YDN142-2008 网络入侵检测系统测试方法

YDN142-2008 网络入侵检测系统测试方法 范围 本标准规定了网络入侵检测系统的接口测试、系统功能测试和性能测试等测试内容和相应的测试方法。 本标准适用于网络入侵检测系统的验收、选型、入网测试等。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 YDN 140-2006网络入侵检测系统技术要求 YDT 1141-2001千兆比以太网交换机测试方法 3 术语和定义 下列术语和定义适用于本标准。 报警 Alert报警是指网络入侵检测系统在检测到入侵行为时，发布给具有系统管理角色实体的消息。 攻击 Attack攻击是指任何危及计算机资源与网络资源完整性、机密性或可用性的行为。 自动响应Automated Response自动响应是指网络入侵检测系统在发现攻击后自发采取的保护行为，躲避Evasion躲避是指入侵者发动攻击，又不希望被发现而采取的行为。 漏H False Negatives漏报是指一个攻击事件未被网络入侵检测系统检测到而造成的错误。 误报 False Positives误报是指系统把正常行为作为入侵攻击而进行报警，或者把一种周知的攻击错误报告为另一种攻击而导致系统错误响应。 防火墙 Firewall在网络之间执行访问控制策略的一个或一组设备。 入侵Intrusion同“攻击”含义 入侵检测 Intrusion Detection 入侵检测是对入侵行为的发觉。它从IP网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现是否有违反安全策略的行为或遭到入侵的迹象。 入侵检测系統Intrusion Detection System（IDS） 进行入侵检测并依据既定的策略采取一定的响应措施的软件与使件的组合，网络入侵检测系统Network Intrusion Detecion System（NIDS） 使用IP网络数据包作为数据源的入侵检测系统。 策略Policy入侵检测系统的策略是指对于IP网络中的攻击事件采取何种响应方式和响应条件。多个策略构成策略集。 规则 Rule入侵检测规则包含了对网络中攻击事件进行评判的依据及对该事件采用的策略，多个规则构成规则集。 特征 Signature入侵检测系统的特征是使入侵检测系统在攻击行为发生时触发事件的依据。多个特征可以构成特征库，简单网络管理协议陷阱 SNMP Trap简单网络管理协议陷阱是指由于发生某个网络事件，触发特定的网络设备发送相应的数掘。 4缩略语 下列缩略语适用于本标准。 ARP Address Resolution Protocol地址解析协议 BGP Border Gateway Protocol边界网关协议 вO Back Orifice后门 DNS Domain Name Scrver域名服务器 FIP File Transfer Protocol文件传输协议 HΤΤΡ Hypertext Transfer Protocol超文本传输协议 ICMP Internet Control Message Protocol互联网控制消息协议 IP Internet Protocol因特网协议 OSPFPOP3 Open Shortest Path First开放最短路径优先 Post Office Protocol 3邮局协议的第 3个版本 RIP SNMP Routing Information Protocol路由信息协议 Simple Network Management Protocol简单网络管理协议 SMTP Simple Mail Transfer Protocol简单邮件传输协议 6接口测试 10/100Base-T接口、1000Base-SX、1000Base-LX接口测试要求应符合YD/T 1141-2001的规定7 系统功能测试 下列各项功能的技术要求应符合YDN 140-2006的规定。 7.1 协议分析功能 测试编号：1测试项目：协议分析功能测试 测试目的：验证SUT可以分析、译码基于TCP/IP的协议 测试配置：测试环境 1测试过程： 1.按测试环境连接设备； 2，交换机将端口P1出入流量镜像到端口P3；3，被测系统SUT在交换机P3端口监视流量； 4，从流量发生器端口1向端口2发送ARP、ICMP、DNS、RIP、OSPF、BGP、HTTP、FTP、TELNET、SMTP、POP3 数据流 预期结果： 在步骤4中，SUT应能正常监视数据流，对数据流进行分析、译码并提取数据流特征信息（数据流的特征信息至少包括源IP地址、目的IP地址、协议类型和协议内容） 判定原则： 应符合预期结果要求，否则为不合格