9第九章 入侵检测系统的标准与评估

入侵检测系统的标准与评估1入侵检测系统的标准与评估入侵检测系统的标准与评估2入侵检测系统的标准与评估入侵检测系统的标准与评估:入侵检测的标准化工作入侵检测系统的性能指标网络入侵检测系统测试评估测试评估内容测试环境和测试软件用户评估标准入侵检测评估方案入侵检测系统的标准与评估3入侵检测的标准化工作入侵检测技术在最近几年发展迅速，但是相应的入侵检测标准化工作则进展缓慢。

当前有两个国际组织在进行这方面的工作，他们是CommonIntrusionDetectionFramework（CIDF通用入侵检测系统框架）和IETF（InternetEngineeringTaskForce）下属的IntrusionDetectionWorkingGroup（IDWG）。他们强调了入侵检测的不同方面，并从各自的角度进行了标准化工作。

入侵检测系统的标准与评估4CIDF的架构GidosGidos反应Gidos事件Gidos事件产生器响应单元事件数据库Gidos事件分析器入侵检测系统的标准与评估5CIDF的互操作配置互操作：可相互发现并交换数据。语法互操作：可正确识别交换的数据。语义互操作：可相互正确理解交换的数据。入侵检测系统的标准与评估6CIDF的协同方式-分析AB入侵检测系统的标准与评估7CIDF的协同方式-互补A1BA2入侵检测系统的标准与评估8CIDF的协同方式-互纠A1JA2入侵检测系统的标准与评估9CIDF的协同方式-核实A1HA2入侵检测系统的标准与评估10CIDF的协同方式-调整AT入侵检测系统的标准与评估11CIDF的协同方式-响应AX入侵检测系统的标准与评估12CIDF的公共入侵规范语言（CISL）

CIDF最主要的工作就是不同组件间所使用语言的标准化，CIDF的体系结构只是通信的背景。

在CIDF模型里，通过组件接收的输入流来驱动分析引警进行处理，并将结果传递到其它的部件。CIDF用通用入侵说明语言CISL对事件、分析结果、响应指示等过程进行表示说明，以达到IDS之间的语法互操作。

CISL语言使用符号表达式（简称S-表达式)。

入侵检测系统的标准与评估13S-表达式的递归定义

原子是S-表达式。如果a1、a2是S-表达式，则表（a1、a2）也是S-表达式。有限次使用（1）、（2）所得的表达式都是S-表达式，此外没有别的S-表达式。

入侵检测系统的标准与评估14CISL的设计目标

表达能力：CISL语言应当具有足够的词汇和复杂的语法来实现广泛的表达，主要针对事件的因果关系、事件的对象角色、对象的属性、对象之间的关系、响应命令或脚本等几个方面。表示的唯一性：要求发送者和接收者对协商好的目标信息能够相互理解。精确性：两个接收者读取相同的消息不能得到相反的结论。

层次化：语言当中有一种机制能够用普通的概念定义详细而又精确的概念。

自定义：在消息中能够自我解析说明。

效率：任何接收者对语言格式的理解开销不能成倍增加。扩展性：语言里有一种机制能够让发送者使用的词汇来表明接收者的事实。或者是接收者能够利用消息的其余部分解析说明新的词汇的含义。简单：不需理解整个语言就能接收和发送信息。

可移植性：语言的编码不是依赖于网络的细节或特定主机的消息。容易实现：实现起来比较容易。

入侵检测系统的标准与评估15CIDF的通信机制Gidos层信体层协商传输层入侵检测系统的标准与评估16CIDF的标准化工作通过组件标识查找，或更高层次上地通过特性查找通信双方的代理设施和查找协议。使用正确（鉴别）、安全（加密）、有效的组件间通信协议。定义了一种能使组件间互相理解的语言CISL。

