GB/T 26268-2010 网络入侵检测系统测试方法

ICS33.040.40；33.200

M54OB

中华人民共和国国家标准

GB/T26268—2010

网络入侵检测系统测试方法

Testmethodfornetworkintrusiondetectionsystem

2011-01-14发布2011-06-01实施

GB/T26268—2010

目次

前言m

1范围1

2规范性引用文件1

3术语和定义1

4缩略语2

5测试环境3

6接口测试4

7系统功能测试4

8系统性能13

附录A（资料性附录）典型攻击的类型17

附录E（资料性附录）常用的编码格式介绍18

参考文献20

T

GB/T26268—2010

.ir..1

刖吞

本标准是网络入侵检测系统系列标准之一。该系列标准的名称如下：

——网络入侵检测系统技术要求；

——网络入侵检测系统测试方法。

《网络入侵检测系统技术要求》是本标准的技术依据，在使用吋需与其配套使用。

本标准的附录A和附录B均为资料性附录。

本标准由中华人民共和国工业和信息化部提出。

本标准由中国通信标准化协会归口。

本标准起草单位：工业和信息化部电信研究院、北京启明星辰信息技术有限公司'

本标准起草人:周开波、张治兵、郝春光、吴海民。

m

GB/T26268—2010

网络入侵检测系统测试方法

1范围

本标准规定了网络入侵检测系统的接口测试、系统功能测试和性能测试等测试内容和相应的测试

方法。

本标准适用于网络入侵检测系统及相关设备。

2规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有

的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究

是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

GB/T26269—2010网络入侵检测系统技术要求

YD/T1141—2007以太网交换机测试方法

3术语和定义

下列术语和定义适用于本标准。

3.1

报警alert

报警是指网络入侵检测系统在检测到入侵行为时，发布给具有系统管理角色实体的消息。

3.2

攻击attack

攻击是指任何危及计算机资源与网络资源完整性、机密性或可用性的行为。

3.3

自动响应automatedresponse

自动响应是指网络入侵检测系统在发现攻击后自发采取的保护行为。

3.4

躲避evasion

躲避是指入侵者发动攻击，而又不希望被发现而采取的行为。

3.5

漏报falsenegatives

漏报是指一个攻击事件未被网络入侵检测系统检测到而造成的错误。

3.6

误扌侵falsepositives

误报是指系统把正常行为作为入侵攻击而进行报警，或者把一种周知的攻击错误报告为另一种攻

击而导致系统错误响应。

3.7

防火墙firewall

在网络之间执行访问控制策略的一个或一组设备。

3.8

入侵intrusion

同“攻击”含义。

1

GB/T26268—2010

3.9

入侵检测intrusiondetection

入侵检测是对入侵行为的发觉。它从IP网络或计算机系统中的若干关键点收集信息并对其进行

分析，从中发现是否有违反安全策略的行为或遭到入侵的迹象。

3.10

入侵检测系统IntrusionDetectionSystem(IDS)

进行入侵检测并依据既定的策略采取一定的响应描施的软件与硬件的组合。

3.11

网络入侵检测系统NetworkIntrusionDetectionSystem(NIDS)

