IDS测试方案11.docx
- 文档编号:30530731
- 上传时间:2023-08-16
- 格式:DOCX
- 页数:23
- 大小:22.15KB
IDS测试方案11.docx
《IDS测试方案11.docx》由会员分享,可在线阅读,更多相关《IDS测试方案11.docx(23页珍藏版)》请在冰豆网上搜索。
IDS测试方案11
IDS
测试方案
2014-01-01
目录
一、典型攻击测试4
1.扫描类攻击4
2.DoS类攻击4
3.后门类攻击5
4.代码类攻击5
5.规避测试6
二、入侵检测功能测试7
1.基于会话的入侵检测7
2.自定义事件8
3.响应策略编辑8
4.日志归并8
5.并行数据采集8
6.虚拟引擎9
7.高级协议识别9
8.SSL加密数据检测9
9.VLANTrunk封装数据检测10
10.IP盗用监控10
11.会话参数调整10
12.实时会话监控10
13.流量监控11
14.入侵日志缓存11
15.入侵响应11
三、管理功能测试12
1.用户管理功能12
2.引擎状态监控12
3.日志管理12
4.报表13
5.升级管理13
6.分级管理14
7.引擎时间修正14
8.上下文相关联机帮助14
四、引擎自身安全性测试15
五、性能测试15
一、典型攻击测试
1.扫描类攻击
测试目的
检测扫描类攻击
预制条件
测试IDS引擎及控制台已经开启并正常工作
测试方法
使用Iris软件,回放扫描类攻击包
1.回放nmap–sF
2.回放fscan
3.回放HTTP—Xscan—CGI扫描
4.回放UNICODE
5.回放FTP—口令穷举探测
6.回放HTTP_口令穷举探测
7.回放NNTP_口令穷举探测
8.回放IMAP_口令穷举探测
9.回放POP3_口令穷举探测
10.回放TCP_冲击波蠕虫扫描
预期结果
可以检测到以上所作扫描攻击
测试结果
Nmap–sF
□Pass□Fail
Fscan
□Pass□Fail
HTTP—Xscan—CGI扫描
□Pass□Fail
UNICODE
□Pass□Fail
FTP—口令穷举探测
□Pass□Fail
HTTP_口令穷举探测
□Pass□Fail
NNTP_口令穷举探测
□Pass□Fail
IMAP_口令穷举探测
□Pass□Fail
POP3_口令穷举探测
□Pass□Fail
TCP_冲击波蠕虫扫描
□Pass□Fail
2.DoS类攻击
测试目的
检测DOS类攻击
预制条件
测试IDS引擎及控制台已经开启并正常工作
测试方法
使用Iris软件,回放DOS类攻击包
1、回放DOSTearDrop攻击
2、回放DOSVOOBS攻击
3、回放DOSWinNUKES攻击
4、回放Synflood攻击
5、回放TCP_拒绝服务_winnuke_攻击
6、回放udpflood攻击
预期结果
可以检测到以上所作DOS攻击
测试结果
Synflood攻击
□Pass□Fail
udpflood攻击
□Pass□Fail
DOSTearDrop攻击
□Pass□Fail
DOSWinNUKES攻击
□Pass□Fail
3.后门类攻击
测试目的
检测后门类攻击
预制条件
测试IDS引擎及控制台已经开启并正常工作
测试方法
使用Iris软件,回放后门类攻击包
1、回放Backdoor灰鸽子辐射版v0.3连接客户端
2、回放glac84-7626攻击
3、回放glac84-9000攻击
4、回放winshell攻击
5、回放Wollf攻击
6、回放广外女生攻击
预期结果
可以检测到以上所做的后门类攻击
测试结果
Backdoor灰鸽子辐射版v0.3连接客户端
□Pass□Fail
glac84-7626攻击
□Pass□Fail
glac84-9000攻击
□Pass□Fail
winshell攻击
□Pass□Fail
Wollf攻击
□Pass□Fail
广外女生攻击
□Pass□Fail
4.代码类攻击
测试目的
检测代码攻击
预制条件
测试IDS引擎及控制台已经开启并正常工作
测试方法
使用Iris软件,回放后门类攻击包
1.回放12-IDA(溢出)攻击
2.回放bsd-tele攻击
3.回放CDEToolTalk远程堆溢出漏洞攻击
