信息安全技术 入侵检测系统技术要求和测试评价方法
发布时间: 2010-01-28 丨 阅读次数: 42589
ICS35.020
L 09
中华人民共和国国家标准
GB 17859-1999
信息安全技术
入侵检测系统技术要求和测试评价方法
Information security technology-
Techniques requirements and testing and evaluation approaches for
intrusion detection system
2006-12-01实施 __________________________________ 2006-05-31 发布
中国国家标准化管理委员会中华人民共和国国家质量监督检验检疫总局 发布
目 次
前 言 ............................................................................ III
1 范围 ................................................................................ 1
2 规范性引用文件 ...................................................................... 1
3 术语和定义 .......................................................................... 1
4 缩略语 .............................................................................. 2
5 入侵检测系统等级划分 ................................................................ 3
5.1 等级划分说明 ....................................................................... 3
5.1.1 第一级 ........................................................................... 3
5.1.2 第二级 ........................................................................... 3
5.1.3 第三级 ........................................................................... 3
5.2 安全等级划分 ....................................................................... 3
5.2.1 网络型入侵检测系统安全等级划分 ................................................... 3
5.2.2 主机型入侵检测系统安全等级划分 ................................................... 6
6 入侵检测系统技术要求 ................................................................ 7
6.1 第一级 ............................................................................. 7
6.1.1 产品功能要求 ..................................................................... 7
6.1.2 产品安全要求 ..................................................................... 9
6.1.3 产品保证要求 .................................................................... 10
6.2 第二级 ............................................................................ 11
6.2.1 产品功能要求 .................................................................... 11
6.2.2 产品安全要求 .................................................................... 12
6.2.3 产品保证要求 .................................................................... 13
6.3 第三级 ............................................................................ 15
6.3.1 产品功能要求 .................................................................... 15
6.3.2 产品安全要求 .................................................................... 15
6.3.3 产品保证要求 .................................................................... 16
7 入侵检测系统测评方法 ............................................................... 18
7.1 测试环境 .......................................................................... 18
7.2 测试工具 .......................................................................... 19
7.3 第一级 ............................................................................ 19
7.3.1 产品功能测试 .................................................................... 19
7.3.2 产品安全测试 .................................................................... 25
7.3.3 产品保证测试 .................................................................... 27
