【摘要】：随着互联网的迅速扩展，计算机安全事件每年也以惊人的数量增长，网络安全日益受到人们的关注。作为计算机安全中不可缺少的组成部分，入侵检测系统(IDS)已经受到广泛的应用，对其进行测试和评价的要求也越来越迫切。开发者希望通过测试和评价发现产品中的不足，用户希望通过测试和评价来帮助自己选择合适的入侵检测产品。 目前，国内在入侵检测系统测试方面的研究还很少，我们开展了一些初步的研究工作：使用CASL语言编写测试程序，选取当前有代表性的入侵检测系统进行入侵识别测试，验证入侵检测系统在典型网络环境下的功能特性。通过分析测试结果，对当前的入侵检测技术进行评价。除此以外，我们还深入研究了拒绝服务(DoS)攻击的攻击机制，使用CASL语言模拟了四种典型的拒绝服务攻击。 以上工作的顺利进行，是因为使用了一个高效的安全工具——自定义审计脚本语言(CASL：Custom Audit Scripting Language)。CASL语言是一种高级编程语言，它提供了各种数据包模板和完备的网络编程功能，可以方便地编写模拟底层攻击或对网络进行信息收集检查的程序。CASL语言在语法上与C语言很相似，掌握起来并不难。同时，它也具有脚本语言的特点，编写的程序通过解释方式执行，不会消耗大量的内存和CPU资源。 我们编写了二十五个模拟“PHF”Web服务器攻击的测试程序。之所以模拟PHF攻击是因为所有被测试的IDS都能检测出这种攻击，并且模拟起来比较简单，攻击特征为字符串“GET /cgi-bin/phf?”。另外，被攻击主机上已经不存在相应的安全漏洞，不会受到真正的损害。这些测试程序采用典型的“插入式”和“逃避式”方法来干扰IDS，以便验证入侵检测系统的功能特性。 所有的测试在一个10M以太网环境中进行，该局域网通过路由器连入Internet。测试时需要使用三台主机：运行测试程序的主机，被攻击主机和监控主机。在被攻击主机上先后***﹑配置有代表性的入侵检测系统，并打开受攻击端口——80。监控主机用于记录攻击时的网络流量，以便日后进行回放分析。然后依次运行所有测试程序，记录入侵检测系统的输出，得到测试结果。 我们的测试结果表明：依靠被动的协议分析进行数据收集的入侵检测系统存在固有缺陷，攻击者可以采用各种欺骗﹑干扰手段逃避入侵检测系统的检测。开发商出于各方面的原因，往往会夸大入侵检测系统的作用。新的技术（如入侵预防）可能是未来的解决方法。 自从拒绝服务（DoS）攻击出现以后，每年都造成巨大的经济损失。随着各种自 动化拒绝服务攻击工具的出现，DoS攻击对网络安全的威胁日益严重。当前，关于拒绝服务攻击的研究工作主要集中于攻击检测和响应机制上，而对于DoS攻击本身的具体细节方面的工作并不多。我们搜集了大量的相关信息，深入研究了拒绝服务（DoS）攻击的攻击机制，使用CASL语言模拟了四种典型的拒绝服务攻击——Land，WinNuke，Smurf和Chargen-Echo循环攻击。其中前两种属于资源匮乏型拒绝服务攻击，后两种属于带宽消耗型拒绝服务攻击。 时至今日，拒绝服务攻击的问题没有太大的变化。各种资源（如带宽，内存等）总是有限的，容易遭受“消耗型”攻击。互联网上仍然存在着大量不安全的（不坚固的）系统可以被攻击者利用发起拒绝服务攻击。我们编写的模拟拒绝服务攻击的程序，将有助于研究人员更深刻地理解拒绝服务攻击的本质，发现更有效的方法防范拒绝服务攻击。

【学位授予单位】：吉林大学
【学位授予年份】：2004