(2005-06-06 05:30:40)

    1. NIDS测评依据的标准有哪些？

    中国信息安全产品测评认证中心（以下简称认证中心）对NIDS进行测评所依据的标准是《GB/T 18336-2001 信息技术 安全技术 信息技术安全性评估准则》，同时参考不同安全级别的入侵检测系统保护轮廓。

    2. 认证中心开展的NIDS产品评估工作是如何进行的？

    目前认证中心能提供EAL1~EAL4级的评估工作，其中EAL3级评估活动从ST评估、配置管理活动评估、交付和运行活动评估、开发活动评估、指导性文档评估、生命周期支持的活动评估、测试活动的评估、脆弱性分析评定活动的评估等七个方面进行。分级评估涉及到的测试活动主要有独立性测试和穿透性测试。

截止到目前已有金诺网安等4家厂商的产品获得EAL3级认证，另有东软的NetEye网络入侵检测系统等5个产品正在EAL3级测评过程中。

    3. NIDS的功能测评包括哪些内容？

    目前NIDS提供的功能主要有数据的收集，如数据包嗅探；事件的响应，如利用特征匹配或异常识别技术检测攻击，并产生响应；事件的分析，如协议分析、网络流量分析；事件数据存储，如记录报警信息到数据库。

功能测评主要是对NIDS应提供的功能进行验证。例如在事件响应测评中，要求NIDS在检测到攻击事件后能及时地根据设置的响应方式作出响应；在攻击事件检测能力测评中，则要求NIDS能够检测到常见攻击，如后门类、FTP类、HTTP类、DNS类、Mail类、ICMP类、Finger类、RPC类和DoS类等；在控制台功能测评中，则要求NIDS控制台提供对网络引擎、用户角色以及数据库的管理功能等。

    4. NIDS的安全性测评包括哪些内容？

    安全性测评依据入侵检测保护轮廓对NIDS的安全功能做出测评，主要从安全审计、标识和鉴别、安全管理、TOE安全功能保护以及IDS部件要求等方面进行测评分析。

    5. 功能测评以及安全性测评所采用的测试方法是什么？

    功能测评一般采用验证法，即根据产品本身的功能设置和使用说明，通过运用的测试工具来验证NIDS的数据收集、分析、响应和控制台管理等功能是否能够正确实现；安全性测评则是综合运用验证法、分析法来确认NIDS是否满足相关的安全功能要求。

    6. 为什么要进行性能测试？

    所谓性能测试是指在不同背景流量下NIDS的检测能力，它是评价NIDS在应用数据包处理、攻击行为分析和检测技术上的一个重要指标。通过性能测试能反映出NIDS的数据包处理能力。在相同背景流量下，NIDS对不同帧长数据包的处理效率不一样，在100Mb/s流量下，帧长1518byte时，NIDS每秒要处理约8000个数据包，但如果帧长64byte，则要处理近20万个数据包，是帧长1518byte时的25倍。

    7. NIDS的性能测试包括那些方面？

    在性能测试中，重要的指标主要有漏报率、误报率、规则库的广度，以及NIDS在不同网络负荷条件下的检测能力等。其中，不同负荷条件下检测能力的测试也是一种对漏报率的检测，是指通过建立一定的背景流量，在不同帧长、不同背景流量下NIDS对某类入侵行为进行检测的成功率。

    8. 独立性测试是什么，如何进行的？

   独立性测试是指通过检查开发者的测试文档，由评估者一方对NIDS的安全功能进行抽样测试，自主设计相应测试用例，并独立完成测试。

    9. 什么是穿透性测试，包括那些内容？

    作为等级评估的一个重要内容，穿透性测试是指在模拟真实应用环境下，测试NIDS是否能抵御不同等级攻击，以确定该产品是否存在安全脆弱性。穿透性测试通常从系统自身安全性、攻击识别能力、抗事件风暴能力、不同负荷条件下的检测能力和规避测试等方面进行。

    10. 什么是系统自身安全性？ 如何对系统的安全性进行测试？

    系统自身安全性是指构成NIDS各部件以及之间的通信的安全性，如感应器的安全性，以及控制台与感应器之间通信的安全性。

    感应器的安全性测试主要用于验证感应器的管理口是否开放了不必要的服务端口，以及开放的服务是否存在已知的安全漏洞。

    控制台与感应器之间通信的安全性测试可通过专用测试工具对感应器的管理口发起拒绝服务攻击，验证NIDS在DoS攻击下是否能正常工作，控制台和感应器之间是否能正常通讯，还可以通过在控制台与感应器之间实施ARP欺骗、中间人攻击或者重放攻击等，来验证控制台和感应器之间的通信机制是否完善。

    11. 什么是规避？如何检测NIDS对规避攻击的检测能力？

    规避就是对攻击行为进行伪装，虽然攻击目标机能够识别这种伪装后的攻击行为，但IDS却不能有效地检测该攻击，从而使攻击者达到攻击的目的。例如：将攻击数据包进行分片，由于有些NIDS不能对IP分片进行重组，或者超过了其处理能力，因此对该攻击规避后可以躲过NIDS的检测。

    目前规避技术有很多种，如数据包分片和URL Obfuscation。数据包分片测试检测NIDS是否具备TCP/IP的重组能力，以及重组能力是否完善；测试使用专有的规避测试工具对攻击流量进行分片、重叠、乱序处理，并向攻击目标转发，验证NIDS是否能检测到该攻击。URL Obfuscation测试检测NIDS能否抵抗常见的URL Obfuscation技术；测试使用专有的字符串处理和字符替代技术，对攻击数据进行伪装，并向攻击目标转发，验证NIDS是否能检测到该攻击。