YDN 142-2008
基本信息
标准号:
YDN 142-2008
中文名称:网络入侵检测系统测试方法
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:642576
相关标签:
网络
入侵
检测
系统
测试方法
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YDN 142-2008.Test Method for Network Intrusion Detection System.
1范围
YDN 142规定了网络入侵检测系统的接口测试、系统功能测试和性能测试等测试内容和相应的测试方法。
YDN 142适用于网络入侵检测系统的验收、选型、入网测试等。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YDN 140-2006网络入侵检测系统技术要求
YD/T 1141-2001千兆比以太网交换机测试方法
3术语和定义
下列术语和定义适用于本标准。
报警Alen
报警是指网络入侵检测系统在检测到入侵行为时,发布给具有系统管理角色实体的消息。
攻击Attack
攻击是指任何危及计算机资源与网络资源完整性、机密性或可用性的行为。
自动响应Automated Response
自动响应是指网络入侵检测系统在发现攻击后自发采取的保护行为。
躲避Evasion
躲避是指入侵者发动攻击,又不希望被发现而采取的行为。
漏报False Negatives
漏报是指一个攻击事件未被网络入侵检测系统检测到而造成的错误。
误报False Positives
误报是指系统把正常行为作为入侵攻击而进行报警,或者把- -种 周知的攻击错误报告为另一种攻击而导致系统错误响应。
防火墙Firewall
在网络之间执行访问控制策略的一个或一组设备。
标准内容
ICS 33020
通信技术
YDN 142-2008
网络入侵检测系统测试方法
Test Method for Network Intrusion Detection System2008-04-08发布
2008-09-01实施
中华人民共和国工业和信息化部发布前言
范围·
2规范性引用文件
3 术语和定义-
4、缩略语·
5测试环境…·
6接口测试
系统功能测试
7.1.协议分析功能
7.2攻击识别
躲避识别·
警功能
设备联动
管理功能
日志功能··
审计功能
7.9系统自身安全
8系统性能
附录A(资料性附录)攻击类型·附录B(资料性附录)常用的编码格式录
YDN 142-2008
本标准是网络入侵检测系统系列标准。该系列标准的名称如下:YDN140-2006《网络入侵检测系统技术要求》YDN142-2008网络入侵检测系统测试方法》本标准与网络入侵检测系统技术要求》配套使用。附录A和附录B为资料性附录。
本标准由中国通信标准化协会提出并归口。本标准起草单位:信息产业部电信研究院本标准参加单位:北京启明星辰信息技术有限公司本标雅起草人:周开波张治兵郝春光吴海民YDN142-2008
1范密
网络入侵检测系统测试方法
YDN 142-2008
本标准规定了网络入侵检测系统的接口测试,系统功能测试和性能测试等测试内容和应的测试方法。
本标维适用于网络入侵检测系统的验收、选型、人网测试等。2规范性引用文件
下列文件中的条款通过本标准的引月而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内)或修订版均不适用于本标准。然而,鼓励根据本标难达成协议的各方研究是否可使用这些文件的最新版本。凡是不注H期的引用文件,其最新版本适用于本标准。YDN 140-2006
YD/T 1141-2001
3术语和定义
下列术语和定义适用于本标。
报警Alert
网络入侵检测系统技术要求
于兆比以太网交换机测试方法
报警是指网入侵检测系统在检测到入慢行为时,发布给具有系统管理角色实体的消息。玫击Attack
攻击是指任何危及计算机资源与网络资源完整性、机密性或可用性的行为。自动酶应AutomatedResponse
自动响应是指网络入侵检测系统在发现攻击后白发采取的保护行为。躲避:Evasion
躲避是指入侵者发动攻击,又不希望被发现而采取的行为。漏报 False Negatives
漏报是指一个攻击事件未被网络入侵检测系统检测到而造成的错误。误接FalsePasitives
误报是指系统把正常行为作为入侵攻击而进行报警,或者把一种周知的攻击错误报告为另一种攻击而导致系统错误应。
防火墙 Firewall
在网络之间执行访问控制策略的一个或一设备。入侵Intrusion
同“攻击”含义。
入侵检测IntrusionDetection