4.回放cgi_gcuhl_u_webdistcgi2攻击
5.回放HTTPcgixpU攻击
6.回放Http_htsearch_读取任意文件尝试攻击
7.回放Http_IIS_传输头查看代码aaaaaaaaaaaaaaaaaaaaaaaaaaaaa攻击
8.回放idq攻击
9.回放iisx攻击
10.回放MSRPCDCOM攻击
11.回放MSSQLHACK攻击
12.回放WEBDAV攻击
预期结果
可以检测到以上所做的代码类攻击
测试结果
IDA(溢出)攻击
□Pass□Fail
bsd-tele攻击
□Pass□Fail
CDEToolTalk远程堆溢出漏洞攻击
□Pass□Fail
cgi_gcuhl_u_webdistcgi2攻击
□Pass□Fail
HTTPcgixpU攻击
□Pass□Fail
Http_htsearch_读取任意文件尝试攻击
□Pass□Fail
Http_IIS_传输头查看代码aaaaaaaaaaaaaaaaaaaaaaaaaaaaa攻击
□Pass□Fail
idq攻击
□Pass□Fail
iisx攻击
□Pass□Fail
MSRPCDCOM攻击
□Pass□Fail
MSSQLHACK攻击
□Pass□Fail
WEBDAV攻击
□Pass□Fail
5.规避测试
测试目的
检测分片及编码攻击
预制条件
测试IDS引擎及控制台已经开启并正常工作
测试方法
使用Iris软件,回放规避类攻击包
1.回放fragroutebase-1攻击
2.回放fragroutefrag-1攻击
3.回放fragroutefrag-2攻击
4.回放fragroutefrag-3攻击
5.回放fragroutefrag-4攻击
6.回放fragroutefrag-5.攻击
7.回放fragroutefrag-6攻击
8.回放fragroutefrag-7-unix攻击
9.回放fragroutefrag-7-win32攻击
10.回放fragrouteins-2攻击
11.回放fragroutetcbc-2攻击
12.回放fragroutetcp-3攻击
13.回放fragroutetcp-7攻击
14.回放fragroutetcp-9攻击
15.回放whiskerI0攻击
16.回放whiskerI1攻击
17.回放whiskerI2攻击
18.回放whiskerI3攻击
19.回放whiskerI4攻击
20.回放whiskerI5攻击
21.回放whiskerI6攻击
22.回放whiskerI7攻击
23.回放whiskerI8攻击
24.回放whiskerI9攻击
预期结果
IDS不受影响,还可以正常工作,报告攻击
测试结果
fragroutebase-1攻击
□Pass□Fail
fragroutefrag-1攻击
□Pass□Fail
fragroutefrag-2攻击
□Pass□Fail
fragroutefrag-3攻击
□Pass□Fail
fragroutefrag-4攻击
□Pass□Fail
fragroutefrag-5.攻击
□Pass□Fail
fragroutefrag-6攻击
□Pass□Fail
fragroutefrag-7-unix攻击
□Pass□Fail
fragroutefrag-7-win32攻击
□Pass□Fail
fragrouteins-2攻击
□Pass□Fail
fragroutetcbc-2攻击
□Pass□Fail
fragroutetcp-3攻击
□Pass□Fail
fragroutetcp-7攻击
□Pass□Fail
fragroutetcp-9攻击
□Pass□Fail
whiskerI0攻击
□Pass□Fail
whiskerI1攻击
□Pass□Fail
whiskerI2攻击
□Pass□Fail
whiskerI3攻击
□Pass□Fail
whiskerI4攻击
□Pass□Fail
whiskerI5攻击
□Pass□Fail
whiskerI6攻击
□Pass□Fail
whiskerI7攻击
□Pass□Fail
whiskerI8攻击
□Pass□Fail
