线升级

引擎脱机升级

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

预期结果

测试结果

6. 分级管理

测试目的

预制条件

测试方法

验证测试IDS是否支分级管理功能

测试IDS引擎及控制台已经开启并正常工作，准备2个以上控制台主机

1. 设置好分级管理；

2. 下级管理中心接一台IDS；

3. 进行攻击，并验证上级管理中心是否可以收到下级管理中心的报警；

4. 在上级管理中心向下级管理中心下发策略，并验证下级管理中心是否可以正常接收并应用；

5. 在上级管理中心向下级管理中心发送全局消息和文件，并验证是否可以正常发送；

6. 在上级管理中心查看下级管理中心的引擎状态；

7. 在上级管理中心查看下级管理中心的特征库版本；

测试IDS支持分级管理功能

日志上报

策略下发

全局消息、文件共享

全局引擎状态监控

全局特征库版本监控

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

□Pass □Fail

预期结果

测试结果

7. 引擎时间修正

测试目的

预制条件

测试方法

验证测试IDS是否支持引擎时间修正功能

测试IDS引擎及控制台已经开启并正常工作

一、登录引擎串口，修改系统时间，并验证是否可以正确修改；

二、将控制台与引擎设备设置为不同的时间，在控制台执行引擎时间同步，并验证是否正确同步；

三、将引擎系统时间设置为非标准时间，设置NTP时间同步，并验证是否可以正确同步时间；

可以通过串口、控制台、NTP时间服务器进行引擎的时间修正

串口时间设置

控制台时间同步

NTP时间同步

□Pass □Fail

□Pass □Fail

□Pass □Fail

预期结果

测试结果

8. 上下文相关联机帮助

测试目的

预制条件

测试方法

预期结果

测试结果

验证测试IDS是否支持上下文相关的联机帮助

测试IDS控制台已经开启并正常工作

打开控制台软件，验证测试IDS是否在相关操作界面提供了具有上下文相关的联机帮助功能

IDS支持上下文相关的联机帮助

四、 引擎自身安全性测试

测试目的

预制条件

测试方法

验证测试IDS引擎设备自身是否存在安全隐患

测试IDS引擎及控制台已经开启并正常工作

1. 扫描测试IDS的监听端口，验证是否可以扫描到地址、端口等信息；

2. 在引擎上设置访问控制列表，限制访问，验证测试IDS是否可以正常管理；

3. 修改引擎的监听端口，验证测试IDS是否可以正常工作；

测试IDS支持隐蔽部署，访问控制，并可以修改监听端口

隐蔽部署

访问控制列表

通讯端口可修改

□Pass □Fail

□Pass □Fail

□Pass □Fail

预期结果

测试结果

五、 性能测试

测试目的

预制条件

测试方法

预期结果

测试结果

验证测试IDS的性能参数

测试IDS引擎及控制台已经开启并正常工作

使用专业的性能测试设备，如：IXIA、SmartBits等进行吞吐、并发和新建连接测试

测试IDS性能可以满足用户需求

吞吐（Mbps）

并发

新建