YDN142-2008
入侵检测是对入侵行为的发觉。它从P网络或计算机系统中的召干关键点收集信息并对其进行分析从中发现是否有违反安全策略的行为或遭到入侵的迹象,入侵检测系统IntrusianDetectionSystem(IDs)进行入傻检测并依错既定的策略采取一定的响应措施的软件与硬件的组台。网络入慢检测系统NetworkIntrusionDetecionSystem(NIDs)使用P网络数据包作为数据源的入疫检测系统。策略Policy
入侵检测系统的策略是指对于{P网络中的政击事件采取例种响应方式和响应条件。多个策略构成策略集。
规则Rule
入侵捡测规则包含了对网络中攻击事件进行评判的依据及对该事件采用的策略,多个规则构成规则集。
特征,Signature
入侵检测系统的特征是使入侵检测系统在攻击行为发生时触发事件的依据。多个特征可以构成特征库。
简单网络管理协议陷阱SNMPTrap简单网络管协议陷是指由丁发生某个网络事件,触发特定的网络设备发送相应的数据。4缩略语
下列缩略语适用于本标准。
Address Resolution Protocol
Border Gateway Protocol
Back Orifice
Domain Name Server
File Transfer Protocol
Hypertext Transfer Protocol
Internet Control Message ProtocolInternet Protocol
OpenShortestPathFirst
Post Office Protocol 3
Routing Informatian ProtocolSimpleNetworkManagementProtocolSimpleMailTransferFrotocol
System Under Test
TransmissionControlPratocol
User Datagran Protocol
地址解析协设
边界网关协议
域名服务器
文件传输协议
超文本传输协议
互联网控制消息协议
因特网协议
开放最短路径优先
邮局协设的第3个版本
路由信息协议
简单网络管理助议
简单邮件传输协议
被测系统
传输控制协议
用户数据报协议
5测试环境
YDN 142-2008
在图I小,流量发生器土要用于产生背景流鼠。背累流量可以是接近实际的业务流,也可以是UDP或TCP数据流。端口P1和P2中的数据流是流最发生器产生的数据流。流量发生器与交换机之间的数据交换是双向的。被测IDS监测交换机的镜像端口P3,交换机与被测DS之间的数据交换是单向的。口1
控制台
壁发生学
交换机
被测DS
图测试环境
图2出,流量发生器主要用于产生背景流量,攻击发生器用丁产生政击,攻击日标是被攻击的主机或服务器。背景流量可以是接近实际的业务流,也可以是UDP或TCP数据流:攻击发生器产生的攻击流量和流量发生器的背景流量混合后发送给攻击目标,然后测试SUT是否能够正常检测到入侵行为。端口P1和P2中的数据流是攻击发生器发出的攻击与流量发生器产生的背景流量的混合数据流。流量发生器与交换机之间的数据交换是双向的,攻击发生器与攻目标之间的数据交换也是双向的。被测IDS监测交换机的镜像端口P3,交换机与被测IDS之间是单向数据传输,端口1
攻击发生器
控制台
流录发生器
变换机
被测IDS
图2测试环境2
攻山标
图3中,流量发生器主要用于产生背最流量,攻击发生器用于产生攻击,攻击月标是被攻击的主机或服务器。背景流量可以是接近实际的业务流,也可以是UDP或TCP数据流。攻击发生器产生的攻击流量和流量发生器的背最流量混合后发送给攻击日标,然后测试SUT是否能够正常检测到入侵行为。SUT根据检测到的入侵行为与网络设备或网络安全设备互动,阻断正在进行的入侵行为。端口P1和P2中的数据流是攻击发生器发出的攻击与流量发生器产生的背景流量的混合数据流。流量发生器与交换机之间的数3
YDN 142-2008
据交换是双向的,攻击发生器与攻击H标之间的数据交换也是双向的。被测DS监测交换机的镜像端口P3,交换机与被测11>S之问是单向数据传输。端口1
攻发生器
控制台
6接口测试
流量发生器
变换机
被测DS
防火境/
交换机
路由器
控制通道
图3测试环境9
攻击月标
10/100Base-T接口、1000Base-SX、10X00Basc-LX接[.J测试要求应符合YD/T1141-2001的规定。7系统功能测试
下列各项功能的技术要求应符合YDN140-2006的规定。7.1协议分析功能
测试编号:1
测试项目:协议分析功能测试
测试目的:验证SUT可以分析、泽码基」TCP/IP的协议测试配置:测试环境1
测试过程:
1.按測试环境连接设备;
2.交换机将端口 P1 出入流量镜像到端门 P3:3.被测系统SUT在交换机P3端1.I监视流量;4、从流量发生器端口向端I2发送ARP、ICMP、DNS、RIP、OSPF、BGP、HTTP、FTP、TELNET、SMTP、POP3数据流
预期结果:
在步骤4中,SUT应能正常监视数据流,对数据流进行分析、译码并提取数据流特征信息(数据流的特征信息至少包括源TP地址、日的IP地址、协议类型和协议内穿)判定原则:
应符合预期结集要求,否则为不合格7.2攻击识别
测试编号:2
测试项目:攻击类型测试
测试目的:验证SUT可以识别的攻击类型測试配置:测试环境2
测试过程:
按测试环境连接设备:
交换机将端口P1出入的数据流镜像到端口P3;配置SUT的检测策略为最大策略集;YDN142-200B
被测系统SUT在交换机P3端口监视数据流:攻击发生器从事件库中选择具有不同特征的多个事件,组成攻击事件测试集。选取的事件应包括如下几类:
端口扫描类事件(TCP端口扫描、UDP端口扫描、ICMP分布式主机扫描);1
拒绝服务类事件(SynFlood、UDPFloxd、TCMPFlood、IGMP拒绝服务);2)
3)后门类事件(BO、Netbus、Dolly )42
螨虫类事件(红色代码、冲击波、振荡波);5)溢出类再件(FTP_命令溢出、SMTP_HELO_缓冲区溢出、POP3_foxmail_5.0_缓冲区溢出、Telnet_Solaris_telnet_缓冲区溢出、HFFP_IS_Unicode_漏洞、MSSQL2000_远程溢出、FTP_ALX_滋出漏漏)
6)强力攻击和弱口令类事件(SMTP口令探测、HTTP口令探测、FTP令探测、MSSQLSERVER弱口令、FTP_弱口令、POP3_弱口令)预期结果:
在步骤5中,SUT应能正确报告相应的入侵事件。报告的内穿应包括事作名称,攻击源地址、攻击目的地址、事件发生时间以及重要级别等判定原则:
应符合预期结果要求,否则为不合格7.3躲避识别
测试编号:3
测试项目:躲避识别—P分片重组测试试目的:验证SUT可以识别IP分片之后的攻击测试配置:测试环境2
测试过程:
1.按测试环境连接设备:
2.交换机将端口P1的数据流镜像到端口P3:3.配置SUT的检测策略为最大策略集:4.被测系统SUT在交换机P3端II监视数据流5、攻击发生器发送经过分片之后的在测试编号2中通过测试的攻击预期结果:
在步骤5中,SUT应能正确报告相应的入侵事件判定原则:
应符合预期结果要求,否则为不合格YDN 142-2008
测试编号:4
测试项目:毁避识别--—rCP流重组测试测试H的:验证SUT可以识别利用TCP流重组迹行的攻击测试配置:测试环境2
测试过程:
1.按溉试环境连接设备:
2.交换机将端I1P1的数据流镜像到端口P3;3.配置 SUT的检策略为晟大策略集4.SUT在交换机P3 端口监视数据流:5.改击发生器发送经过分片利乱序的TCP攻击,所选的TCP攻击是在测试编号2中通过测试的攻击预期结果:
在步5中,SUT 应能正确报告相应的入侵事件判定原则:
应符合预期结果要求,否则为不合测试编号:5
测试项日:躲避识别
端口重定位测试
测试目的:验证SUT可以识别利用协议端I重定位进行的攻击测试配置:测试环境2
测试过程:
1、按测试环境连接设备;
2.交换机将端口PI的数据流镜像到端口P3:3.配置SUT的检测策略为最人策略集:4.被测系统SLIT在交换机P3端I监视数据流:5,攻发生器发送协议端口重定位之后的攻击,要求发送的攻击是翘试编号2中通过测试的预期结果:
在步骤5中,SUT应能止确报告相应的入侵事件判定原则:
应符合预期结果要求,否则为不合格测试编号:6
测试项目:躲避识别一特殊编码格式测试测试日的:验证SUT可以识别利用特殊编码格式进行的攻击测试配置:测试环境2
测试过程:
1、按测试环境连接设备;
2.交换机将端口P1的数据流镜像到端口P33.配置SUT的检测策略为最大策略集:4.被测系统SUT在交换机P3端口监视数据流:5.攻市发生器发送特殊编码格式的攻击,要求发送的攻击是测试编号2中通过测试的预期结果:
在步骤5中,SUT应能正确报告相应的入侵事件判定原则:
应符合预期结果要求,否则为不合格7.4报警功能
测试编号:7bZxz.net
测试项目:报警功能
YDN 142-2008
测试自的:验证SUT在检测到入侵事件时,可以将报警信息以邮件、SNMPTrap、报警灯、短消息等至少一种形式提交给具有管理角色的实体測试配置:测试环境2
测试过程:
1.按测试环境连接设备:
2.交换机将端口P1的数据流镜像到端口P3;3.配置SUT的检测策略为最大策略集:被测系统SUT在交换机P3端口监视数据流,4.