whiskerI9攻击
□Pass□Fail
二、入侵检测功能测试
1.基于会话的入侵检测
测试目的
验证测试IDS是否为基于会话进行入侵分析
预制条件
测试IDS引擎及控制台已经开启并正常工作
测试方法
1.使用报文回放软件回放一个基于TCP的攻击,确保测试IDS可以报警;
2.回放同一个攻击,但不包括TCP三次握手部分的三个数据包,并验证测试IDS是否报警;
预期结果
测试IDS时基于会话进行入侵分析,针对无TCP三次握手的攻击不报警
测试结果
2.自定义事件
测试目的
验证测试IDS是否支持自定义事件功能
预制条件
测试IDS引擎及控制台已经开启并正常工作
测试方法
1.针对telnet协议root账号登录设置自定义事件;
2.针对FTP协议下载指定文件名称设置自定义事件;
3.针对HTTP协议内容部分指定字符串设置自定义事件;
4.执行相应操作,验证测试IDS是否报警
预期结果
自定义事件灵活、简便,并能准确报警
测试结果
3.响应策略编辑
测试目的
验证测试IDS是否支持响应策略编辑功能
预制条件
测试IDS引擎及控制台已经开启并正常工作
测试方法
要求测试IDS可以支持源地址、目的地址、时间、响应等可选参数,并能设置响应策略优先级
1.确定一个测试IDS可以报警的事件;
2.设置策略来自攻击主机A的攻击在早9点至下午5点时的响应方式为控制台报警+记录日志+切断会话;
3.设置策略来自攻击主机B的攻击在早9点至下午5点时的响应方式为控制台报警+记录日志+报文回放;
4.设置在早9点至下午9点之外的所有时间,来自所有攻击主机的响应方式为控制台报警+记录日志;
预期结果
可灵活编辑响应策略
测试结果
4.日志归并
测试目的
验证测试IDS是否支持日志归并功能
预制条件
测试IDS引擎及控制台已经开启并正常工作
测试方法
要求测试IDS可以支持源地址、目的地址、事件等归并基准,并可设置显示周期
1.设置按事件进行归并;
2.设置按源地址+事件进行归并;
3.设置按目的地址+事件进行归并;
4.设置1分钟显示一次;
5.设置2分钟显示一次;
预期结果
可以按不同条件进行归并
测试结果
5.并行数据采集
测试目的
验证测试IDS是否支持并行数据采集功能
预制条件
测试IDS引擎及控制台已经开启并正常工作
测试方法
1.在交换机上将被攻击主机所在接口的TX、RX分别镜像到交换机的2个端口;
2.在攻击主机上向被攻击发起基于TCP的攻击;
3.验证测试IDS是否可以报警;
预期结果
可以报警
测试结果
6.虚拟引擎
测试目的
验证测试IDS是否支持虚拟引擎功能
预制条件
测试IDS引擎及控制台已经开启并正常工作
测试方法
1.在交换机上将被攻击主机所在端口镜像到2个不同的接口;
2.在IDS上设置虚拟引擎,每个虚拟引擎分别接不同的镜像口;
3.为每个虚拟引擎设置不同的策略;
4.查看每个虚拟的入侵检测日志;
5.查看每个虚拟监控的流量信息;
预期结果
支持虚拟引擎功能,可为每个虚拟引擎单独配置策略,并单独查看日志及监控信息
测试结果
7.高级协议识别
测试目的
验证测试IDS是否支持高级协议识别功能
预制条件
测试IDS引擎及控制台已经开启并正常工作
测试方法
1.针对HTTP80、FTP21、Telnet23知名端口进行攻击,并确保测试IDS可以报警;
2.修改HTTP、FTP、Telnet为非知名端口;
3.进行相同的攻击;
4.验证测试IDS是否可以报警;
预期结果
测试IDS根据协议特征而非端口进行检测
测试结果
8.SSL加密数据检测
测试目的
验证测试IDS是否支持SSL加密数据检测功能
预制条件
测试IDS引擎及控制台已经开启并正常工作
测试方法
1.搭建HTTPS服务器;
2.在HTTPS下进行攻击;
3.验证测试IDS是否可以报警;
预期结果
可以对SSL加密数据进行检测
测试结果
9.VLANTrunk封装数据检测
测试目的
验证测试IDS是否支持VLANTrunk封装数据检测功能
预制条件
测试IDS引擎及控制台已经开启并正常工作
测试方法
1.确定测试IDS可以报警的攻击事件;
2.搭建环境,让攻击报文进行802.1Q封装;
3.搭建环境,让攻击报文进行ISL封装;