说明了进行通信所用的主要的API。

入侵检测系统的标准与评估17IDMEF

为了适应网络安全发展的需要，Internet网络工程部IETF（InternetEngineeringTaskForce）的入侵检测工作组（InternetDetectionWorkingGroup，简称IDWG）负责进行入侵检测响应系统之间共享信息数据格式和交换信息方式的标准制订，制订了入侵检测信息交换格式（IntrusionDetectionMessageExchangeFormat，缩写为IDMEF）。IDMEF与CIDF类似，也是对组件间的通信进行了标准化，但它只标准化了一种通信场景，即数据处理模块和警告处理模块间的警告信息的通信。引入入侵检测信息交换格式的目的在于定义入侵检测模块和响应模块之间，以及可能需要和这两者通信的管理模块感兴趣的信息交换的数据格式和交换过程。入侵检测系统的标准与评估18IDWG的主要工作制定入侵检测消息交换需求文档。该文档内容有入侵检测系统之间通信的要求说明，同时还有入侵检测系统和管理系统之间通信的要求说明。制定公共入侵语言规范。制定一种入侵检测消息交换的体系结构，使得最适合于用目前已存在协议实现入侵检测系统之间的通信。入侵检测系统的标准与评估19IDMEF的需求消息交换需求消息格式需求通信机制需求安全需求消息内容需求入侵检测系统的标准与评估20入侵检测消息数据模型报警分析器名字目标来源用户进程服务用户节点节点进程入侵检测系统的标准与评估21IDMEF的入侵警告协议TCP连接建立安全建立通道的建立入侵检测系统的标准与评估22IDMEF总结IDMEF最大的特点就是充分利用了已有的较成熟的标准。与CIDF相比较，在数据表示方面不仅在语法方面而且在语义方面都进行了详细的规定，方便了传输数据的解释，提高了解释的效率，但同时也降低了通用性，只能表达警告信息。在通信方面，IDMEF各组件必须有通信对方的地址信息，这样效率很高。IDMEF通信可能考虑到安全边界问题，支持使用代理。入侵检测系统的标准与评估23标准化工作总结以上入侵检测协议只是草案，至于这些协议将来是否能成为Internet标准现在还难以确定。按IETF规定，Internet草案最长有效期六个月，随时可能被其他文档更新、替换。总的来说，入侵检测的标准化工作进展非常缓慢，现在各个IDS厂商几乎都不支持当前的标准，造成各IDS之间几乎不可能进行互相操作。标准化终究是IT行业充分发展的一个必然趋势，而且标准化提供了一套比较完备、安全的解决方案。入侵检测系统的标准与评估24评价入侵检测系统性能的标准准确性（Accuracy）：指入侵检测系统能正确地检测出系统入侵活动。

完备性（Completeness）：指入侵检测系统能够检测出所有攻击行为的能力。

容错性（FaultTolerance）：入侵检测系统自身必须能够抵御对它自身的攻击，特别是拒绝服务攻击（DenialofService）。及时性（Timeliness）：及时性要求入侵检测系统必须尽快地分析数据并把分析结果传播出去，以使系统安全管理者能够在入侵攻击尚未造成更大危害以前做出反应，阻止攻击者颠覆审计系统甚至入侵检测系统的企图。入侵检测系统的标准与评估25影响入侵检测系统性能的参数假设I与┐I分别表示入侵行为和目标系统的正常行为，A代表检测系统发出了入侵报警，┐A表示检测系统没有报警。

检测率：指被监控系统受到入侵攻击时，检测系统能够正确报警的概率，可表示为P（A|I）。虚警率：指检测系统在检测时出现虚警的概率P（A|┐I），可利用已知的系统正常行为实验数据集，通过系统仿真获得检测系统的近似虚警率。入侵检测系统的标准与评估26评价检测算法性能的测度入侵检测系统的标准与评估27表示不同检测系统性能的ROC曲线簇

0入侵检测系统的标准与评估28网络入侵检测系统测试评估由于不断变化的入侵攻击的情况，用户和厂商需要维护多种不同类型的信息才能保证IDS能够检测到可疑事件。这些信息包括：

正常和异常下的用户、系统和进程行为的轮廓；可疑通信量模式字符串，包括己知的入侵攻击签名；

对各种各样的异常和攻击进行响应所需要的信息。

入侵检测系统的标准与评估29入侵检测系统测试环境

服务类别服务器IDSIDS测试平台控制器用户攻击者入侵检测系统的标准与评估30误用检测失效的原因系统活动记录未能为IDS提供足够的信息用来检测入侵；入侵签名数据库中没有某种入侵攻击签名；

模式匹配算法不能从系统活动记录中识别出入侵签名。

入侵检测系统的标准与评估31异常检测失效的原因异常阈值定义不合适；用户轮廓模板不足以描述用户的行为；异常检测算法设计错误。

入侵检测系统的标准与评估32功能性测试攻击识别抗攻击性过滤报警日志报告入侵检测系统的标准与评估33性能测试IDS引擎的吞吐量：IDS在预先不加载攻击标签的情况下，处理原始的检测数据的能力。包的重装：测试的目的是评估IDS的包的重装能力。例如，为了测试这个指标，可通过PingofDeath攻击，IDS的入侵标签名库只有单一的PingofDeath标签，这时来测试IDS的响应情况。过滤的效率：测试的目标是评估IDS在遭到攻击的情况下过滤器的接收、处理和报警的效率。这种测试可以用LAND攻击的基本包头为引导，这种包的特征是源地址等于目标地址。入侵检测系统的标准与评估34Lincoln实验室的IDS测试环境

监听数据审计数据IDS检测结果ROC曲线分析入侵检测系统的标准与评估35Rome实验室的IDS测试环境

正常网络通信流攻击网络通信流评估网络IDS入侵检测系统的标准与评估36IDS功能测试配置图

攻击者路由器路由器网络负载产生器攻击目标IDS管理中心IDS探测器入侵检测系统的标准与评估37测试软件nidsbench测试软件包California大学的IDS测试平台入侵检测系统的标准与评估38用户评估标准产品标识IDS文档和技术支持IDS的功能IDS报告和审计IDS