7.4 第二级 ............................................................................ 29
7.4.1 产品功能测试 .................................................................... 29
7.4.2 产品安全测试 .................................................................... 31
7.4.3 产品保证测试 .................................................................... 33
7.5 第三级 ............................................................................ 37
7.5.1 产品功能测试 .................................................................... 37
7.5.2 产品安全测试 .................................................................... 38
7.5.3 产品保证测试 .................................................................... 39
参考文献 ............................................................................. 44
前 言
(略)
信息安全技术
入侵检测系统技术要求和测试评价方法
1 范围
本标准规定了入侵检测系统的技术要求和测试评价方法,技术要求包括产品功能要求、产品安全要求、产品保证要求,并提出了入侵检测系统的分级要求。
本标准适用于入侵检测系统的设计、开发、测试和评价。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB 17859-1999 计算机信息系统安全保护等级划分准则
GB/T 5271.8-2001 信息技术 词汇 第8部分:安全(idt ISO 2382-8:1998)
GB/T 18336.1-2001 信息技术 安全技术 信息技术安全性评估准则 第一部分:简介和一般模型(idt ISO 15408-1:1999)
3 术语和定义
GB 17859-1999、 GB/T 5271.8-2001和 GB/T 18336.1-2001 确立的以及下列术语和定义适用于本标准。
3.1
事件 incident
信息系统中试图改变目标状态,并造成或可能造成损害的行为。
3.2
入侵 intrusion
任何危害或可能危害资源完整性、保密性或可用性的行为。
3.3
入侵检测 intrusion detection
通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
3.4
入侵检测系统 intrusion detection system
用于监测信息系统中可能存在的影响信息系统资产的行为的软件或软硬件组合。它通常分为主机型和网络型两种,由控制台、探测器和/或主机代理组成。
3.5
网络型入侵检测系统 network-based intrusion detection system
以网络上的数据包作为数据源,监听所保护网络内的所有数据包并进行分析,从而发现异常行为的入侵检测系统。
3.6
主机型入侵检测系统 host-based intrusion detection system
以系统日志、应用程序日志等作为数据源,或者通过其他手段(如监督系统调用)从所在的主机收集信息进行分析,从而发现异常行为的入侵检测系统。
3.7
探测器 sensor
用于收集可能指示出入侵行为或者滥用信息系统资源的实时事件,并对收集到的信息进行初步分析的入侵检测系统组件。
注:网络型入侵检测系统的探测器安装在网络的关键节点处,监听流经网络的数据;主机型入侵检测系统的探测器以主机代理的形式安装在主机系统上,收集主机的运行状态和主机信息。
3.8
IDS控制台 IDS management console
用于探测器管理、策略配置、数据管理、告警管理、事件响应、升级事件库以及其它管理工作,并对入侵行为进行深层次分析的入侵检测系统组件。一个控制台可以管理多个探测器。
3.9
用户 user
是使用入侵检测系统的授权管理员、审计员的统称。
3.10
攻击特征 attack signature
入侵检测系统预先定义好的能够发现一次攻击正在发生的特定信息。
3.11
告警 alert
当攻击或入侵发生时,入侵检测系统向授权管理员发出的紧急通知。
3.12
响应 response
当攻击或入侵发生时,针对信息系统及存储的数据采取的保护并恢复正常运行环境的行为。
3.13
误报 false positives
入侵检测系统在未发生攻击时告警,或者发出错误的告警信息。
3.14
漏报 false negative
当攻击发生时入侵检测系统未告警。
3.15
强力攻击 brute force
是一种利用合法字符的各种组合序列,通过应用程序反复尝试各种可能的组合来试图破解加密信息(如密码、密钥)的方法。强力攻击通过穷举法而非智能策略来达到目的,是一种有效而耗时的攻击手法。
4 缩略语
下列缩略语适用于本标准:
ARP
地址解析协议
Address Resolution Protocol
DNS
域名系统
Domain Name System
FTP
文件传输协议
File Transfer Protocol
HTML
超文本标记语言
Hypertext Markup Language
HTTP
超文本传送协议
Hypertext Transfer Protocol
ICMP
网际控制报文协议
Internet Control Message Protocol
IDS
入侵检测系统
Intrusion Detection System
IMAP
因特网消息访问协议
Internet Message Access Protocal
IP
网际协议
Internet Protocol
NFS
网络文件系统
Network File System
NNTP
网络新闻传送协议
Network News Transfer Protocol
POP
邮局协议
Post Office Protocol
RIP
路由选择信息协议
Routing Information Protocol
RPC
远程过程调用
Remote Procedure Call
SMTP
简单邮件传送协议
Simple Mail Transfer Protocol
SNMP
简单网络管理协议
Simple Network Management Protocol
TCP
传输控制协议
Transport Control Protocol
TELNET
远程登陆
Telnet
TFTP
普通文件传送协议
Trivial File Transfer Protocol
