033_基于Windows入侵检测系统（响应模块设计）

5 系统测试和分析
5.1 攻击检测测试
扫描是黑客攻击的前奏，如果能及时地分析出扫描者的意图就能及时地避免黑客的攻击。所以此测试是检测扫描攻击行为有效的一个重要步骤。
5.1.1 测试目的
1、 测试系统是否能对网络和主机攻击的进行检测。
2、 测试系统是否能对攻击检测结果输出。
3、 动态规则链表是否支持添加的新规则。
5.1.2 测试过程
1、 运用扫描软件对网络或主机进行扫描。
2、 运用Sniffer软件监听网络，截获扫描数据包的分析结果。
3、 根据结果编写一条最适合的规则，对比snort里的规则。查看不同点进行修改。添加到规则库。
4、 开启入侵检测系统得扫描检测系统进行检测
5、 再次运用扫描软件对网络或主机进行扫描。
6、 检查检测结果。 【买计算机毕业论文就到计算机毕业论文网】 think58.com [资料来源：THINK58.com]

5.1.3 测试结果分析
1、用扫描软件扫描时Sniffer软件得到的结果图：

图5.2 扫描检测结果图
分析得出该扫描软件的特征是：IP为任意，端口为任意，除TCP的标志项目外其它的项为空，标志项为0x29:00101001,对应为URG,PSH,FIN。所以在规则库中我们可以添加一条规则，如下表：

本文来自think58

表5.1 规则表
项目 值
protocol tcp
action alert
ip_src EXTERNAL_NET
ip_dst HOME_NET
sourceport any
destinationport any
flags FPU
msg Scan nmap Xmas
其它项 NULL
在snort中的scan.rules文件中也有同样的规则：
alert tcp $EXTERNAL_NET any->$HOME_NET any(msg:" SCAN nmap XMAS"; flow:stateless;flags:FPU,12;reference:arachnids,30;classtype:attempted-recon; sid:1228; rev:7;)，它的flags为FPU,12是因为它检测了保留位里的低两位。
2、用检测系统对扫描攻击进行检测得到结果如5.3图：

图5.3 检测结果
此测试用的扫描软件是nmap-4.20,进行的扫描命令为：nmap –sX 192.168.0.19。通过测试，一切正常。但是值得注意的是攻击软件的数据特征会随时变化，为了应对这种随时变化的情况就需要：编写的规则要一般化，具有针对性；随时注意攻击特征的变化，修改规则库。
5.2 误报和漏报测试
入侵检测系统(IDS)是多层安全体系架构的关键组成部分。但目前的入侵检测技术还不够完善，存在大量误报和漏报现象。误报是指在安全事件并没有发生时IDS报告发现了攻击，漏报是指在安全事件发生时IDS却没有发出报警。漏报和误报不仅阻碍了IDS的进一步应用，也使得一些专家对IDS的存在价值提出置疑。

think58

[资料来源：THINK58.com]

5.2.1 测试目的
1、检测系统是否会有一般基于误用的入侵检测的通病：误报和漏报。
5.2.2 测试过程
1、首先建立相对的规则。
2、选择能引发告警的数据包。
3、发送数据包进行测试。 think58 [资料来源：THINK58.com]

5.2.3 测试结果分析
表 5.2 误报和漏报测试结果及说明
测试项目 测试结果 分析说明
误报测试 会产生 大多数的攻击软件发送的数据包都没有按照RFC中定义的来组织，而一些正常的软件有时也会发生相同的现象。这就使得误报的情况会发生。
漏报测试 会产生 由于基于误用的入侵检测系统只能对已知的攻击行为进行检测，所以对一些未知的攻击行为或者攻击软件更改了攻击的特征，这样将无法对攻击行为进行告警。这就使得漏报的情况发生。
由于入侵检测系统技术的自身原因，误报和漏报并不能完全的消除。而只能降低误报和漏报出现的概率。但是当IDS根据操作系统的指纹特征数据库综合评估这些指标时，就可以准确确定主机的操作系统和服务。例如，分析TTL值为64的数据包，IDS指纹引擎将操作系统范围缩小到Linux或OpenBSD，因为这两种操作系统具有同样的TTL值，进一步检验窗口值，IDS则可以区分Linux和OpenBSD。指示性参数的组合将提供有关操作系统的可靠“特征”。由于在发出安全报警之前，采用被动指纹识别技术的IDS会首先确定目标主机是否真正受到某一攻击的影响，因此这种IDS能够大大减少误报和漏报，进而提供更准确的检测率。

think58好，好think58

[来源：http://www.think58.com]