使用IP网络数据包作为数据源的入侵检测系统。

3.12

策略policy

入侵检测系统的策略是指对于IP网络中的攻击事件采取何种响应方式和响应条件。多个策略构

成策略集。

3.13

规则rule

入侵检测规则包含了对网络中攻击事件进行评判的依据及对该事件采用的策略，多个规则构成规

则集。

3.14

特征signature

入侵检测系统的特征是使入侵检测系统在攻击行为发生时触发事件的依据。多个特征可以构成特

征库。

3.15

简单网络管理协议陷阱SNMPTrap

简单网络管理协议陷阱是指由于发生某个网络事件，触发特定的网络设备发送相应的数据。

4缩略语

下列缩略语适用于本标准。

ARPAddressResolutionProtocol地址解析协议

BGPBorderGatewayProtocol边界网关协议

BOBackOrifice后门

DNSDomainNameServer域名服务器

FTPFileTransferProtocol文件传输协议

HTTPHypertextTransferProtocol超文本传输协议

ICMPInternetControlMessageProtocol互联网控制消息协议

IPInternetProtocol因特网协议

OSPFOpenShortestPathFirst开放最短路径优先

POP3PostOfficeProtocol3邮局协议的第3个版本

RIPRoutingInformationProtocol路由信息协议

SNMPSimpleNetworkManagementProtocol简单网络管理协议

SMTPSimpleMailTransferProtocol简单邮件传输协议

SUTSystemUnderTest被测系统

TCPTransmissionControlProtocol传输控制协议

UDPUserDatagramProtocol用户数据报协议

2

GB/T26268—2010

5测试环境

在图1中，流量发生器主要用于产生背景流量。背景流量可以是接近实际的业务流，也可以是

UDP或TCP数据流。端口P1和P2中的数据流是流量发生器产生的数据流。流量发生器与交换机之

间的数据交换是双向的。被测IDS监测交换机的镜像端口P3,交换机与被测IDS之间的数据交换是单

向的。

图1测试环境1

在图2中，流量发生器主要用于产生背景流量，攻击发生器用于产生攻击，攻击目标是被攻击的主

机或服务器。背景流量可以是接近实际的业务流，也可以是UDP或TCP数据流。攻击发生器产生的

攻击流量和流量发生器的背景流量混合后发送给攻击目标，然后测试SUT是否能够正常检测到入侵

行为。端口P1和P2中的数据流是攻击发生器发出的攻击与流量发生器产生的背景流量的混合数据

流。流量发生器与交换机之间的数据交换是双向的，攻击发生器与攻击目标之间的数据交换也是双向

的。被测IDS监测交换机的镜像端口P3,交换机与被测IDS之间是单向数据传输。

图2测试环境2

3

GB/T26268—2010

在图3中，流量发生器主要用于产生背景流量，攻击发生器用于产生攻击，攻击目标是被攻击的主

机或服务器。背景流量可以是接近实际的业务流，也可以是UDP或TCP数据流。攻击发生器产生的

攻击流量和流量发生器的背景流量混合后发送给攻击目标，然后测试SUT是否能够正常检测到入侵

行为。SUT根据检测到的入侵行为与网络设备或网络安全设备互动，阻断正在进行的入侵行为。端口

P1和P2中的数据流是攻击发生器发岀的攻击与流量发生器产生的背景流量的混合数据流。流量发生

器与交换机之间的数据交换是双向的，攻击发生器与攻击目标之间的数据交换也是双向的。被测IDS

监测交换机的镜像端口P3,交换机与被测IDS之间是单向数据传输。SUT与防火墙/交换机/路由器

之间传输控制信息，用虚线连接。

6接口测试

10/100Base-T接口、1000Base-SX、1000Base-LX接口测试要求应符合YD/T1141—2007的规定。

7系统功能测试

各项功能的技术要求应符合GB/T26269—2010的规定。

7.1协议分析功能

测试编号：1

测试项目：协议分析功能测试

测试目的：验证SUT可以分析、译码基于TCP/IP的协议

测试配置：测试环境1

测试过程:

1.按测试环境连接设备；

2.交换机将端口P1出入流量镜像到端口P3;

3.被测系统SUT在交换机P3端口监视流量；

4.从流量发生器端口1向端口2发送ARP、ICMP、DNS、RIP、()SPF、BGP、HTTP、FTP、TELNET、

SMTP,POP3数据流。

4

GB/T26268—2010

预期结果：

在步骤4中,SUT应能正常监视数据流，对数据流进行分析、译码并提取数据流特征信息（数据流的

特征信息至少包括源MAC地址、目的MAC地址、源1P地址、目的IP地址、协议类型和协议内容）。

判定原则：

应符合预期结果要求，否则为不合格。

7.2攻击识别

测试编号：2

测试项目：攻击类型测试

测试目的：验证SUT可以识别的攻击类型

测试配置：测试环境2

测试过程：

1.按测试环境连接设备；

2.交换机将端口P1出入的数据流镜像到端口P3；

3.配置SUT的检测