入侵检测的标准与评估PPT课件

1、.,0,入侵检测技术分析,北京信息科技大学 刘凯 ,第11讲,.,1,入侵检测技术分析,第7章 入侵检测系统的标准与评估,.,2,课程安排,入侵检测概述 2学时 入侵方法及手段 3学时 入侵检测系统 3学时 入侵检测流程 6学时 基于主机的入侵检测技术 4学时 基于网络的入侵检测技术 4学时 入侵检测系统的标准与评估 4学时 Snort 分析 4学时 入侵检测技术的发展趋势 2学时 共32学时,.,3,教材及参考书,入侵检测技术曹元大 人民邮电出版社 入侵检测技术薛静锋等 机械工业出版社 Snort 2.0 入侵检测Brian Caswell等著 宋劲松等著 国防工业出版社 入侵检测实用手册P

2、aul E. Proctor 中国电力出版社 ,.,4,上一章回顾,基于网络的入侵检测技术 网络数据包的捕获 检测引擎设计 网络入侵特征实例分析,.,5,第7章 入侵检测系统的标准与分析,入侵检测的标准化工作 入侵检测设计方面的考虑 入侵检测系统的性能指标 网络入侵检测系统测试评估 测试评估内容 测试环境和测试软件 用户评估标准 入侵检测评估方案,.,6,第7章 入侵检测系统的标准与评估,对标准与评估的需求 随着网络规模的不断扩大以及网络入侵活动的不断复杂多变, 要求IDS之间必须要有协作。 网络安全也要求IDS能够与其它安全机制交换信息， 相互协作。 所设计和实现的IDS能否达到设计目标，也

3、是值得关心的重要问题。,.,7,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作 入侵检测技术在最近几年发展迅速，但是相应的入侵检测标准化工作则进展缓慢。 当前有两个国际组织在进行这方面的工作，他们是Common Intrusion Detection Framework（CIDF）和IETF（Internet Engineering Task Force）下属的Intrusion Detection Working Group（IDWG）。 他们强调了入侵检测的不同方面，并从各自的角度进行了标准化工作。,.,8,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作 7

4、.1.1 CIDF 由S.Staniford-Chen等人提出 CIDF的规格文档由4部分组成： Architecture Communication Language API,.,9,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作 CIDF的体系结构,Gidos,Gidos,反应Gidos,事件Gidos,事件产生器,响应单元,事件数据库,Gidos,事件分析器,.,10,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作 CIDF的体系结构 CIDF的3类互操作 配置互操作：可相互发现并交换数据。 语法互操作：可正确识别交换的数据。 语义互操作：可相互正确理解交

5、换的数据。,.,11,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作 CIDF的体系结构 CIDF定义IDS的6种协同方式 分析方式 互补方式 互纠方式 核实方式 调整方式 响应方式,.,12,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作 CIDF的体系结构 CIDF定义IDS的6种协同方式 分析方式： 互补方式 互纠方式 核实方式 调整方式 响应方式,A搜集原始数据并何作预处理分析，B根据A进行深层次的分析并产生报告。,.,13,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作 CIDF的体系结构 CIDF定义IDS的6种协同方式 分析方式 互

6、补方式: 互纠方式 核实方式 调整方式 响应方式,B负责合并A1和A2的输出结果,A1和A2可以检测不同的攻击。,.,14,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作 CIDF的体系结构 CIDF定义IDS的6种协同方式 分析方式 互补方式 互纠方式： 核实方式 调整方式 响应方式,A1和A2可以互纠结果。J组件在A1和A2的检测结果都相同的情况下才会报告入侵。,.,15,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作 CIDF的体系结构 CIDF定义IDS的6种协同方式 分析方式 互补方式 互纠方式 核实方式： 调整方式 响应方式,A1报告发现攻击，H则询

