网神IDS测试报告.docx
- 文档编号:17961375
- 上传时间:2023-08-05
- 格式:DOCX
- 页数:25
- 大小:314.62KB
网神IDS测试报告.docx
《网神IDS测试报告.docx》由会员分享,可在线阅读,更多相关《网神IDS测试报告.docx(25页珍藏版)》请在冰点文库上搜索。
网神IDS测试报告
网神IPS
G620B
测试报告
目录
1IDS技术简介4
2测试环境4
2.1部署方式4
2.2功能测试环境5
3功能测试6
3.1IDS功能测试6
3.1.1管理功能测试6
3.1.1.1策略编辑6
3.1.1.2响应方式6
3.1.2显示功能测试7
3.1.2.1报警事件实时显示7
3.1.2.2报警按不同级别显示7
3.1.2.3事件分析解释8
3.1.3日志功能测试8
3.1.3.1统计分析8
3.1.3.2交叉报表8
3.1.3.3条件查询9
3.1.3.4报告的输出格式9
3.1.3.5日志维护10
3.1.4检测能力测试10
3.1.4.1协议支持能力10
3.1.4.2攻击行为的检测10
3.1.5其它能力测试12
3.1.6事件库升级12
3.2IPS功能测试12
3.2.1IPS处理方式是否多样12
3.2.2IPS报警方式是否多样12
3.2.3接口模式是否多样13
3.2.4丢弃行为是否真正成功13
3.3测试结果汇总13
4生产环境测试14
4.1测试方法14
4.2策略详解14
4.3日志详解15
5测试总结17
送测厂家
设备型号
测试人员
测试时间
网神信息技术股份有限公司
SEC-IPS-3600-620B
葛尧丁铮
2012.8.22—2012.8.29
1IDS技术简介
入侵检测技术IDS是一种主动保护自己免受攻击的一种网络安全技术。
作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。
它从计算机网络系统中的若干关键点收集信息,并分析这些信息。
入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。
它可以防止或减轻上述的网络威胁。
按入侵检测的技术基础可分为两类:
一种基于标志的入侵检测(signature-based),另一种是基于异常情况的入侵检测(anomaly-based)。
对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。
检测主要判别这类特征是否在所收集到的数据中出现,这有些类似杀毒软件的工作原理。
而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。
这种检测方式的核心在于如何精确定义所谓的“正常”情况。
2测试环境
2.1部署方式
测试IPS功能部分的时候用的是串行接入的方式,待测设备在最外层;测试IDS功能部分的时候用的是旁路部署的方式,待测设备只截取镜像出来的流量,不影响正常线路的使用。
2.2
功能测试环境
图一:
IDS功能测试环境拓扑
图二:
IPS功能测试拓扑
3功能测试
测试主要分为两个部分:
功能测试和生产环境测试。
功能测试又分为IPS功能测试和IDS功能测试;由于生产环境网络无法中断,所以待测设备只能以IDS模式部署到环境中。
3.1IDS功能测试
3.1.1管理功能测试
3.1.1.1策略编辑
测试项目
策略编辑
测试目的
考察入侵检测系统策略的种类和策略的生成方式
测试方法
对系统策略集和自定义策略集进行操作,用多种方式生成策略
测试步骤
1、启动策略编辑界面;
2、检查是否包含系统策略集和用户自定义策略集;
3、系统策略集能否添加、删除、修改;自定义策略集能否添加、删除、修改;
4、策略向导是否可以成功生成策略;
