(完整版)IDS测试方案-1-1.pdf

《(完整版)IDS测试方案-1-1.pdf》由会员分享，可在线阅读，更多相关《(完整版)IDS测试方案-1-1.pdf（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、(完整版)IDS 测试方案 2014-1-1IDS测试方案201401-01目目录录一、典型攻击测试.3(完整版)IDS 测试方案 2014-1-11.2.3。4.5。二、扫描类攻击.3DoS 类攻击.4后门类攻击.4代码类攻击.5规避测试.6入侵检测功能测试.7基于会话的入侵检测.7自定义事件.7响应策略编辑.7日志归并.8并行数据采集.8虚拟引擎.8高级协议识别.9SSL 加密数据检测.9VLAN Trunk 封装数据检测.9IP 盗用监控.9会话参数调整.10实时会话监控.10流量监控.10入侵日志缓存.10入侵响应.111。2.3。4。5.6.7.8.9.10。11。12。13.14.

2、15.三、管理功能测试.11用户管理功能.11引擎状态监控.11日志管理.12报表.12升级管理.13分级管理.13引擎时间修正.13上下文相关联机帮助.141。2.3.4。5。6.7.8。四、五、引擎自身安全性测试.14性能测试.14(完整版)IDS 测试方案 2014-1-1一、一、典型攻击测试典型攻击测试1.1.扫描类攻击扫描类攻击测试目的预制条件检测扫描类攻击测试 IDS 引擎及控制台已经开启并正常工作(完整版)IDS 测试方案 2014-1-1测试方法预期结果测试结果使用 Iris 软件,回放扫描类攻击包1.回放 nmap sF2.回放 fscan3.回放 HTTPXscanCGI

3、扫描4.回放 UNICODE5.回放 FTP-口令穷举探测6.回放 HTTP_口令穷举探测7.回放 NNTP_口令穷举探测8.回放 IMAP_口令穷举探测9.回放 POP3_口令穷举探测10.回放 TCP_冲击波蠕虫扫描可以检测到以上所作扫描攻击Nmap sFPass FailFscanPass FailHTTPXscanCGI 扫描Pass FailUNICODEPass FailFTP口令穷举探测Pass FailHTTP_口令穷举探测Pass FailNNTP_口令穷举探测Pass FailIMAP_口令穷举探测Pass FailPOP3_口令穷举探测Pass FailTCP_冲击波蠕虫

4、扫描Pass Fail2.2.DoSDoS 类攻击类攻击测试目的预制条件测试方法检测DOS 类攻击测试 IDS 引擎及控制台已经开启并正常工作使用 Iris 软件，回放 DOS 类攻击包1、回放 DOS TearDrop 攻击2、回放 DOS VOOB S 攻击3、回放 DOS WinNUKE S 攻击4、回放 Synflood 攻击5、回放 TCP_拒绝服务_winnuke_攻击6、回放 udpflood 攻击可以检测到以上所作 DOS 攻击Synflood 攻击udpflood 攻击DOS TearDrop 攻击DOS WinNUKE S 攻击预期结果测试结果Pass FailPass F

5、ailPass FailPass Fail3.3.后门类攻击后门类攻击测试目的检测后门类攻击(完整版)IDS 测试方案 2014-1-1预制条件测试方法预期结果测试结果测试 IDS 引擎及控制台已经开启并正常工作使用 Iris 软件,回放后门类攻击包1、回放 Backdoor 灰鸽子 辐射版 v0.3 连接客户端2、回放 glac847626 攻击3、回放 glac849000 攻击4、回放 winshell 攻击5、回放 Wollf 攻击6、回放广外女生攻击可以检测到以上所做的后门类攻击Backdoor 灰鸽子 辐射版 v0。3 连接客户端glac847626 攻击glac849000 攻击

6、winshell 攻击Wollf 攻击广外女生攻击Pass FailPass FailPass FailPass FailPass FailPass Fail4.4.代码类攻击代码类攻击测试目的预制条件测试方法检测代码攻击测试 IDS 引擎及控制台已经开启并正常工作使用 Iris 软件，回放后门类攻击包1.回放 12IDA（溢出）攻击2.回放 bsdtele 攻击3.回放 CDE ToolTalk 远程堆溢出漏洞攻击4.回放 cgi_gcuhl_u_webdistcgi2 攻击5.回放 HTTP cgixp U 攻击6.回放 Http_htsearch_读取任意文件尝试攻击7.回放 Http_

