基于环境模拟的入侵检测系统测试方法

4．4 其他模块

正常流量数据库存放准备好的网络流量数据，为流量仿真模块的调用做事先的准备；攻击数据库存放收集到的攻击数据，攻击仿真模块从攻击数据库取得数据处理后形成攻击。事件日志记录合成事件的日志和事件原始数据，这些数据用于对测试结果的补充和一些离线的测试。运行日志专门记录IDS运行产生的一系列事件及其对入侵行为的反应。测试结果模块最终向用户提交一份指定格式的测试报告，记录测试结果，还可以进一步给出对IDS改进的意见等。

4．5 测试过程

整个平台的工作过程如下：流量数据库提供网络会话流量由流量产生模块处理后生成所需的网络流量，攻击数据库提供原始的攻击素材，由攻击仿真模块加工后形成攻击数据流；两者经过事件合成模块合成为攻击事件；攻击事件一方面对待检测的IDS发起攻击，另一方面送给测试模块作对比之用；测试模块根据测试算法通过和待测IDS的双向交互，评估IDS的各种行为和对入侵事件的反应；事件日志对攻击事件进行记录，运行日志对IDS的运行情况进行记录；最后由测试结果模块报告测试的结果。

4．6 测试结果

测试环境也可以用于IDS的开发环境，只需要进行简单的调整。IDS开发过程中的一些性能测试、算法测试和攻击特征优化测试等都能够在这个环境中完成。本研究的初衷就是能够使开发环境和测试环境相统一。利用这个环境对开发的基于多代理的入侵检测系统进行了相应的测试，其结果如下：此IDS运行时，CPU占用率为0％～5％，内存开销为7 492+6 648 KB；用tcpreplay产生TCPDUMP格式的文件，进行9 Mb／s的流量重放时，IDS处理到的流量为5．46 Kb／s；对于攻击测试，主要测试了Dosnuke，SYN FL00D攻击以及扫描攻击等，其检测率和误报次数的ROC曲线如图5所示。可以看出，该IDS在误报比较少的情况下能够达到比较好的检测率。

5 结 语

网络的发展和新网络入侵方式的出现，促使了入侵检测系统的不断发展和完善，入侵检测系统的测试技术也随之不断发展。实际而言，入侵检测系统的测试不但存在很多的困难，而且也非常的耗时耗力，例如MIT有名的1998年和1999年测试都分别耗时一年时间。但是对于入侵检测系统的测试又是一个不得不解决的事情。当然，IDS的测试本身还存在一些难题需要解决，如攻击脚本和受害软件难于收集，对基于异常的系统还缺乏有效的方法进行测试等。这些都有待于更进一步的深入研究。