UDP
用户数据报协议
User Datagram Protocol
5 入侵检测系统等级划分
5.1 等级划分说明
5.1.1 第一级
本级规定了入侵检测系统的最低安全要求。通过简单的用户标识和鉴别来限制对系统的功能配置和数据访问的控制,使用户具备自主安全保护的能力,阻止非法用户危害系统,保护入侵检测系统的正常运行。
5.1.2 第二级
本级划分了安全管理角色,以细化对入侵检测系统的管理。加入审计功能,使得授权管理员的行为是可追踪的。同时,还增加了保护系统数据、系统自身安全运行的措施。
5.1.3 第三级
本级通过增强审计、访问控制、系统的自身保护等要求,对入侵检测系统的正常运行提供更强的保护。本级还要求系统具有分布式部署、多级管理、集中管理、以及支持安全管理中心的能力。此外,还要求系统具有较强的抗攻击能力。
5.2 安全等级划分
5.2.1 网络型入侵检测系统安全等级划分
网络型入侵检测系统的安全等级划分如表1、表2所示。对网络型入侵检测系统的等级评定是依据下面两个表格,结合产品保证要求的综合评定得出的,符合第一级的网络型入侵检测系统应满足表1、表2中所标明的一级产品应满足的所有项目,以及对第一级产品的相关保证要求;符合第二级的网络型入侵检测系统应满足表1、表2中所标明的二级产品应满足的所有项目,以及对第二级产品的相关保证要求;符合第三级的网络型入侵检测系统应满足表1、表2、中所标明的三级产品应满足的所有项目,以及对第三级产品的相关保证要求。
5.2.2 主机型入侵检测系统安全等级划分
主机型入侵检测系统的安全等级划分如表3、表4所示。对主机型入侵检测系统的等级评定是依据下面两个表格,结合产品保证要求的综合评定得出的,符合第一级的主机型入侵检测系统应满足表3、表4中所标明的一级产品应满足的所有项目,以及对第一级产品的相关保证要求;符合第二级的主机型入侵检测系统应满足表3、表4中所标明的二级产品应满足的所有项目,以及对第二级产品的相关保证要求;符合第三级的主机型入侵检测系统应满足表3、表4中所标明的三级产品应满足的所有项目,以及对第三级产品的相关保证要求。
6 入侵检测系统技术要求
注:第6、7两章对每一等级的具体要求分别进行描述。其中“加粗宋体”表示所描述的内容在该级中第一次出现。
6.1 第一级
6.1.1 产品功能要求
6.1.1.1 数据探测功能要求
6.1.1.1.1 数据收集
网络型入侵检测系统应具有实时获取受保护网段内的数据包的能力。获取的数据包应足以进行检测分析。
主机型入侵检测系统应具有实时获取一种或多种操作系统下主机的各种状态信息的能力。
6.1.1.1.2 协议分析
网络型入侵检测系统至少应监视基于以下协议的事件:IP、ICMP、ARP、RIP、TCP、UDP、RPC、HTTP、FTP、TFTP、IMAP、SNMP、TELNET、DNS、SMTP、POP3、NETBIOS、NFS、NNTP
等。
6.1.1.1.3 行为监测
网络型入侵检测系统至少应监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等。
主机型入侵检测系统至少应监视以下行为:端口扫描、强力攻击、缓冲区溢出攻击、可疑连接等。
6.1.1.1.4 流量监测
网络型入侵检测系统应监视整个网络或者某一特定协议、地址、端口的报文流量和字节流量。
6.1.1.2 入侵分析功能要求
6.1.1.2.1 数据分析
网络型入侵检测系统应对收集的数据包进行分析,发现攻击事件。
主机型入侵检测系统应将收集到的信息进行分析,发现违反安全策略的行为,或者可能存在的入侵行为。
6.1.1.2.2 分析方式
网络型入侵检测系统应以模式匹配、协议分析、人工智能等一种或多种方式进行入侵分析。
6.1.1.3 入侵响应功能要求
6.1.1.3.1 安全告警
当系统检测到入侵时,应自动采取相应动作以发出安全警告。
6.1.1.3.2 告警方式
告警可以采取屏幕实时提示、E-mail告警、声音告警等几种方式。
6.1.1.3.3 阻断能力
系统在监测到网络上的非法连接时,可进行阻断。
6.1.1.4 管理控制功能要求
6.1.1.4.1 图形界面
系统应提供友好的用户界面用于管理、配置入侵检测系统。管理配置界面应包含配置和管理产品所需的所有功能。
6.1.1.4.2 事件数据库
系统的事件数据库应包括事件定义和分析、详细的漏洞修补方案、可采取的对策等。
6.1.1.4.3 事件分级
系统应按照事件的严重程度将事件分级,以使授权管理员能从大量的信息中捕捉到危险的事件。
6.1.1.4.4 策略配置
应提供方便、快捷的入侵检测系统策略配置方法和手段。
6.1.1.4.5 产品升级
系统应具有及时更新、升级产品和事件库的能力。
6.1.1.4.6 统一升级
网络型入侵检测系统应提供由控制台对各探测器的事件库进行统一升级的功能。
6.1.1.5 检测结果处理要求
6.1.1.5.1 事件记录
系统应记录并保存检测到的入侵事件。
入侵事件信息应至少包含以下内容:事件发生时间、源地址、目的地址、危害等级、事件详细描述以及解决方案建议等。
6.1.1.5.2 事件可视化
用户应能通过管理界面实时清晰地查看入侵事件。
6.1.1.5.3 报告生成
系统应能生成详尽的检测结果报告。
6.1.1.5.4 报告查阅
系统应具有全面、灵活地浏览检测结果报告的功能。
6.1.1.5.5 报告输出
检测结果报告应可输出成方便用户阅读的文本格式,如字处理文件、HTML文件、文本文件等。
6.1.1.6 产品灵活性要求
6.1.1.6.1 报告定制
系统应支持授权管理员按照自己的要求修改和定制报告内容。
6.1.1.7 主机型入侵检测系统性能要求
6.1.1.7.1 稳定性
主机型入侵检测系统在主机正常工作状态下都应该工作稳定,不应造成被检测主机停机或死机现象。
6.1.1.7.2 CPU资源占用量
主机型入侵检测系统的CPU占有率不应明显影响主机的正常工作。
6.1.1.7.3 内存占用量
主机型入侵检测系统占用内存空间不应影响主机的正常工作。
6.1.1.7.4 用户登录和资源访问
主机型入侵检测系统不应影响所在目标主机上的合法用户登录及文件资源访问。
6.1.1.7.5 网络通信
主机型入侵检测系统不应影响所在目标主机的正常网络通信。
6.1.1.8 网络型入侵检测系统性能要求
6.1.1.8.1 误报率
网络型入侵检测系统应按照指定的测试方法、测试工具、测试环境和测试步骤测试产品的误报率。
产品应将误报率控制在应用许可的范围,不能对正常使用产品产生较大影响。
6.1.1.8.2 漏报率
网络型入侵检测系统应按照指定的测试方法、测试工具、测试环境和测试步骤,在正常网络流量下和各种指定的网络背景流量下,分别测试产品未能对指定的入侵行为进行告警的数据。系统应将漏报率控制在应用许可的范围,不能对正常使用产品产生较大影响。
6.1.2 产品安全要求
6.1.2.1 身份鉴别
6.1.2.1.1 用户鉴别
应在用户执行任何与安全功能相关的操作之前对用户进行鉴别。
6.1.2.1.2 鉴别失败的处理
当用户鉴别尝试失败连续达到指定次数后,系统应锁定该帐号,并将有关信息生成审计事件。最多失败次数仅由授权管理员设定。
6.1.2.2 用户管理
6.1.2.2.1 用户角色
系统应设置多个角色,并应保证每一个用户标识是全局唯一的。
6.1.2.3 事件数据安全