4.验证测试IDS是否可以报警;
预期结果
测试IDS支持VLANTrunk封装数据检测
测试结果
10.IP盗用监控
测试目的
验证测试IDS是否支持IP盗用监控功能
预制条件
测试IDS引擎及控制台已经开启并正常工作
测试方法
1.在IDS上设置IP、MAC地址绑定;
2.修改一台主机的IP地址,验证测试IDS是否报警;
3.将本机IP地址配置到另外一台主机上,验证测试IDS是否报警;
预期结果
可以对IP、MAC地址盗用进行报警
测试结果
11.会话参数调整
测试目的
验证测试IDS是否支持会话生成确认时间和会话维持时间调整
预制条件
测试IDS引擎及控制台已经开启并正常工作
测试方法
1.在IDS上设置会话生成确认时间;
2.使用报文回放软件回放某个会话的TCP三次握手报文,三个报文依次回放,在会话生成确认时间内回放完成,并验证测试IDS是否可以建立会话;
3.使用报文回放软件回放某个会话的TCP三次握手报文,三个报文依次回放,回放完前两个报文后,等超过会话生成确认时间再回放第三个报文,并验证测试IDS是否可以建立会话;
4.在IDS上设置会话维持时间;
5.建立telnet会话,登录后不做任何操作,并验证在等待设定的会话维持时间后测试IDS是否会清除该会话;
预期结果
测试IDS支持对会话生成确认时间和会话维持时间进行调整
测试结果
12.实时会话监控
测试目的
验证测试IDS是否支持实时会话监控功能
预制条件
测试IDS引擎及控制台已经开启并正常工作
测试方法
1.建立HTTP、TELNET、FTP等会话;
2.验证测试IDS是否可以实时显示会话列表,并可以手动切断会话或保存会话内容;
预期结果
测试IDS可以实时显示会话列表,并可以手动切断会话或保存会话内容;
测试结果
实时会话列表显示
□Pass□Fail
手动切断会话
□Pass□Fail
保存会话内容
□Pass□Fail
13.流量监控
测试目的
验证测试IDS是否支持实时会话监控功能
预制条件
测试IDS引擎及控制台已经开启并正常工作
测试方法
1.在攻击主机与被攻击主机之间进行正常访问生成正常网络流量,进行攻击生成攻击流量;
2.验证测试IDS是否可以显示网络流量和攻击流量;
预期结果
测试IDS可以显示网络流量和攻击流量
测试结果
14.入侵日志缓存
测试目的
验证测试IDS在控制台没有连接引擎时是否支持引擎日志缓存功能
预制条件
测试IDS引擎及控制台已经开启并正常工作
测试方法
1.关闭控制台软件;
2.进行攻击;
3.重新打开控制台软件,验证测试IDS是否保存了此前的攻击日志;
预期结果
测试IDS在控制台没有连接引擎时是否支持引擎日志缓存功能
测试结果
15.入侵响应
测试目的
验证测试IDS是否支持丰富的入侵响应方式
预制条件
需要准备网御防火墙、CISCO路由器和中国移动短信网关
测试方法
1.设置不同的响应方式;
2.进行攻击回放;
3.验证测试IDS是否支持相应的响应方式;
预期结果
测试IDS支持丰富的入侵响应方式
测试结果
控制台报警
□Pass□Fail
记录数据库
□Pass□Fail
声音报警
□Pass□Fail
邮件报警
□Pass□Fail
短信报警
□Pass□Fail
SNMPTrap
□Pass□Fail
报警消息器
□Pass□Fail
报文回放
□Pass□Fail
切断会话
□Pass□Fail
网御防火墙联动
□Pass□Fail
CISCO路由器联动
□Pass□Fail
二次报警
□Pass□Fail
三、管理功能测试
1.用户管理功能
测试目的
验证测试IDS是否支持用户管理功能
预制条件
测试IDS控制台已经开启并正常工作
测试方法
1.添加不同权限的用户,并验证是否具有不同的权限;
2.是否可以设置用户登录失败锁定;
3.用户登录失败锁定后是否可以邮件通知管理员;
预期结果
测试IDS具有用户管理功能
测试结果
用户权限分级
□Pass□Fail
登录失败锁定
□Pass□Fail
登录失败锁定邮件通知
□Pass□Fail
2.引擎状态监控
测试目的
验证测试IDS是否支持引擎状态监控功能
预制条件
测试IDS引擎及控制台已经开启并正常工作
测试方法
