[转]网络入侵检测系统测试方法

一般而言，测试分为实验室测试和现场测试。产品的测试包括四个部分：
·静态测试
·功能测试
·攻击测试（可选）
·性能测试（可选）

静态测试
主要考察设备的外观、硬件配置、文档等。

功能测试
主要考查待测产品（设备）本身的功能特性，通过访谈并操作的方式验证待测产品功能（设备），其中功能测试中又分为基本功能和附属功能测试两个部分。

功击测试
主要测试产品对于常见攻击类型的实时检测能力。

性能测试
在不同的网络负载情况下，测试被测产品本身是否能够承受，并且能够检测出其中的网络攻击数据包。

网络连接平台
1）非压力测试：
在非压力测试中，测试系统的界面、部署方式、升级、软件应用、日志管理、审计管理、攻击检测成功率、误报率等。
非压力测试只对产品的检测功能、界面、管理、报表等功能进行测试，所以可以直接部署在实际网络环境中。
测试环境准备要点：
选择确定需要监控的某个或多个网段；
在交换机上做端口镜象SPAN；
准备IDS引擎及Windows控制台、相关规则库策略等；
连接引擎到网络，查看监听流量。
2）压力测试：
在做压力测试的时候，需使用发包器（或多台主机）模拟不同负载的背景流量，测试环境网络应该是独立的网络，每台NIDS直接接入交换机的百兆端口，确保网络性能。检测漏报、误报情况。

攻击方法和相应工具的准备
在测试当中，我们选取一些典型的攻击方法，用于功能测试。根据测试目的的不同，选择攻击方法的标准也有所区别。
在功能测试中，选择标准如下：
⊙选择检测难度较大的攻击，这样可以比较IDS产品的引擎和攻击特征编写能力。
⊙选择最近出现的危害较大的攻击方法，这样可以比较IDS产品的攻击特征库更新频率，进而评估各供应商的的技术能力。
⊙选择能覆盖到各种常用协议和应用服务器的攻击，如FTP、HTTP、SMTP等。

功能测试包括：
产品初步评估
基本管理功能测试
自身安全性能
系统软件、攻击特征库升级
攻击特征库管理
策略
流量分析
日志分析系统
报表文档
数据库维护

攻击测试包括：
常见攻击识别测试
对使用非正常端口的应用
攻击结果有效性测试
其它附加测试

性能测试包括：
TCP背景流量
UDP背景流量