6.1.2.3.1 安全数据管理
系统应仅限于指定的授权角色访问事件数据,禁止其它用户对事件数据的操作。
6.1.2.3.2 数据保护
系统应在遭受攻击时,能够完整保留已经保存的事件数据。
6.1.2.4 通信安全
6.1.2.4.1 通信完整性
系统应确保各组件之间传输的数据(如配置和控制信息、告警和事件数据等)不被泄漏或篡改。
6.1.2.4.2 通信稳定性
应采取点到点协议等保证通信稳定性的方法,保证各部件和控制台之间传递的信息不因网络故障而丢失或延迟。
6.1.2.4.3 升级安全
系统应确保事件库和版本升级时的通信安全,应确保升级包是由开发商提供的。
6.1.2.5 产品自身安全
6.1.2.5.1 自我隐藏
网络型入侵检测系统应采取隐藏探测器IP地址等措施使自身在网络上不可见,以降低被攻击的可能性。
6.1.2.5.2 自我保护
主机型入侵检测系统应具有自我保护功能(如防止程序被非法终止,停止告警)。
6.1.3 产品保证要求
6.1.3.1 配置管理
开发者应为系统的不同版本提供唯一的标识。
系统的每个版本应当使用它们的唯一标识作为标签。
6.1.3.2 交付与运行
开发者应提供文档说明系统的安装、生成和启动的文档。
6.1.3.3 安全功能开发
6.1.3.3.1 功能设计
开发者应提供系统的安全功能设计文档。
功能设计应以非形式方法来描述安全功能与其外部接口,并描述使用外部安全功能接口的目的与方法,在需要的时候,还要提供例外情况和出错信息的细节。
6.1.3.3.2 表示对应性
开发者应在产品安全功能表示的所有相邻对之间提供对应性分析。
6.1.3.4 文档要求
6.1.3.4.1 管理员指南
开发者应提供授权管理员使用的管理员指南。
管理员指南应说明以下内容:
a) 系统可以使用的管理功能和接口;
b) 怎样安全地管理系统;
c) 在安全处理环境中应进行控制的功能和权限;
d) 所有对与系统的安全操作有关的用户行为的假设;
e) 所有受管理员控制的安全参数,如果可能,应指明安全值;
f) 每一种与管理功能有关的安全相关事件,包括对安全功能所控制的实体的安全特性进行的改变;
g) 所有与授权管理员有关的IT环境的安全要求。
管理员指南应与为评价而提供的其他所有文件保持一致。
6.1.3.4.2 用户指南
开发者应提供用户指南。
用户指南应说明以下内容:
a) 系统的非管理用户可使用的安全功能和接口;
b) 系统提供给用户的安全功能和接口的用法;
c) 用户可获取但应受安全处理环境控制的所有功能和权限;
d) 系统安全操作中用户所应承担的职责;
e) 与用户有关的IT环境的所有安全要求。
用户指南应与为评价而提供的其他所有文件保持一致。
6.1.3.5 开发安全要求
开发者应提供开发安全文件。
开发安全文件应描述在系统的开发环境中,为保护系统设计和实现的机密性和完整性,而在物理上、程序上、人员上以及其他方面所采取的必要的安全措施。开发安全文件还应提供在系统的开发和维护过程中执行安全措施的证据。
6.1.3.6 测试
6.1.3.6.1 范围
开发者应提供测试覆盖的分析结果。
测试覆盖的分析结果应表明测试文档中所标识的测试与安全功能设计中所描述的安全功能是对应的。
6.1.3.6.2 功能测试
开发者应测试安全功能,并提供相应的测试文档。
测试文档应包括测试计划、测试规程、预期的测试结果和实际测试结果。测试计划应标识要测试的安全功能,并描述测试的目标。测试规程应标识要执行的测试,并描述每个安全功能的测试概况,这些概况包括对其它测试结果的顺序依赖性。期望的测试结果应表明测试成功后的预期输出。实际测试结果应表明每个被测试的安全功能能按照规定进行运作。
6.2 第二级
6.2.1 产品功能要求
6.2.1.1 入侵分析功能要求
6.2.1.1.1 防躲避能力
网络型入侵检测系统应能发现躲避或欺骗检测的行为,如IP碎片重组,TCP流重组,协议端口重定位,URL字符串变形,shell代码变形等。
6.2.1.1.2 事件合并
网络型入侵检测系统应具有对高频度发生的相同安全事件进行合并告警,避免出现告警风暴的能力。
6.2.1.2 入侵响应功能要求
6.2.1.2.1 排除响应
网络型入侵检测系统应允许用户定义对被检测网段中指定的主机或特定的事件不予告警,降低误报。
6.2.1.2.2 定制响应
网络型入侵检测系统应允许用户对被检测网段中指定的主机或特定的事件定制不同的响应方式,
以对特定的事件突出告警。
6.2.1.2.3 防火墙联动
网络型入侵检测系统应具有与防火墙进行联动的能力,可按照设定的联动策略自动调整防火墙配置。
6.2.1.3 管理控制功能要求
6.2.1.3.1 分布式部署
网络型入侵检测系统应具有本地或异地分布式部署、远程管理的能力。
6.2.1.3.2 集中管理
系统应设置集中管理中心,对分布式、多级部署的入侵检测系统进行统一集中管理,形成多级管理结构。
6.2.1.3.3 同台管理
对同一个厂家生成的产品,如果同时具有网络型入侵检测系统和主机型入侵检测系统,二者可被同一个控制台统一进行管理。
6.2.1.3.4 端口分离
网络型入侵检测系统的探测器应配备不同的端口分别用于产品管理和网络数据监听。
6.2.1.4 产品灵活性要求
6.2.1.4.1 窗口定义
系统应支持用户自定义窗口显示的内容和显示方式。
6.2.1.4.2 事件定义
系统应允许授权管理员自定义事件,或者对开发商提供的事件作修改,并应提供方便、快捷的定义方法。
6.2.1.4.3 协议定义
网络型入侵检测系统除支持默认的网络协议集外,还应允许授权管理员定义新的协议,或对协议的端口进行重新定位。
6.2.1.4.4 通用接口
系统应提供对外的通用接口,以便与其它安全设备(如网络管理软件、防火墙等)共享信息或规范化联动。
6.2.2 产品安全要求
6.2.2.1 身份鉴别
6.2.2.1.1 超时设置
应具有管理员登录超时重新鉴别功能。在设定的时间段内没有任何操作的情况下,终止会话,需要再次进行身份鉴别才能够重新管理产品。最大超时时间仅由授权管理员设定。
6.2.2.1.2 会话锁定
系统应允许用户锁定自己的交互会话,锁定后需要再次进行身份鉴别才能够重新管理产品。
6.2.2.2 用户管理
6.2.2.2.1 用户属性定义
系统应为每一个用户保存安全属性表,属性应包括:用户标识、鉴别数据(如密码)、授权信息或用户组信息、其它安全属性等。
6.2.2.2.2 安全行为管理
系统应仅限于已识别了的指定的授权角色对产品的功能具有禁止、修改的能力。
6.2.2.3 安全审计
6.2.2.3.1 审计数据生成
应能为下述可审计事件产生审计记录:审计功能的启动和关闭,审计级别以内的所有可审计事件(如鉴别失败等重大事件)等。应在每个审计记录中至少记录如下信息:事件的日期和时间,事件类型,主体身份,事件的结果(成功或失败)等。
6.2.2.3.2 审计数据可用性
审计数据的记录方式应便于用户理解。
6.2.2.3.3 审计查阅
系统应为授权管理员提供从审计记录中读取全部审计信息的功能。
6.2.2.3.4 受限的审计查阅
除了具有明确的读访问权限的授权管理员之外,系统应禁止所有其它用户对审计记录的读访问。
6.2.2.4 产品自身安全
6.2.2.4.1 自我监测
网络型入侵检测系统在启动和正常工作时,应周期性地、或者按照授权管理员的要求执行自检,以验证产品自身执行的正确性。