5、攻击发生器发送选定的在测试编号2中通过测试的攻击预期结果:
在步骤5,SUT应能检测到入侵事件,并将再件以设定的方式报告给管理者。报告的事件内容至少应包括:攻击源卫地址、目的IP地址、发生时间、事件类型、事件内容、事件级别判定原则:
应符合预期结果要求,否则为不合格YDN 142~2008
7.5设备联动
测试编号:8
测试项日:设备联动
测试目的:验证SUT在检测到入侵事件时,可以通过相应的控制方式控制其他的网络设备或安全系统测试配置:测试环境3
测试过程:
1、按测试环境连接设备:
2、交换机将端「P1的数据流镜像到端P3;3.配置 SUT的检测策略为最大策略集;4.被测系统SUT在交换机P3端口监视数据流:5.攻击发生器发送在测试编号2通过测试的攻击预期结果:
在步骤5,SUT应能检测到入侵事件,并通知指定的网设备(例如交换机或路由器)或安全系统(例如防火墙)进行联动,网络设备或安全系统阻断该入较行为判定原则:
应符合预期结果要求,否则为不合格测试编号:9
测试项目:实时切断会话连接
测试目的:验证SUT在检测到入侵事件时,可以通过发送特定的阳断信息来实现阻断当前连接测试配置:测试环境3
测试过程:
1.按测试环境连接设备:
2.交换机将端口PI的数据流镜像到端口P3;3.被测系统SUT在交换机P3端口监视数据流:4.攻击发生器发送在测试编号2中通过测试的攻市预期结果:
在步乐4,SUT应能检测到入侵事件,并发送特定的阻断信息(例如TCPReset)来阻断当前连接判定原则:
应符合预期结果要求,否则为不合格8
7.6管理功能
测试编号:10
测试项目:角色管理
测试目的:验证SUT可以采用不同的角色逆行管厘测试配置:测试环境3
测试过程:
1、按测试环境连接设备:
2.流量发生器产生任意的背景流量,政击发生器发出任意的攻击;3.创建一个属于用户管理角色的用户A;4.创建一个属于系统管理角色的用户B5.创建一个属于审计管理角色的用户C预期结果:
YDN 142-2006
1、在步骤3中,创建的用户A可以生成、删除系统管理角色的账号,谢整系统管理角色对应账号具体的操作权限,但用户A不能调整白身和审计管理角色的权限:2.在步骤4中,创建的用户B其有对IDS的管理权限,能配置入侵检测规则、查看入侵检测日志、报警响应,但无用户管理和用户系统操作口志审计功能:3.在步骤5中,用户C仅具有对系统操作日志的查看、备份和删除的权限,可以进行可选的用户审计配置、审计日志的完整性检查及登陆失败的处理判定原则:
应符合预期结果要求,否则为不合格测试编号:11
测试项目:设备管理
测试目的:验证SUT中具有管理角色的用广可以查看到设备的相关信息测试配置:测试环境3
测试过程:
1.按测试环境连接设备:
2.流量发生器产生任意的背景流量,攻击发生器发出任意的攻击:3.创建一个属丁系统管理角色的用户;4.查看网络入慢检测系统当前的.1.作状态和系统相关信息预期结果:
1.在女骤4中,具有系统管理角色的用广可以查看网络入侵检测系统的网络接口状态、组件的工作状态、当前日志文件的人小、CPU占用率、内存占用率,存储器占用率以及软硬件版本信息:2、管理员可以配置以上网络入侵检测系统组件的参数以及状态,设置管理接口的通讯参数,启动或者停止系统运行
判定原则:
应符合预期结果要求,否则为不合格
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。