7、IIS_传输头查看代码 aaaaaaaaaaaaaaaaaaaaaaaaaaaaa 攻击8.回放 idq 攻击9.回放 iisx 攻击10.回放 MS RPC DCOM 攻击11.回放 MSSQLHACK 攻击12.回放 WEBDAV 攻击可以检测到以上所做的代码类攻击IDA（溢出）攻击Pass Failbsdtele 攻击Pass FailCDE ToolTalk 远程堆溢出漏洞攻击Pass Failcgi_gcuhl_u_webdistcgi2 攻击Pass FailHTTP cgixp U 攻击Pass FailHttp_htsearch_读取任意文件尝试攻击Pass FailHttp_

8、IIS_传输头查看代码Pass Failaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 攻击idq 攻击Pass Failiisx 攻击Pass FailMS RPC DCOM 攻击Pass Fail预期结果测试结果(完整版)IDS 测试方案 2014-1-1MSSQLHACK 攻击WEBDAV 攻击Pass FailPass Fail5.5.规避测试规避测试测试目的预制条件测试方法检测分片及编码攻击测试 IDS 引擎及控制台已经开启并正常工作使用 Iris 软件，回放规避类攻击包1.回放 fragroute base-1 攻击2.回放 fragroute frag-1 攻击3.回

9、放 fragroute frag-2 攻击4.回放 fragroute frag-3 攻击5.回放 fragroute frag-4 攻击6.回放 fragroute frag-5。攻击7.回放 fragroute frag6 攻击8.回放 fragroute frag7-unix 攻击9.回放 fragroute frag-7win32 攻击10.回放 fragroute ins2 攻击11.回放 fragroute tcbc-2 攻击12.回放 fragroute tcp-3 攻击13.回放 fragroute tcp-7 攻击14.回放 fragroute tcp-9 攻击15.回放 w

10、hiskerI0 攻击16.回放 whiskerI1 攻击17.回放 whiskerI2 攻击18.回放 whiskerI3 攻击19.回放 whiskerI4 攻击20.回放 whiskerI5 攻击21.回放 whiskerI6 攻击22.回放 whiskerI7 攻击23.回放 whiskerI8 攻击24.回放 whiskerI9 攻击IDS 不受影响，还可以正常工作，报告攻击fragroute base-1 攻击fragroute frag-1 攻击fragroute frag-2 攻击fragroute frag-3 攻击fragroute frag4 攻击fragroute fr

11、ag5。攻击fragroute frag6 攻击fragroute frag-7unix 攻击fragroute frag-7win32 攻击fragroute ins2 攻击fragroute tcbc2 攻击fragroute tcp-3 攻击预期结果测试结果Pass FailPass FailPass FailPass FailPass FailPass FailPass FailPass FailPass FailPass FailPass FailPass Fail(完整版)IDS 测试方案 2014-1-1fragroute tcp-7 攻击fragroute tcp9 攻击whi

12、skerI0 攻击whiskerI1 攻击whiskerI2 攻击whiskerI3 攻击whiskerI4 攻击whiskerI5 攻击whiskerI6 攻击whiskerI7 攻击whiskerI8 攻击whiskerI9 攻击Pass FailPass FailPass FailPass FailPass FailPass FailPass FailPass FailPass FailPass FailPass FailPass Fail二、二、入侵检测功能测试入侵检测功能测试1.1.基于会话的入侵检测基于会话的入侵检测测试目的预制条件测试方法预期结果测试结果验证测试 IDS 是否为基

13、于会话进行入侵分析测试 IDS 引擎及控制台已经开启并正常工作1.使用报文回放软件回放一个基于 TCP 的攻击，确保测试 IDS 可以报警；2.回放同一个攻击,但不包括TCP三次握手部分的三个数据包，并验证测试IDS是否报警；测试 IDS 时基于会话进行入侵分析，针对无 TCP 三次握手的攻击不报警2.2.自定义事件自定义事件测试目的预制条件测试方法验证测试 IDS 是否支持自定义事件功能测试 IDS 引擎及控制台已经开启并正常工作1.针对 telnet 协议 root 账号登录设置自定义事件;2.针对 FTP 协议下载指定文件名称设置自定义事件；3.针对 HTTP 协议内容部分指定字符串设置

14、自定义事件；4.执行相应操作，验证测试 IDS 是否报警自定义事件灵活、简便，并能准确报警预期结果测试结果3.3.响应策略编辑响应策略编辑测试目的预制条件测试方法验证测试 IDS 是否支持响应策略编辑功能测试 IDS 引擎及控制台已经开启并正常工作要求测试 IDS 可以支持源地址、目的地址、时间、响应等可选参数，并能设置响应策略优先级1.确定一个测试 IDS 可以报警的事件；2.设置策略来自攻击主机 A 的攻击在早 9 点至下午 5 点时的响应方式为控制台报警+记(完整版)IDS 测试方案 2014-1-1预期结果测试结果录日志+切断会话;3.设置策略来自攻击主机 B 的攻击在早 9 点至下午