6.2.3 产品保证要求
6.2.3.1 配置管理
6.2.3.1.1 配置管理能力
开发者应使用配置管理系统并提供配置管理文档,以及为产品的不同版本提供唯一的标识。
配置管理系统应对所有的配置项作出唯一的标识,并保证只有经过授权才能修改配置项。
配置管理文档应包括配置清单和配置管理计划。在配置清单中,应对每一配置项给出相应的描述;
在配置管理计划中,应描述配置管理系统是如何使用的。实施的配置管理应与配置管理计划相一致。
配置管理文档还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效地维护的证据。
6.2.3.1.2 配置管理范围
开发者应提供配置管理文档。
配置管理文档应说明配置管理系统至少能跟踪:产品实现表示、设计文档、测试文档、用户文档、管理员文档和配置管理文档,并描述配置管理系统是如何跟踪配置项的。
6.2.3.2 交付与运行
6.2.3.2.1 交付
开发者应使用一定的交付程序交付产品,并将交付过程文档化。
交付文档应描述在给用户方交付产品的各版本时,为维护安全所必需的所有程序。
6.2.3.2.2 安装生成
开发者应提供文档说明系统的安装、生成和启动的文档。
6.2.3.3 安全功能开发
6.2.3.3.1 功能设计
开发者应提供系统的安全功能设计文档。
功能设计应以非形式方法来描述安全功能与其外部接口,并描述使用外部安全功能接口的目的与方法,在需要的时候,还要提供例外情况和出错信息的细节。
6.2.3.3.2 高层设计
开发者应提供产品安全功能的高层设计。
高层设计应以非形式方法表述并且是内在一致的。为说明安全功能的结构,高层设计应将安全功能分解为各个安全功能子系统进行描述,并阐明如何将有助于加强产品安全功能的子系统和其它子系统分开。对于每一个安全功能子系统,高层设计应描述其提供的安全功能,标识其所有接口以及哪些接口是外部可见的,描述其所有接口的使用目的与方法,并提供安全功能子系统的作用、例外情况和出错信息的细节。高层设计还应标识系统安全要求的所有基础性的硬件、固件和软件,并且支持由这些硬件、固件或软件所实现的保护机制。
6.2.3.3.3 表示对应性
开发者应在产品安全功能表示的所有相邻对之间提供对应性分析。
6.2.3.4 文档要求
6.2.3.4.1 管理员指南
开发者应提供授权管理员使用的管理员指南。
管理员指南应说明以下内容:
a) 产品管理员可以使用的管理功能和接口;
b) 怎样安全地管理系统;
c) 在安全处理环境中应进行控制的功能和权限;
d) 所有对与系统的安全操作有关的用户行为的假设;
e) 所有受管理员控制的安全参数,如果可能,应指明安全值;
f) 每一种与管理功能有关的安全相关事件,包括对安全功能所控制的实体的安全特性进行的改变;
g) 所有与授权管理员有关的IT环境的安全要求。
管理员指南应与为评价而提供的其他所有文件保持一致。
6.2.3.4.2 用户指南
开发者应提供用户指南。
用户指南应说明以下内容:
a) 系统的非管理用户可使用的安全功能和接口;
b) 系统提供给用户的安全功能和接口的用法;
c) 用户可获取但应受安全处理环境控制的所有功能和权限;
d) 系统安全操作中用户所应承担的职责;
e) 与用户有关的IT环境的所有安全要求。
用户指南应与为评价而提供的其他所有文件保持一致。
6.2.3.5 开发安全要求
开发者应提供开发安全文件。
开发安全文件应描述在系统的开发环境中,为保护系统设计和实现的机密性和完整性,而在物理上、程序上、人员上以及其他方面所采取的必要的安全措施。开发安全文件还应提供在系统的开发和维护过程中执行安全措施的证据。
6.2.3.6 测试
6.2.3.6.1 范围
开发者应提供测试覆盖的分析结果。
测试覆盖的分析结果应表明测试文档中所标识的测试与安全功能设计中所描述的安全功能是对应
的,且该对应是完整的。
6.2.3.6.2 测试深度
开发者应提供测试深度的分析。
在深度分析中,应说明测试文档中所标识的对安全功能的测试,足以表明该安全功能和高层设计是一致的。
6.2.3.6.3 功能测试
开发者应测试安全功能,并提供相应的测试文档。
测试文档应包括测试计划、测试规程、预期的测试结果和实际测试结果。测试计划应标识要测试的安全功能,并描述测试的目标。测试规程应标识要执行的测试,并描述每个安全功能的测试概况,这些概况包括对其它测试结果的顺序依赖性。期望的测试结果应表明测试成功后的预期输出。实际测试结果应表明每个被测试的安全功能能按照规定进行运作。
6.2.3.6.4 独立性测试
开发者应提供证据证明,开发者提供的系统经过独立的第三方测试并通过。
6.2.3.7 脆弱性评定
6.2.3.7.1 指南检查
开发者应提供文档。
在文档中,应确定对系统的所有可能的操作方式(包括失败和操作失误后的操作)、它们的后果以及对于保持安全操作的意义。文档中还应列出所有目标环境的假设以及所有外部安全措施(包括外部程序的、物理的或人员的控制)的要求。文档应是完整的、清晰的、一致的、合理的。
6.2.3.7.2 脆弱性分析
开发者应从用户可能破坏安全策略的明显途径出发,对系统的各种功能进行分析并形成文档。对被确定的脆弱性,开发者应明确记录采取的措施。
对每一条脆弱性,应能够显示在使用系统的环境中该脆弱性不能被利用。
6.3 第三级
6.3.1 产品功能要求
6.3.1.1 入侵分析功能要求
6.3.1.1.1 事件关联
网络型入侵检测系统应具有把不同的事件关联起来,发现低危害事件中隐含的高危害攻击的能力。
6.3.1.2 入侵响应功能要求
6.3.1.2.1 全局预警
网络型入侵检测系统应具有全局预警功能,控制台可在设定全局预警的策略后,将局部出现的重大安全事件通知其上级控制台或者下级控制台。
6.3.1.2.2 入侵管理
网络型入侵检测系统应具有全局安全事件的管理能力,可与安全管理中心或网络管理中心进行联动。
6.3.1.2.3 其它设备联动
网络型入侵检测系统应具有与其它网络设备和网络安全部件(如漏洞扫描,交换机)按照设定的策略进行联动的能力。
6.3.1.3 管理控制功能要求
6.3.1.3.1 多级管理
网络型入侵检测系统应具有多级管理、分级管理的能力。
6.3.1.4 网络型入侵检测系统性能要求
6.3.1.4.1 还原能力
网络型入侵检测系统应对HTTP、FTP、SMTP、POP3、Telnet等主要的网络协议通信进行内容
恢复和还原;当背景数据流低于网络有效带宽的80%时,系统应保证数据的获取和还原能够正常进行。
6.3.2 产品安全要求
6.3.2.1 身份鉴别
6.3.2.1.1 多鉴别机制
系统应提供多种鉴别方式,或者允许授权管理员执行自定义的鉴别措施,以实现多重身份鉴别措施。多鉴别机制应同时使用。
6.3.2.1.2 鉴别数据保护
应保护鉴别数据不被未授权查阅和修改。
6.3.2.2 用户管理
6.3.2.2.1 安全属性管理
系统应仅限于的已识别了的指定的授权角色可以对指定的安全属性进行查询、修改、删除、改变其默认值等操作。
6.3.2.3 事件数据安全
6.3.2.3.1 数据存储告警
系统应在发生事件数据存储器空间将耗尽等情况时,自动产生告警,并采取措施避免事件数据丢失。产生告警的剩余存储空间大小应由用户自主设定。
6.3.3 产品保证要求
6.3.3.1 配置管理
6.3.3.1.1 配置管理能力
