第十章 入侵检测系统的评估与标准化工作

1、 第十章 入侵检测系统的评估与标准化工作一、影响入侵检测系统性能的参数有效性：指研究检测机制的检测精确度和系统报警的可信度。效率：从检测机制处理数据的速度以及经济角度来考虑，侧重检测机制性能价格比的改进。虚警（false positive）：把系统的“正常行为”作为“异常行为”进行报警漏警(false negative)：如果检测系统对部分针对系统的入侵活动不能识别、报警，称为系统的漏警现象。检测率：指被监控系统受到入侵攻击时，检测系统能够正确报警的概率。虚警率：指检测系统在检测时出现虚警的概率。二、评价检测算法性能的测度接收器特性（Reveiver Operating Characteris

2、tic, ROC）曲线：利用检测率随虚警率的变化曲线来评价检测系统的性能，这条曲线称接收器特性曲线。P57 图（薛静锋）三、评价入侵检测系统性能的标准根据Porras等的研究，给出3个评价因素：1准确性(Accuracy)：指入侵检测系统能正确地检测出系统入侵活动。否则会造成虚警现象。2处理性能（Performance）：指一个入侵检测系统处理系统审计数据的速度。3完备性(Compliteness)：指入侵检测系统能够检测出所有攻击行为的能力。（相对困难）Debar等又增加两个性能评价因素：1容错性（Fault Tolerance）：入侵检测系统自身必须能够抵御对它自身的攻击，特别是拒绝服务攻

3、击（Denial-Of-Service）。2及时性(Timeliness)：及时性要求入侵检测系统必须尽快地分析数据并把分析结果传播出去，以使系统安全管理者能够在入侵攻击尚未造成更大危害以前做出反应，阻止攻击者颠覆审计系统甚至入侵检测系统的企图。它不仅要求处理速度快，而且要求传播、反应检测结果信息的时间尽可能少。四、测试评估一般采用黑箱测试（对竞争对手、黑客保密等原因），另外，测试IDS需要构建网络和操作系统环境以及网络通信流量样本数据，系统、进程、文件使用和用户行为的轮廓也需要测试数据。总之，用户和厂商需要维护多种不同类型的信息才能保证IDS能够检测到可疑事件，这些信息包括：1正常和异常情况

4、下用户、系统和进程行为的轮廓2可疑通信量模式字符串，包括已知的入侵攻击签名。3对各种异常和攻击进行响应所需要的信息。IDS测试者主要来自开发者、第三方、入侵者和最终用户。开发者和第三方的测试活动在产品早期进行，测试环境也有限制，而入侵和最终用户的测试评估是在实际应用环境下进行。误用检测两个关键部分：入侵签名数据库和模式匹配算法误用检测实效的原因有：1系统活动记录未能为IDS提供足够的信息用来监测入侵。2入侵签名数据库中没有某种入侵攻击签名。3模式匹配算法不能从系统活动记录中识别出入侵签名。异常检测模块失效的原因通常有：1异常阈值定义不合适。2用户轮廓模板不足以描述用户行为。3异常检测算法设计错

5、误IDS的评估涉及到入侵识别能力、资源使用状况、强力测试反应等问题。测试内容：1功能性测试： 1）攻击识别以TCP/IP协议攻击识别为例，攻击识别分以下几种： （1）协议包头攻击分析的能力：（2）重装攻击分析的能力：IDS能够重装多个IP包的分段，并从中发现攻击。常见的重装攻击是Teardrop和Ping of Death （3）数据驱动攻击分析能力：IDS能够分析IP包数据的具体内容。例如HTTP的phf攻击。2）抗攻击性可以抵御拒绝服务攻击，对于某一时间内的重复攻击，IDS包能够识别并能抑制不必要的报警。3）过滤IDS过滤器具有下面的能力： （1）可以修改或调整。（2）创建简单的字符规则。

6、（3）使用脚本工具创建复杂的规则。4）报警5）日志保存日志的数据能力。按特定的需求说明，日志内容可以选取。6）报告产生入侵行为报告。提供查询报告创建和保存报告2性能测试 1）IDS引擎器的吞吐量：IDS在预先不加载攻击标签情况下，IDS处理原始检测数据的能力 2）包的重装：测试的目的就是评估IDS包重装能力。 3）过滤的效率：测试的目的就是评估IDS在攻击的情况下过滤器的接收、处理和报警的效率。3产品可用性测试评估系统的用户界面的可用性、完整性和扩充性。支持多个平台操作系统，容易使用且稳定。4测试环境：离线测试、实时测试 5测试软件： 仿真用户操作：通用会话生产工具（Generic sessi

7、on generation tool）、测试软件包（Using test suites）、录制实际数据重放（mcording live data） 模拟入侵五、评估用户评估标准1产品标识2IDS文档和技术支持3IDS的功能4IDS报告和审计5IDS检测与响应6安全管理7产品安装和服务支持六、入侵检测的标准化工作1国内外入侵检测系统： 1）RealSecure2)Cisco Secure IDS3)AAFID(Autonomous Agents for Intrusion Detection)4)“天眼”5）“天” 6）“冰之眼 ” 7）ERCIST-IDS 2入侵检测标准化工作 1）美国国防高级研究计划署（DARPA） 提出公共入侵检测框架(CIDF):：体系结构、