网络型入侵检测系统性能测试工具的研究与实现

摘要

从20世纪80年代的主机型入侵检测系统到现在的复杂且多形态的网络型入侵检测系统，国际上的研究人员一直致力于研究入侵检测系统的运行构架以及对入侵检测系统进行功能/性能测试的方法技术。尤其对于入侵检测系统的测试方法，国际上至今还没有统一规定。本文针对我国现行网络型入侵检测产品入侵检测通用标准《GA/T 403.1-2002 信息技术 入侵检测产品技术要求 第1部分：网络型产品》的规定内容进行研究，以解决检测项目中难以测试和难以对比的问题。 本文首先对国际上一些著名实验室和研究机构的经典测试方法和理论，对行业中现有的测试现状进行了研究和分析。然后，借鉴这些国内外相关研究结论，结合国内目前行业标准GA/T 403.1-2002，有目的性地对网络型入侵检测系统中关键项目的功能/性能测试原理和前提条件进行了研究和分析。提出了一系列较合理的网络型入侵检测系统改进的测试方法；并根据网络型入侵检测系统功能与性能之间、各测试点之间的联系，对GA/T 403.1-2002标准内容重新进行关联分析，提出了较完整的检测工作流程。进而，本文在所提出的检测工作流程以及各关键项目测试理论的基础上进行了程序的模块化设计，并最终实现了网络型入侵检测系统性能测试工具。 本文的目标是在吸取国内外检测方法和工具的先进经验的基础上，以GA/T 403.1-2002标准为基础提出新的检测框架和方法，为网络型入侵检测产品检测方法规约的制定提供依据。并使用开发语言建立统一的性能测试工具平台，实现本文对网络型入侵检测产品性能的全新的检测设计，也为今后性能扩展测试提供平台。