15、 5 点时的响应方式为控制台报警+记录日志+报文回放;4.设置在早 9 点至下午 9 点之外的所有时间,来自所有攻击主机的响应方式为控制台报警+记录日志；可灵活编辑响应策略4.4.日志归并日志归并测试目的预制条件测试方法验证测试 IDS 是否支持日志归并功能测试 IDS 引擎及控制台已经开启并正常工作要求测试 IDS 可以支持源地址、目的地址、事件等归并基准，并可设置显示周期1.设置按事件进行归并;2.设置按源地址+事件进行归并;3.设置按目的地址+事件进行归并；4.设置 1 分钟显示一次；5.设置 2 分钟显示一次；可以按不同条件进行归并预期结果测试结果5.5.并行数据采集并行数据采集测试目

16、的预制条件测试方法验证测试 IDS 是否支持并行数据采集功能测试 IDS 引擎及控制台已经开启并正常工作1.在交换机上将被攻击主机所在接口的 TX、RX 分别镜像到交换机的 2 个端口;2.在攻击主机上向被攻击发起基于 TCP 的攻击；3.验证测试 IDS 是否可以报警；可以报警预期结果测试结果6.6.虚拟引擎虚拟引擎测试目的预制条件测试方法验证测试 IDS 是否支持虚拟引擎功能测试 IDS 引擎及控制台已经开启并正常工作1.在交换机上将被攻击主机所在端口镜像到 2 个不同的接口；2.在 IDS 上设置虚拟引擎，每个虚拟引擎分别接不同的镜像口；3.为每个虚拟引擎设置不同的策略；4.查看每个虚拟

17、的入侵检测日志;5.查看每个虚拟监控的流量信息；支持虚拟引擎功能，可为每个虚拟引擎单独配置策略，并单独查看日志及监控信息预期结果测试结果(完整版)IDS 测试方案 2014-1-17.7.高级协议识别高级协议识别测试目的预制条件测试方法验证测试 IDS 是否支持高级协议识别功能测试 IDS 引擎及控制台已经开启并正常工作1.针对 HTTP80、FTP21、Telnet23 知名端口进行攻击，并确保测试 IDS 可以报警；2.修改 HTTP、FTP、Telnet 为非知名端口；3.进行相同的攻击；4.验证测试 IDS 是否可以报警;测试 IDS 根据协议特征而非端口进行检测预期结果测试结果8.8

18、.SSLSSL 加密数据检测加密数据检测测试目的预制条件测试方法验证测试 IDS 是否支持 SSL 加密数据检测功能测试 IDS 引擎及控制台已经开启并正常工作1.搭建 HTTPS 服务器；2.在 HTTPS 下进行攻击；3.验证测试 IDS 是否可以报警;可以对 SSL 加密数据进行检测预期结果测试结果9.9.VLAN TrunkVLAN Trunk 封装数据检测封装数据检测测试目的预制条件测试方法验证测试 IDS 是否支持 VLAN Trunk 封装数据检测功能测试 IDS 引擎及控制台已经开启并正常工作1.确定测试 IDS 可以报警的攻击事件；2.搭建环境，让攻击报文进行 802。1Q

19、封装；3.搭建环境，让攻击报文进行 ISL 封装；4.验证测试 IDS 是否可以报警；测试 IDS 支持 VLAN Trunk 封装数据检测预期结果测试结果10.10.IPIP 盗用监控盗用监控测试目的预制条件测试方法验证测试 IDS 是否支持 IP 盗用监控功能测试 IDS 引擎及控制台已经开启并正常工作1.在 IDS 上设置 IP、MAC 地址绑定；2.修改一台主机的 IP 地址，验证测试 IDS 是否报警;3.将本机 IP 地址配置到另外一台主机上,验证测试 IDS 是否报警；可以对 IP、MAC 地址盗用进行报警预期结果测试结果(完整版)IDS 测试方案 2014-1-111.11.会