开发者应使用配置管理系统并提供配置管理文档,以及为系统的不同版本提供唯一的标识。
配置管理系统应对所有的配置项作出唯一的标识,并保证只有经过授权才能修改配置项,还应支持系统基本配置项的生成。
配置管理文档应包括配置清单、配置管理计划以及接受计划。配置清单用来描述组成系统的配置项。
在配置管理计划中,应描述配置管理系统是如何使用的。实施的配置管理应与配置管理计划相一致。在接受计划中,应描述对修改过或新建的配置项进行接受的程序。
配置管理文档还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效地维护的证据。
6.3.3.1.2 配置管理范围
开发者应提供配置管理文档。
配置管理文档应说明配置管理系统至少能跟踪:系统实现表示、设计文档、测试文档、用户文档、管理员文档、配置管理文档和安全缺陷,并描述配置管理系统是如何跟踪配置项的。
6.3.3.2 交付与运行
6.3.3.2.1 交付
开发者应使用一定的交付程序交付系统,并将交付过程文档化。
交付文档应包括以下内容:
a) 在给用户方交付系统的各版本时,为维护安全所必需的所有程序;
b) 开发者的向用户提供的产品版本和用户收到的版本之间的差异以及如何监测对产品的修改;
c) 如何发现他人伪装成开发者修改用户的产品。
6.3.3.2.2 安装生成
开发者应提供文档说明系统的安装、生成和启动的文档。
6.3.3.3 安全功能开发
6.3.3.3.1 功能设计
开发者应提供系统的安全功能设计文档。
安全功能设计应以非形式方法来描述安全功能与其外部接口,并描述使用外部安全功能接口的目的与方法,在需要的时候,还要提供例外情况和出错信息的细节。
6.3.3.3.2 高层设计
开发者应提供产品安全功能的高层设计。
高层设计应以非形式方法表述并且是内在一致的。为说明安全功能的结构,高层设计应将安全功能分解为各个安全功能子系统进行描述,并阐明如何将有助于加强产品安全功能的子系统和其它子系统分开。对于每一个安全功能子系统,高层设计应描述其提供的安全功能,标识其所有接口以及哪些接口是外部可见的,描述其所有接口的使用目的与方法,并提供安全功能子系统的作用、例外情况和出错信息的细节。高层设计还应标识系统安全要求的所有基础性的硬件、固件和软件,并且支持由这些硬件、固件或软件所实现的保护机制。
6.3.3.3.3 安全功能的实现
开发者应为选定的产品安全功能子集提供实现表示。
实现表示应无歧义而且详细地定义产品安全功能,使得不需要进一步的设计就能生成该安全功能的子集。实现表示应是内在一致的。
6.3.3.3.4 低层设计
开发者应提供产品安全功能的低层设计。
低层设计应是非形式化、内在一致的。在描述产品安全功能时,低层设计应采用模块术语,说明每一个安全功能模块的目的,并标识安全功能模块的所有接口和安全功能模块可为外部所见的接口,
以及安全功能模块所有接口的目的与方法,适当时,还应提供接口的作用、例外情况和出错信息的细节。
低层设计还应包括以下内容:
a) 以安全功能性术语及模块的依赖性术语,定义模块间的相互关系;
b) 说明如何提供每一个安全策略的强化功能;
c) 说明如何将系统加强安全策略的模块和其它模块分离开。
6.3.3.3.5 表示对应性
开发者应在产品安全功能表示的所有相邻对之间提供对应性分析。
6.3.3.4 文档要求
6.3.3.4.1 管理员指南
开发者应提供授权管理员使用的管理员指南。
管理员指南应说明以下内容:
a) 产品管理员可以使用的管理功能和接口;
b) 怎样安全地管理系统;
c) 在安全处理环境中应进行控制的功能和权限;
d) 所有对与系统的安全操作有关的用户行为的假设;
e) 所有受管理员控制的安全参数,如果可能,应指明安全值;
f) 每一种与管理功能有关的安全相关事件,包括对安全功能所控制的实体的安全特性进行的改变;
g) 所有与授权管理员有关的IT环境的安全要求。
管理员指南应与为评价而提供的其他所有文件保持一致。
6.3.3.4.2 用户指南
开发者应提供用户指南。
用户指南应说明以下内容:
a) 系统的非管理用户可使用的安全功能和接口;
b) 系统提供给用户的安全功能和接口的用法;
c) 用户可获取但应受安全处理环境控制的所有功能和权限;
d) 系统安全操作中用户所应承担的职责;
e) 与用户有关的IT环境的所有安全要求。
用户指南应与为评价而提供的其他所有文件保持一致。
6.3.3.5 开发安全要求
开发者应提供开发安全文件。
开发安全文件应描述在系统的开发环境中,为保护系统设计和实现的机密性和完整性,而在物理上、程序上、人员上以及其他方面所采取的必要的安全措施。开发安全文件还应提供在系统的开发和维护过程中执行安全措施的证据。
6.3.3.6 测试
6.3.3.6.1 范围
开发者应提供测试覆盖的分析结果。
测试覆盖的分析结果应表明测试文档中所标识的测试与安全功能设计中所描述的安全功能是对应的,且该对应是完整的。
6.3.3.6.2 测试深度
开发者应提供测试深度的分析。
在深度分析中,应说明测试文档中所标识的对安全功能的测试,足以表明该安全功能和高层设计是一致的。
6.3.3.6.3 功能测试
开发者应测试安全功能,并提供相应的测试文档。
测试文档应包括测试计划、测试规程、预期的测试结果和实际测试结果。测试计划应标识要测试的安全功能,并描述测试的目标。测试规程应标识要执行的测试,并描述每个安全功能的测试概况,这些概况包括对其它测试结果的顺序依赖性。期望的测试结果应表明测试成功后的预期输出。实际测试结果应表明每个被测试的安全功能能按照规定进行运作。
6.3.3.6.4 独立性测试
开发者应提供证据证明,开发者提供的系统经过独立的第三方测试并通过。
6.3.3.7 脆弱性评定
6.3.3.7.1 指南检查
开发者应提供文档。
在文档中,应确定对系统的所有可能的操作方式(包括失败和操作失误后的操作)、它们的后果以及对于保持安全操作的意义。文档中还应列出所有目标环境的假设以及所有外部安全措施(包括外部程序的、物理的或人员的控制)的要求。文档应是完整的、清晰的、一致的、合理的。在分析文档中,应阐明文档是完整的。
6.3.3.7.2 脆弱性分析
开发者应从用户可能破坏安全策略的明显途径出发,对系统的各种功能进行分析并形成文档。对被确定的脆弱性,开发者应明确记录采取的措施。
对每一条脆弱性,应能够显示在使用系统的环境中该脆弱性不能被利用。
7 入侵检测系统测评方法
7.1 测试环境
入侵检测系统功能测试的典型网络拓扑结构如图1所示。
测试设备包括测试所需的交换机、测试工具集、模拟攻击源计算机、模拟被攻击计算机、主机型入侵检测系统宿主机,以及入侵检测系统控制台、网络型入侵检测系统探测器等。其中,模拟攻击源计算机和被攻击计算机可以为多台,并可安装不同的操作系统和应用软件。
7.2 测试工具
可用的测试工具包括但不限于:专用的网络性能分析仪生成网络背景流量;网络数据包获取软件进行包回放;扫描工具和攻击工具包测试产品报警能力。
只要有利于科学、公正、可重复地得到入侵检测系统的测试结果,可采取多种测试工具和测试方法对系统进行测试。
7.3 第一级
7.3.1 产品功能测试
7.3.1.1 数据探测功能测试
7.3.1.1.1 数据收集
a) 测试评价方法:
1) 对网络型入侵检测系统,检查是否具有实时获取受保护网段内的数据包的能力;