5、策略衍生是否可以成功生成策略;
6、通过策略集操作是否可以成功生成策略;
7、策略是否可以进行导入、导出操作;
预期结果
1、系统包含系统策略集和用户自定义策略集;
2、系统策略集不能添加、删除、修改;自定义策略集可以添加、删除、修改;
3、用策略向导可以生成策略;
4、用策略衍生可以生成策略;
5、策略集操作可以生成策略;
6、可以对策略进行导入、导出操作;
测试结果
()通过()部分通过()未通过()未测试
结果说明
签字确认
主测方:
参测方:
3.1.1.2响应方式
测试项目
响应方式
测试目的
考察入侵检测系统对入侵事件的相应手段是否丰富灵活
测试方法
通过界面操作和沟通的方式呈现各种响应方式
测试步骤
现场演示和沟通介绍
预期结果
产品支持的相应方式包括以下几种:
1、屏幕报警2、日志保存3、声音报警4、邮件报警5、rst阻断6、防火墙联动7、执行用户自定义程序8、全局预警9、SNMP10、扫描源/目的IP
测试结果
()通过()部分通过()未通过()未测试
结果说明
12459还有短信预警功能,但是得额外加模块
签字确认
主测方:
参测方:
3.1.2显示功能测试
3.1.2.1报警事件实时显示
测试项目
报警事件实时显示
测试目的
入侵事件的实时显示能力,以及报警事件的信息是否正确
测试方法
制造事件产生,查看显示中心的报警情况
测试步骤
1、成功登录控制台界面,打开报警显示界面,查看当有事件触发时在该界面是否可以实时、清晰的上报正在发生的入侵事件;
2、查看在报警显示界面上报的事件是否具有“事件名称”、“安全类型”、“事件级别”、“协议类型”、“发生时间”、“响应方式”、“参数”、“源IP”、“目的IP”、“源端口”、“目的端口”、“源MAC”、“目的MAC”等信息;
预期结果
1、入侵事件可以实时、清晰的上报;
2、报警显示界面的事件信息正确;
测试结果
()通过()部分通过()未通过()未测试
结果说明
签字确认
主测方:
参测方:
3.1.2.2报警按不同级别显示
测试项目
报警按不同级别显示
测试目的
报警事件可以通过文字或色彩体现事件级别
测试方法
制造事件查看显示窗口事件级别体现情况
测试步骤
1、触发一些当前探测器策略集中包含的不同级别事件;
2、在报警显示界面查看是否有告警信息;
3、查看上报的告警信息是否可以按高、中、低、连接等级别在不同的窗口正确显示;
预期结果
1、事件按严重程度不同分为5个等级
测试结果
()通过()部分通过()未通过()未测试
结果说明
签字确认
主测方:
参测方:
3.1.2.3事件分析解释
测试项目
事件分析解释
测试目的
通过事件解释更好的了解事件
测试方法
查看报警事件的中文详细解释和建议解决方案
测试步骤
1、在显示中心选中要了解的事件;
2、查看报警信息的中文详细解释和建议解决方案等。
预期结果
通过事件的详细解释和建议解决方案可以更好的处理事件
测试结果
()通过()部分通过()未通过()未测试
结果说明
签字确认
主测方:
参测方:
3.1.3日志功能测试
3.1.3.1统计分析
测试项目
统计分析
测试目的
检查入侵检测系统的日志统计分析能力
测试方法
采用报表分析系统对事件进行统计分析
测试步骤
1、启动日志分析中心;
2、查看是否具有统计分析模板;
3、查看统计报表;
预期结果
1、具有引擎统计、源地址统计、目的地址统计、事件级别统计、攻击类型统计、协议类型统计、特征事件统计等模板;
2、双击报表的统计记录,可以展开显示详细的事件;
3、预览方式能够TOP10显示;
测试结果
()通过()部分通过()未通过()未测试
结果说明
签字确认
主测方:
参测方:
3.1.3.2交叉报表
测试项目
交叉报表
测试目的
考察入侵检测系统的报表分析中,是否具备多个特征的关联查询的能力