20、话参数调整会话参数调整测试目的预制条件测试方法验证测试 IDS 是否支持会话生成确认时间和会话维持时间调整测试 IDS 引擎及控制台已经开启并正常工作1.在 IDS 上设置会话生成确认时间；2.使用报文回放软件回放某个会话的 TCP 三次握手报文,三个报文依次回放,在会话生成确认时间内回放完成，并验证测试 IDS 是否可以建立会话；3.使用报文回放软件回放某个会话的 TCP 三次握手报文，三个报文依次回放,回放完前两个报文后，等超过会话生成确认时间再回放第三个报文，并验证测试 IDS 是否可以建立会话;4.在 IDS 上设置会话维持时间；5.建立 telnet 会话,登录后不做任何操作,并验证

21、在等待设定的会话维持时间后测试IDS 是否会清除该会话；测试 IDS 支持对会话生成确认时间和会话维持时间进行调整预期结果测试结果12.12.实时会话监控实时会话监控测试目的预制条件测试方法预期结果测试结果验证测试 IDS 是否支持实时会话监控功能测试 IDS 引擎及控制台已经开启并正常工作1.建立 HTTP、TELNET、FTP 等会话;2.验证测试 IDS 是否可以实时显示会话列表，并可以手动切断会话或保存会话内容；测试 IDS 可以实时显示会话列表,并可以手动切断会话或保存会话内容；实时会话列表显示Pass Fail手动切断会话Pass Fail保存会话内容Pass Fail13.13.

22、流量监控流量监控测试目的预制条件测试方法验证测试 IDS 是否支持实时会话监控功能测试 IDS 引擎及控制台已经开启并正常工作1.在攻击主机与被攻击主机之间进行正常访问生成正常网络流量，进行攻击生成攻击流量；2.验证测试 IDS 是否可以显示网络流量和攻击流量;测试 IDS 可以显示网络流量和攻击流量预期结果测试结果14.14.入侵日志缓存入侵日志缓存测试目的预制条件测试方法验证测试 IDS 在控制台没有连接引擎时是否支持引擎日志缓存功能测试 IDS 引擎及控制台已经开启并正常工作1.关闭控制台软件；2.进行攻击;3.重新打开控制台软件，验证测试 IDS 是否保存了此前的攻击日志；测试 IDS

23、 在控制台没有连接引擎时是否支持引擎日志缓存功能预期结果(完整版)IDS 测试方案 2014-1-1测试结果15.15.入侵响应入侵响应测试目的预制条件测试方法验证测试 IDS 是否支持丰富的入侵响应方式需要准备网御防火墙、CISCO 路由器和中国移动短信网关1.设置不同的响应方式；2.进行攻击回放；3.验证测试 IDS 是否支持相应的响应方式；测试 IDS 支持丰富的入侵响应方式控制台报警Pass Fail记录数据库Pass Fail声音报警Pass Fail邮件报警Pass Fail短信报警Pass FailSNMP TrapPass Fail报警消息器Pass Fail报文回放Pass

24、Fail切断会话Pass Fail网御防火墙联动Pass FailCISCO 路由器联动Pass Fail二次报警Pass Fail预期结果测试结果三、三、管理功能测试管理功能测试1.1.用户管理功能用户管理功能测试目的预制条件测试方法验证测试 IDS 是否支持用户管理功能测试 IDS 控制台已经开启并正常工作1.添加不同权限的用户，并验证是否具有不同的权限；2.是否可以设置用户登录失败锁定；3.用户登录失败锁定后是否可以邮件通知管理员；测试 IDS 具有用户管理功能用户权限分级Pass Fail登录失败锁定Pass Fail登录失败锁定邮件通知Pass Fail预期结果测试结果2.2.引擎状

25、态监控引擎状态监控测试目的预制条件验证测试 IDS 是否支持引擎状态监控功能测试 IDS 引擎及控制台已经开启并正常工作(完整版)IDS 测试方案 2014-1-1测试方法1.打开控制台，打开引擎状态监控窗口；2.查看引擎运行时间、CPU、内容、监控网络信息,并验证是否准确；3.控制台不能连接引擎时,是否可以通过邮件通知管理员预期结果测试结果测试 IDS 可以查看引擎状态引擎运行时间CPU 使用率内存使用率流量报文会话数丢包数引擎断开邮件通知Pass FailPass FailPass FailPass FailPass FailPass FailPass FailPass Fail3.3.日

26、志管理日志管理测试目的预制条件测试方法验证测试 IDS 是否支持日志管理功能测试 IDS 引擎及控制台已经开启并正常工作1.进行攻击,生成入侵日志;2.进行日志查看，是否可以支持丰富的查询参数；3.日志删除，是否可以灵活删除指定时间范围内的日志;4.是否支持手动备份日志功能；5.是否支持按周期、按时间、按大小等条件的自动日志备份功能；6.是否支持日志恢复功能；测试 IDS 支持日志管理功能日志查看Pass Fail日志删除Pass Fail手动备份日志Pass Fail自动备份日志Pass Fail日志恢复Pass Fail预期结果测试结果4.4.报表报表测试目的预制条件测试方法验证测试 ID