2) 对主机型入侵检测系统,针对主机进行指定的操作(至少包括远程登录,猜测口令,访问服务,删除文件等),检查系统是否能够收集到这些信息。
b) 测试评价结果:
1) 网络型入侵检测系统应能够获取足够的网络数据包以分析入侵事件;
2) 主机型入侵检测系统应能够获得一种或多种操作系统的各种操作和状态信息。
7.3.1.1.2 协议分析
a) 测试评价方法:
1) 打开网络型入侵检测系统的安全策略配置,检查安全事件的描述是否具有协议类型等属性;
2) 检查产品说明书,查找关于协议分析方法的说明,按照系统所声明的协议分析类型,抽样生成协议事件,组成攻击事件测试集;
3) 配置系统的检测策略为最大策略集;
4) 发送攻击事件测试集中的所有事件,记录系统的检测结果。
b) 测试评价结果:
1) 记录系统报告的攻击名称和类型;
2) 产品说明书中声称能够监视的协议的事件至少包括以下类型:IP、ICMP、ARP、RIP、TCP、UDP、RPC、HTTP、FTP、TFTP、IMAP、SNMP、TELNET、DNS、SMTP、
POP3、NETBIOS、NFS、NNTP等,抽样测试应未发现矛盾之处;
3) 列举系统支持的所有入侵分析方法。
7.3.1.1.3 行为监测
a) 测试评价方法:
1) 从已有的事件库中选择具有不同特征的多个事件,组成攻击事件测试集。选取的事件应包括:端口扫描类事件(如TCP端口扫描、UDP端口扫描、ICMP分布式主机扫描等)、拒绝服务类事件(如SYNFLOOD、UDPFLOOD、ICMPFLOOD、IGMP拒绝服务等)、后门类事件(如BO、Netbus、Dolly等)、蠕虫类事件(如红色代码、冲击波、振荡波等)、溢出类事件(如FTP_命令溢出、SMTP_HELO_缓冲区溢出、POP3_foxmail_5.0_缓冲区溢出、Telnet_Solaris_telnet_缓冲区溢出、HTTP_IIS_Unicode_漏洞、MSSQL2000_远程溢出、FTP_AIX_溢出漏洞等)、强力攻击和弱口令类事件(如SMTP、HTTP、FTP、MSSQLSERVER、FTP_弱口令、POP3_弱口令等)、以及其它具有代表性的网络攻击事件,
测试网络型入侵检测系统;
2) 从已有的事件库中选择具有不同特征的多个事件,组成攻击事件测试集。选取的事件应包括:端口扫描类事件、强力攻击类事件、缓冲区溢出类事件、可疑连接、以及其它具有代表性的主机攻击事件,测试主机型入侵检测系统;
3) 配置系统的检测策略为最大策略集;
4) 发送攻击事件测试集中的所有事件,记录系统的检测结果。
b) 测试评价结果:
1) 对攻击事件测试集的攻击,系统应报告相应的入侵事件,包括事件名称、攻击源地址、目地址、事件发生时间、重要级别等信息;
2) 记录系统报告的攻击名称和类型。
7.3.1.1.4 流量监测
a) 测试评价方法:
1) 开启流量显示功能,定义流量事件,查看流量显示界面,显示流量变化;
2) 对某一服务器发起大流量的攻击,如ping flood;
3) 对特定的端口(如80端口)发起拒绝服务攻击。
b) 测试评价结果:
1) 可以显示出各种流量信息;
2) 可以显示出正在遭受攻击(如ping flood)的服务器;
3) 可以显示出网络中正遭受的拒绝服务攻击;
4) 列举提供的流量监测内容,如流量事件、不同协议的流量显示曲线等。
7.3.1.2 入侵分析功能测试
7.3.1.2.1 数据分析
a) 测试评价方法:
1) 从已有的事件库中选择具有不同特征的多个事件,组成攻击事件测试集。选取的事件应包括扫描类事件、拒绝服务类事件、后门类事件、蠕虫类事件、溢出类事件、暴力猜解和弱
口令类事件、以及其它具有代表性的攻击事件;
2) 配置系统的检测策略为最大策略集;
3) 发送攻击事件测试集中的所有事件,记录系统的检测结果。
b) 测试评价结果:
1) 对攻击事件测试集的攻击,系统应报告相应的入侵事件,包括事件名称、攻击源地址、目地址、事件发生时间、重要级别等信息;
2) 记录系统报告的攻击名称和类型。
7.3.1.2.2 分析方式
a) 测试评价方法:
1) 检查系统的事件库;
2) 打开系统的安全策略配置,检查安全事件的描述是否具有协议类型等属性;
3) 检查产品说明书,查找关于产品分析方法的说明,按照系统所声明的各类分析方法,在系统中进行检查确认。
b) 测试评价结果:
1) 应具备安全事件库;
2) 列举系统支持的所有入侵分析方法。
7.3.1.3 入侵响应功能测试
7.3.1.3.1 安全告警
a) 测试评价方法:
1) 触发一定的安全事件,查看是否有告警信息;
2) 检查报警界面的显示信息是否分级别显示;
3) 查看报警信息的详细记录;
4) 查看报警事件的详细解释。
b) 测试评价结果:
1) 可以显示告警信息;
2) 报警信息可以分为高、中、低等级别显示;
3) 对于每条报警信息记录详细的参数;
4) 对于每条报警事件能够给出详细解释和建议解决方案;
5) 事件的详细解释最好为中文。
7.3.1.3.2 告警方式
a) 测试评价方法:
1) 打开菜单,查看告警方式的选择;
2) 依次选择各种告警方式,测试是否能够按照指定的方法告警。
b) 测试评价结果:可以采取屏幕实时提示、声音告警、SNMP trap消息、E-mail告警、运行指定应用程序等告警方式。记录并列出所有告警方式。
7.3.1.3.3 阻断能力
a) 测试评价方法:
1) 检查系统的响应策略配置界面是否具有阻断选项;
2) 选中对攻击事件的阻断选项,检查系统在监测到相应攻击时是否进行阻断。
b) 测试评价结果:
1) 能够对监测到的非法连接配置阻断选项;
2) 在监测到网络上的非法连接时,可成功进行阻断。
7.3.1.4 管理控制功能测试
7.3.1.4.1 图形界面
a) 测试评价方法:
1) 登录控制台界面;
2) 查看用户界面的功能,包括管理配置界面、报警显示界面等;
3) 通过界面配置控制台和探测器的连接。
b) 测试评价结果:
1) 具备独立的控制台;
2) 具有图形化的管理界面;
3) 具备划分清晰功能区域的报警显示界面。
7.3.1.4.2 事件数据库
a) 测试评价方法:
1) 检查系统是否把检测到的事件存储到相应的数据中;
2) 检查系统支持的数据库格式。
b) 测试评价结果:
1) 系统提供存储安全事件的数据库,除部署单独的数据库服务器外,正常情况下不须单独安装第三方数据库;
2) 数据库应包括事件定义和分析、详细的漏洞修补方案、可采取的对策等内容;
3) 列举系统支持的数据库格式。
7.3.1.4.3 事件分级
a) 测试评价方法:
1) 打开系统的事件库,检查是否每个事件都有分级信息;
2) 检查界面显示的攻击事件是否具备事件级别信息。
b) 测试评价结果:
1) 事件库的所有事件都具有分级信息;
2) 界面显示的攻击事件,都以文字或色彩等形式显示了事件级别。
7.3.1.4.4 策略配置
a) 测试评价方法:
1) 打开菜单,查看系统提供的默认策略;
2) 查看是否允许编辑或修改生成新的策略。
b) 测试评价结果:
1) 系统应提供默认的策略,并可以直接应用;
2) 应允许用户编辑策略;
3) 具有供用户编辑策略的向导功能;
4) 支持策略的导入、导出;
5) 记录系统提供的策略种类和名称。
7.3.1.4.5 产品升级
a) 测试评价方法:
1) 检查事件特征库的升级方式;