测试方法
查看产品的交叉报表查询结果
测试步骤
1、启动日志分析中心;
2、查看交叉报表;
预期结果
1、可以按照特征事件跟源地址、目的地址、引擎设备等形成关联报表
2、可以按照事件级别跟源地址、目的地址、引擎设备等形成关联报表
3、可以按照源地址跟特征事件、事件级别等形成关联报表
4、可以按照目的地址跟特征事件、事件级别等形成关联报表
5、可以按照引擎设备跟特征事件、事件级别等形成关联报表
6、双击关联报表的统计记录,可以展开显示详细的事件
测试结果
()通过()部分通过()未通过()未测试
结果说明
签字确认
主测方:
参测方:
3.1.3.3条件查询
测试项目
条件查询
测试目的
考察入侵检测系统根据用户自定义查询条件查询报告结果的能力
测试方法
设定条件查询的执行条件,执行查询操作,检查查询结果
测试步骤
1、启动日志分析中心;
2、配置条件查询的条件;
3、执行查询;
4、检查查询结果是否与设定的查询条件相符;
预期结果
1、系统支持右键方式的条件查询;
2、系统支持条件过滤模板的条件查询;
3、系统支持的条件查询的条件至少应包括:
时间、引擎、地址、端口、事件级别、协议事件等;
4、条件查询的结果与设定的条件相符;
测试结果
()通过()部分通过()未通过()未测试
结果说明
签字确认
主测方:
参测方:
3.1.3.4报告的输出格式
测试项目
报告的输出格式
测试目的
考察报告输出格式的多样性
测试方法
查看不同格式输出的报告结果
测试步骤
1、进入报告的输出接口界面,检查系统是否具有输出报告的功能;
2、执行报告输出操作,查看输出报告的格式是否包括word、xls、pdf、html、文本文件等;
3、检查输出的报告,查看输出的内容是否正确;
预期结果
1、系统具有输出报告的功能;
2、系统至少支持word、xls、pdf、html、文本文件等输出格式;
3、以不同格式输出报告,报告的内容都是正确的;
测试结果
()通过()部分通过()未通过()未测试
结果说明
只有PDF、word格式,而且只有新版本的管理中心才有此功能。
签字确认
主测方:
参测方:
3.1.3.5日志维护
测试项目
日志维护
测试目的
考察入侵检测系统对日志的备份、删除、恢复的能力
测试方法
通过界面操作和沟通的方式体现
测试步骤
现场演示和沟通介绍
预期结果
1、系统具有定时日志备份功能;
2、系统具有手动备份功能;
3、系统具有日志删除功能;
4、系统具有日志归并功能;
5、系统具有日志恢复功能;
测试结果
()通过()部分通过()未通过()未测试
结果说明
只有手动备份、删除功能
签字确认
主测方:
参测方:
3.1.4检测能力测试
3.1.4.1协议支持能力
测试项目
协议支持能力
测试目的
考察入侵检测系统对各种协议的支持能力
测试方法
检查事件库中是否支持这些协议
测试步骤
1、打开策略界面;
2、查看系统能够监视的协议至少应包括:
IP、ICMP、ARP、RIP、TCP、UDP、RPC、HTTP、FTP、TFTP、IMAP、SNMP、TELNET、DNS、SMTP、POP3、NETBIOS、NFS、NNTP等
预期结果
在策略界面可以看到事件库可以支持上述协议
测试结果
()通过()部分通过()未通过()未测试
结果说明
签字确认
主测方:
参测方:
3.1.4.2攻击行为的检测
测试项目
攻击行为的检测能力
测试目的
考察入侵检测系统对各种攻击行为的检测能力
测试方法
采用CAP包回放的方式,用Sniffer回放事先准备的攻击CAP包,检查IDS的报警情况
测试步骤
1、下发策略集
2、分别回放cap包,查看是否有相应的事件上报
预期结果
见下表
测试结果
()通过()部分通过()未通过()未测试
结果说明
签字确认
主测方:
参测方:
攻击类型
事件名称
测试结果
备注
蠕虫
TCP_震荡波蠕虫FTP后门缓冲区溢出
通过
TCP_蠕虫_W32.zotob各变种_尝试感染
通过
HTTP_IIS_Codered_蠕虫
通过
TFTP_蠕虫病毒_W32.Blaster_下载病毒体
通过
病毒
SMTP_可疑病毒邮件_Resume
通过
POP3_可疑病毒邮件[VBS_DOC]
通过
UDP_MS-SQL_SLAMMER_蠕虫病毒
通过
木马
TCP_后门_核子鼠_连接
通过
TCP_后门_冬日之恋v3.5_连接服务端
通过
TCP_后门_网络红娘_正向连接
通过
TCP_后门_网络猪_反向连接
通过
TCP_后门_寿鼠1.1_反向连接
通过
TCP_后门_冰河_连接
通过
TCP_后门_Netspear2006_反向连接
通过
TCP_后门_firefly1.5_反向连接
通过
TCP_后门_SRAT1.2_反向连接
通过
TCP_后门_魏玮刀_反向连接
通过
TCP_后门_网络神偷_HTTP隧道连接
通过
TCP_病毒木马_Kuang2_服务
通过
TCP_后门_Penumbra_连接
通过
拒绝服务
DOS_UDP_FLOOD_拒绝服务
通过
DOS_ICMP_FLOOD拒绝服务
通过
IGMP_拒绝服务攻击
通过
UDP_Snork拒绝服务攻击
通过
UDP_echo+chargen_拒绝服务攻击
通过
TCP_SMB_RPCSS_拒绝服务
通过
IP_JOLT2_拒绝服务
通过
溢出攻击
TCP_Ipswitch_IMail_LDAP_Daemon_远程缓冲区溢出漏洞利用
通过
HTTP_IIS_idq_缓冲区溢出攻击
通过
SMTP_expn_root_探测
通过
TCP_Windows_ASN.1_LSASS.EXE_远程堆溢出漏洞攻击[MS04-007]
通过
SNMP_NODEMGR_远程缓冲区溢出漏洞利用
通过
3.1.5其它能力测试
3.1.6事件库升级
测试项目
事件库升级
测试目的
考察入侵检测系统的在线升级(自动)和离线(手动)升级能力
测试方法
分别从Intenet在线升级和采用升级包的方式离线升级
测试步骤
1、打开特征库升级菜单
2、从Intenet进行在线升级
3、采用厂家提供的离线升级包进行离线升级
预期结果
产品在线、离线升级成功
测试结果
()通过()部分通过()未通过()未测试
结果说明
未连网且测试人员未带离线版本库
签字确认
主测方:
参测方:
3.2IPS功能测试
3.2.1IPS处理方式是否多样
测试项目
策略中是否可以针对不同等级做不同处理方式
测试目的
考察IPS处理行为
测试方法
检查事件库中是否可以选择多种处理方式
测试步骤
在新建策略中查看
预期结果
可以有通过、丢弃、封包等多种方式
测试结果
()通过()部分通过()未通过()未测试
结果说明
签字确认
主测方:
参测方:
3.2.2IPS报警方式是否多样
测试项目
响应方式
测试目的
考察入侵检测系统对入侵事件的相应手段是否丰富灵活
测试方法
通过界面操作和沟通的方式呈现各种响应方式
测试步骤
现场演示和沟通介绍
预期结果
产品支持的相应方式包括以下几种:
1、屏幕报警2、日志保存3、声音报警4、邮件报警5、rst阻断6、防火墙联动7、执行用户自定义程序8、全局预警9、SNMP10、扫描源/目的IP
测试结果
()通过()部分通过()未通过()未测试
结果说明
12459还有短信预警功能,但是得额外加模块
签字确认
主测方:
参测方:
3.2.3接口模式是否多样
测试项目
IPS接口模式
测试目的
查看IPS接口模式是否多种
测试方法
查看接口配置
测试步骤
查看接口配置
预期结果
接口模式应该为多种:
IPS、IPS学习、IDS监控、IDS检测等模式
测试结果