1.打开控制台,打开引擎状态监控窗口;
2.查看引擎运行时间、CPU、内容、监控网络信息,并验证是否准确;
3.控制台不能连接引擎时,是否可以通过邮件通知管理员
预期结果
测试IDS可以查看引擎状态
测试结果
引擎运行时间
□Pass□Fail
CPU使用率
□Pass□Fail
内存使用率
□Pass□Fail
流量
□Pass□Fail
报文
□Pass□Fail
会话数
□Pass□Fail
丢包数
□Pass□Fail
引擎断开邮件通知
□Pass□Fail
3.日志管理
测试目的
验证测试IDS是否支持日志管理功能
预制条件
测试IDS引擎及控制台已经开启并正常工作
测试方法
1.进行攻击,生成入侵日志;
2.进行日志查看,是否可以支持丰富的查询参数;
3.日志删除,是否可以灵活删除指定时间范围内的日志;
4.是否支持手动备份日志功能;
5.是否支持按周期、按时间、按大小等条件的自动日志备份功能;
6.是否支持日志恢复功能;
预期结果
测试IDS支持日志管理功能
测试结果
日志查看
□Pass□Fail
日志删除
□Pass□Fail
手动备份日志
□Pass□Fail
自动备份日志
□Pass□Fail
日志恢复
□Pass□Fail
4.报表
测试目的
验证测试IDS是否支持报表功能
预制条件
测试IDS引擎及控制台已经开启并正常工作
测试方法
1.进行攻击,生成入侵日志;
2.生成入侵报表;
3.生成汇总报表;
4.生成流量报表;
5.报表导出:
rpt、doc、excel、html、xml、rtf格式;
6.按周、月、年自动生成报表并上传到指定的FTP服务器;
预期结果
测试IDS支持入侵、流量、汇总报表,支持报表导出功能,支持自动生成报表功能
测试结果
入侵报表
□Pass□Fail
流量报表
□Pass□Fail
汇总报表
□Pass□Fail
报表导出
□Pass□Fail
自动生成报表
□Pass□Fail
5.升级管理
测试目的
验证测试IDS是否支持升级管理功能
预制条件
测试IDS引擎及控制台已经开启并正常工作
测试方法
1.在控制台执行在线升级;
2.在控制台执行脱机升级;
3.在引擎执行在线升级;
4.在引擎执行脱机升级
预期结果
测试IDS可以支持在线、脱机升级功能
测试结果
控制台在线升级
□Pass□Fail
控制台脱机升级
□Pass□Fail
引擎在线升级
□Pass□Fail
引擎脱机升级
□Pass□Fail
6.分级管理
测试目的
验证测试IDS是否支分级管理功能
预制条件
测试IDS引擎及控制台已经开启并正常工作,准备2个以上控制台主机
测试方法
1.设置好分级管理;
2.下级管理中心接一台IDS;
3.进行攻击,并验证上级管理中心是否可以收到下级管理中心的报警;
4.在上级管理中心向下级管理中心下发策略,并验证下级管理中心是否可以正常接收并应用;
5.在上级管理中心向下级管理中心发送全局消息和文件,并验证是否可以正常发送;
6.在上级管理中心查看下级管理中心的引擎状态;
7.在上级管理中心查看下级管理中心的特征库版本;
预期结果
测试IDS支持分级管理功能
测试结果
日志上报
□Pass□Fail
策略下发
□Pass□Fail
全局消息、文件共享
□Pass□Fail
全局引擎状态监控
□Pass□Fail
全局特征库版本监控
□Pass□Fail
7.引擎时间修正
测试目的
验证测试IDS是否支持引擎时间修正功能
预制条件
测试IDS引擎及控制台已经开启并正常工作
测试方法
一、登录引擎串口,修改系统时间,并验证是否可以正确修改;
二、将控制台与引擎设备设置为不同的时间,在控制台执行引擎时间同步,并验证是否正确同步;
三、将引擎系统时间设置为非标准时间,设置NTP时间同步,并验证是否可以正确同步时间;
预期结果
可以通过串口、控制台、NTP时间服务器进行引擎的时间修正
测试结果
串口时间设置
□Pass□Fail
控制台时间同步
□Pass□Fail
NTP时间同步
□Pass□Fail
8.上下文相关联机帮助
测试目
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IDS 测试 方案 11