27、S 是否支持报表功能测试 IDS 引擎及控制台已经开启并正常工作1.进行攻击，生成入侵日志；2.生成入侵报表;3.生成汇总报表；4.生成流量报表；5.报表导出：rpt、doc、excel、html、xml、rtf 格式;6.按周、月、年自动生成报表并上传到指定的 FTP 服务器；测试 IDS 支持入侵、流量、汇总报表,支持报表导出功能，支持自动生成报表功能入侵报表Pass Fail流量报表Pass Fail汇总报表Pass Fail报表导出Pass Fail自动生成报表Pass Fail预期结果测试结果(完整版)IDS 测试方案 2014-1-15.5.升级管理升级管理测试目的预制条件测试方法

28、验证测试 IDS 是否支持升级管理功能测试 IDS 引擎及控制台已经开启并正常工作1.在控制台执行在线升级;2.在控制台执行脱机升级；3.在引擎执行在线升级；4.在引擎执行脱机升级测试 IDS 可以支持在线、脱机升级功能控制台在线升级控制台脱机升级引擎在线升级引擎脱机升级预期结果测试结果Pass FailPass FailPass FailPass Fail6.6.分级管理分级管理测试目的预制条件测试方法验证测试 IDS 是否支分级管理功能测试 IDS 引擎及控制台已经开启并正常工作，准备 2 个以上控制台主机1.设置好分级管理；2.下级管理中心接一台 IDS；3.进行攻击，并验证上级管理中心

29、是否可以收到下级管理中心的报警;4.在上级管理中心向下级管理中心下发策略,并验证下级管理中心是否可以正常接收并应用；5.在上级管理中心向下级管理中心发送全局消息和文件，并验证是否可以正常发送；6.在上级管理中心查看下级管理中心的引擎状态；7.在上级管理中心查看下级管理中心的特征库版本；测试 IDS 支持分级管理功能日志上报Pass Fail策略下发Pass Fail全局消息、文件共享Pass Fail全局引擎状态监控Pass Fail全局特征库版本监控Pass Fail预期结果测试结果7.7.引擎时间修正引擎时间修正测试目的预制条件测试方法验证测试 IDS 是否支持引擎时间修正功能测试 IDS

30、 引擎及控制台已经开启并正常工作一、登录引擎串口，修改系统时间，并验证是否可以正确修改；二、将控制台与引擎设备设置为不同的时间，在控制台执行引擎时间同步，并验证是否正确同步；三、将引擎系统时间设置为非标准时间,设置 NTP 时间同步,并验证是否可以正确同步时间;可以通过串口、控制台、NTP 时间服务器进行引擎的时间修正串口时间设置Pass Fail控制台时间同步Pass Fail预期结果测试结果(完整版)IDS 测试方案 2014-1-1NTP 时间同步Pass Fail8.8.上下文相关联机帮助上下文相关联机帮助测试目的预制条件测试方法预期结果测试结果验证测试 IDS 是否支持上下文相关的联

31、机帮助测试 IDS 控制台已经开启并正常工作打开控制台软件,验证测试 IDS 是否在相关操作界面提供了具有上下文相关的联机帮助功能IDS 支持上下文相关的联机帮助四、四、引擎自身安全性测试引擎自身安全性测试测试目的预制条件测试方法验证测试 IDS 引擎设备自身是否存在安全隐患测试 IDS 引擎及控制台已经开启并正常工作1.扫描测试 IDS 的监听端口，验证是否可以扫描到地址、端口等信息；2.在引擎上设置访问控制列表，限制访问，验证测试 IDS 是否可以正常管理；3.修改引擎的监听端口，验证测试 IDS 是否可以正常工作；预期结果测试结果测试 IDS 支持隐蔽部署，访问控制，并可以修改监听端口隐蔽部署Pass Fail访问控制列表Pass Fail通讯端口可修改Pass Fail五、五、性能测试性能测试测试目的预制条件测试方法预期结果测试结果验证测试 IDS 的性能参数测试 IDS 引擎及控制台已经开启并正常工作使用专业的性能测试设备，如：IXIA、SmartBits 等进行吞吐、并发和新建连接测试测试 IDS 性能可以满足用户需求吞吐（Mbps）并发新建