()通过()部分通过()未通过()未测试
结果说明
确实是多种模式。
但是具备防御能力的模式就只有IPS模式
签字确认
主测方:
参测方:
4.5.2
3.2.4丢弃行为是否真正成功
测试项目
IPS检测是否真正生效
测试目的
测试IPS的动作丢弃数据包是否真正生效
测试方法
用的ping的方法解决
测试步骤
一台攻击机ping内网主机,观察ping是否不成功。
预期结果
Ping显示pingtimeout
测试结果
()通过()部分通过()未通过()未测试
结果说明
签字确认
主测方:
参测方:
3.3测试结果汇总
测试结果
编号
测试项
测试点
测试结果(打勾)
备注
1、
管理功能
是否具备策略编辑功能
□是/□否
2、
产品对入侵事件的响应方式有几种
□是/□否
部分通过
3、
显示功能
报警事件是否实显示
□是/□否
4、
报警事件是否按级别显示
□是/□否
5、
是否具备事件分析解释
□是/□否
6、
日志功能
是否具备统计分析功能
□是/□否
7、
是否具备交叉报表功能
□是/□否
8、
是否具备条件查询功能
□是/□否
9、
日志是否有多种输出格式
□是/□否
部分通过
10、
是否具备日志维护功能
□是/□否
部分通过
11、
检测能力
是否具备多种协议检测能力
□是/□否
12、
是否支持蠕虫攻击检测能力
□是/□否
13、
是否支持病毒检测能力
□是/□否
14、
是否支持木马后门检测能力
□是/□否
15、
是否支持拒绝服务检测能力
□是/□否
16、
是否支持溢出攻击检测能力
□是/□否
17、
IPS能力
IPS处理方式是否多样
□是/□否
18、
丢弃行为是否真正成功
□是/□否
19、
接口模式是否多样
□是/□否
20、
报警方式是否多样
□是/□否
21、
其它功能
是否具备事件库升级功能
□是/□否
未连网且测试人员未带离线版本库
4生产环境测试
4.1测试方法
按照拓扑图连接设备,用旁路部署的方式,5*24工作,抓取数据包。
要注意部署时应该使用待测设备的IDS接口上,管理中心应该连接专门的MGT管理口。
4.2策略详解
网神的检测机制也是通过对报头分析比对特征库的方式判断是否为攻击,其特征库数量如下图:
下属的分类有以下几种:
访问控制、邮件、文件传输、流媒体、即时消息、流媒体、DDOS/DOS、木马后门等15种分类。
事件按照严重程度共分为5个等级。
策略的具体信息如下图
具体下发策略的方法是点击接口,然后在下图界面中设置。
4.3日志详解
网神日志的数据库系统也是SQLserver数据库。
生产环境中放置了7天(5个工作日2天休息日)。
下面是日志的具体截图。
日志整体分类
统计日志部分截图
攻击来源至目的排行
攻击名称排名
其他还可以按照前十名攻击目的地、前十名攻击来源、严重程度排名、严重程度趋势图、严重程度统计图等方式进行统计。
5测试总结
网神设备经过了7天的生产环境测试,发现其整体能力一般,缺陷主要体现在以下几个方面:
1.检测能力一般。
主要是因为特征库数量有限,网神特征库不是自己厂家积累完成,所以从特征库分析能力到特征库数量都存在局限性。
2.日志界面不友好。
管理中心低版本无法把日志以可阅读格式导出,升级了高版本之后也只能以pdf、word两种格式输出。
3.事件严重等级划分过细。
有5个等级。
但是也有一些优点:
1.有网络趋势功能。
可以预知网络安全方面的趋势走向。
2.日志输出柱状图项目比较详细。
可以有8种不同的种类。
3.此待测设备性能较好,检测能力理论值有1Gbps。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网神 IDS 测试报告
![提示](https://static.bingdoc.com/images/bang_tan.gif)