2) 检查控制台的升级方式;
3) 检查探测器的升级方式。
b) 测试评价结果:
1) 特征库可以进行手动或自动的在线升级;
2) 升级的过程中探测器可以正常检测事件;
3) 应通过控制台来下发探测器的升级程序;
4) 列举事件库升级的方式、承诺的升级频率。
7.3.1.4.6 统一升级
a) 测试评价方法:从主控制台做特征库升级,来查看控制台是否可以在升级后将特征库下发给其下级控制台;
b) 测试评价结果:
1) 支持上级控制台将升级信息下发给下级控制台;
2) 提供由控制台对各探测器的事件库进行统一升级的功能。
7.3.1.5 检测结果处理要求
7.3.1.5.1 事件记录
a) 测试评价方法:
1) 检查系统是否具有记录事件的数据库,系统应记录并保存检测到的入侵事件;
2) 检查数据库是否具有维护功能。
b) 测试评价结果:
1) 系统具有记录事件的数据库。列举系统支持的数据库类型;
2) 具有数据库的自动或手工维护功能;
3) 记录的入侵事件信息应包含以下内容:事件发生时间、源地址、目的地址、危害等级、事件详细描述以及解决方案建议等。
7.3.1.5.2 事件可视化
a) 测试评价方法:
1) 登录控制台界面;
2) 检查通过界面,是否可以实时、清晰地查看到正在发生的入侵事件;
3) 触发一定的安全事件,查看报警界面的显示信息是否分级别显示。
b) 测试评价结果:
1) 具有查看入侵事件的图形化界面;
2) 显示界面具备清晰的功能区域,显示的信息包括事件名称、事件类型、事件级别、协议类型、发生时间、响应方式、相关参数,以及源和目的IP地址、MAC地址、端口号等内容;
3) 报警信息可以分为不同级别(如高、中、低等)显示。
7.3.1.5.3 报告生成
a) 测试评价方法:
1) 查看报告生成功能,查看报告的生成方式;
2) 查看生成报告的内容。
b) 测试评价结果:
1) 具有生成报告的功能;
2) 提供默认的模板以供快速生成报告;
3) 生成的报告包含表格形式、柱状图、饼图等,并可生成日报、周报等汇总报告。
7.3.1.5.4 报告查阅
a) 测试评价方法:检查系统提供的查阅、浏览检测结果报告的功能。
b) 测试评价结果:
1) 提供查阅、浏览检测结果报告的功能;
2) 可以根据事件名称、IP地址、时间等条件进行查询。
7.3.1.5.5 报告输出
a) 测试评价方法:
1) 检查报告是否可输出;
2) 检查系统支持的输出格式。
b) 测试评价结果:
1) 系统提供输出检测结果报告的功能;
2) 报告应可输出成方便用户阅读的格式,如字处理文件、HTML文件、文本文件等;
3) 报告最好为中文。
7.3.1.6 产品灵活性要求
7.3.1.6.1 报告定制
a) 测试评价方法:查看系统设置,是否支持报告内容的自定义。
b) 测试评价结果:
1) 系统允许用户定制报告类别、报告内容、报告风格等内容;
2) 列举系统支持的定制内容。
7.3.1.7 主机型入侵检测系统性能要求
7.3.1.7.1 稳定性
a) 测试评价方法:连续运行主机型入侵检测系统至少7天,检查是否造成被检测主机停机或死机。
b) 测试评价结果:在主机正常工作状态下,系统应工作稳定,不应造成被检测主机停机或死机现象。
7.3.1.7.2 CPU资源占用量
a) 测试评价方法:
1) 打开CPU监测工具(如windows平台的任务管理器等);
2) 运行主机型入侵检测系统的多项主要功能,记录在各种操作下CPU的利用情况。
b) 测试评价结果:CPU占有率不应明显影响主机的正常工作。
7.3.1.7.3 内存占用量
a) 测试评价方法:
1) 打开内存监测工具;
2) 运行主机型入侵检测系统的多项主要功能,记录在各种操作下内存的利用情况。
b) 测试评价结果:系统占用内存空间应在可接受的范围之内。
7.3.1.7.4 用户登录和资源访问
a) 测试评价方法:
1) 打开主机型入侵检测系统的网络访问监测和文件检测功能;
2) 对被检测的主机进行合法用户登录(本地及远程)、合法文件访问等操作,检查是否能够顺利完成。
b) 测试评价结果:系统不应影响所在目标主机上的合法用户登录及文件资源访问。
7.3.1.7.5 网络通信
a) 测试评价方法:
1) 打开主机型入侵检测系统的网络访问监控功能;
2) 对被检测的主机进行一系列的远程通信操作,检查是否能够顺利完成。
b) 测试评价结果:系统不应影响所在目标主机上的正常网络通信。
7.3.1.8 网络型入侵检测系统性能要求
7.3.1.8.1 误报率
a) 测试评价方法:
1) 在指定的网络带宽(百兆网络、千兆网络、或厂商声明的其它网络带宽)测试环境下,分别以64字节、128字节、512字节、1518字节大小的TCP数据包作为背景流量数据包,分别以满负荷背景流量的25%、50%、75%、99%作为背景流量强度,随机选择攻击的源地址、目的地址和端口,测试产品探测器在各环境下对网络数据包的最大收集能力。可测试多次取平均值,以PPS(每秒能够处理的数据包个数)为单位记录;
2) 在指定的网络带宽(百兆网络、千兆网络、或厂商声明的其它网络带宽)测试环境下,分别以64字节、128字节、512字节、1518字节大小的UDP数据包作为背景流量数据包,分别以满负荷背景流量的25%、50%、75%、99%作为背景流量强度,随机选择攻击的源地址、目的地址和端口,测试产品探测器在各环境下对网络数据包的最大收集能力。可测试多次取平均值,以PPS(每秒能够处理的数据包个数)为单位记录;
3) 在指定的网络带宽(百兆网络、千兆网络、或厂商声明的其它网络带宽)测试环境下,用模拟的真实网络数据包作为背景流量数据包,分别以满负荷背景流量的25%、50%、75%、99%作为背景流量强度,随机选择攻击的源地址、目的地址和端口,测试产品探测器在各环境下对网络数据包的最大收集能力。可测试多次取平均值,以PPS(每秒能够处理的数据包个数)为单位记录;
4) 在指定的网络带宽(百兆网络、千兆网络、或厂商声明的其它网络带宽)测试环境下,测试系统分别针对TCP和HTTP协议能够建立的真实会话连接数。可测试多次取平均值,以每秒能够建立的连接数为单位记录;
5) 利用误报测试工具或通过人工构造数据包的方式,生成虚假的攻击包,查看网络型入侵检测系统是否报警;
6) 依据已有的事件库,生成多个已知的攻击事件,查看网络型入侵检测系统是否正确报告出了事件名称。
b) 测试评价结果:
1) 记录在指定的网络带宽背景流量下,系统能够处理的TCP数据包的最大值;
2) 记录在指定的网络带宽背景流量下,系统能够处理的UDP数据包的最大值;
3) 记录在指定的网络带宽背景流量下,系统能够处理的真实模拟的网络数据包的最大值;
4) 记录系统分别针对TCP和HTTP协议能够建立的真实会话连接的最大值。
5) 对虚假的攻击包,网络型入侵检测系统不应该报警,如果有报警,则该条报警就是误报;
6) 对已知的攻击,系统所报告的入侵事件名称应正确无误,否则即为误报;
7) 记录测试的事件总数量和系统的误报数量。
7.3.1.8.2 漏报率
a) 测试评价方法:
1) 从已有的事件库中选择具有不同特征的多个事件,组成攻击事件测试集,发送攻击事件测试集中的所有事件,记录系统的检测结果;
2) 可选取部分攻击事件作为测试基线;选取64字节、128字节、512字节、1518字节大小的数据包作为背景流量,分别以满