7、问A2是否也检测到同一种攻击。,.,16,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作 CIDF的体系结构 CIDF定义IDS的6种协同方式 分析方式 互补方式 互纠方式 核实方式 调整方式： 响应方式,A根据所接受到的警告信息调整监测。A发送一个请求给T，询问应该监测的对象是什么。,.,17,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作 CIDF的体系结构 CIDF定义IDS的6种协同方式 分析方式 互补方式 互纠方式 核实方式 调整方式 响应方式：,入侵检测器需要预先设置自动应急的脚本，以便IDS可以直接响应。,.,18,第7章 入侵检测系统的标准与评估

8、,7.1 入侵检测的标准化工作 CIDF的公共入侵规范语言（CISL） CIDF最主要的工作就是不同组件间所使用语言的标准化。 在CIDF模型里，通过组件接收的输入流来驱动分析引擎进行处理，并将结果传递到其它的部件。 CIDF用通用入侵说明语言CISL对事件、分析结果、响应指示等过程进行表示说明，以达到IDS之间的语法互操作。 CISL语言使用符号表达式（简称S-表达式），类似于LISP语言。,.,19,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作 CIDF的公共入侵规范语言（CISL） S-表达式的递归定义: (1)原子是S-表达式。 (2)如果a1、a2是S-表达式，则表

9、（a1、a2）也是S-表达式。 (3)有限次使用（1）、（2）所得的表达式都是S-表达式，此外没有别的S-表达式。,.,20,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作 CIDF的公共入侵规范语言（CISL） 设计目标 表达能力 表示的唯一性 精确性 层次化 自定义 效率 扩展性 简单性 可移植性 容易实现,.,21,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作 CIDF的公共入侵规范语言（CISL） 一个实例:以LINUX环境为例，针对一个含有LOGIN_FAILED的日志记录10：Jul 31 08:57:45 zd213 login1344 LOGI

10、N_ FAILED 1 from 192.168.0.211 FORJohn Authentication failure。系统产生的GIDO如下(限于篇幅，这里略去其对应的二进制编码形式)： Login Outcome,.,22,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作 CIDF的公共入侵规范语言（CISL） ReturnCode ACTION_FAILED When BeginTime Jul 31 08:57:43 Initiator IPV4Address 192.168.0.211 Username John Receiver Hostname zd213 ,.

11、,23,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作 CIDF的通信机制,.,24,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作 CIDF的总结 通过组件标识查找，或更高层次上地通过特性查找通信双方的代理设施和查找协议。 使用正确（鉴别）、安全（加密）、有效的组件间通信协议。 定义了一种能使组件间互相理解的语言CISL。 说明了进行通信所用的主要的API。,.,25,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作 CIDF的总结 存在一些不足 复杂性 时效性 协议的完整性,.,26,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工

12、作 IMDEF Internet网络工程部IETF（Internet Engineering Task Force）的入侵检测工作组（Internet Detection Working Group，简称IDWG）制订了入侵检测信息交换格式（Intrusion Detection Message Exchange Format，缩写为IDMEF）。 IDMEF与CIDF类似，也是对组件间的通信进行了标准化。 引入入侵检测信息交换格式的目的在于定义入侵检测模块和响应模块之间，以及与管理模块间的信息交换的数据格式和交换过程。,.,27,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作

13、 IMDEF IMDEF主要工作 制定入侵检测消息交换需求文档。该文档内容有入侵检测系统之间通信的要求说明，同时还有入侵检测系统和管理系统之间通信的要求说明。 制定公共入侵语言规范。 制定一种入侵检测消息交换的体系结构，使得最适合于用目前已存在协议实现入侵检测系统之间的通信。,.,28,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作 IMDEF 需求 消息交换需求 消息格式需求 通信机制需求 安全需求 消息内容需求,.,29,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作 IMDEF 需求 消息交换需求: 消息格式需求 通信机制需求 安全需求 消息内容需求,-

14、用户可能选择多种入侵检测系统, 需要查询多个管理器的输出 入侵行为常涉及多个受害组织,或同一组织的多个站点, 各站点的报告采取统一的格式更有利 不同系统的组件更易集中,.,30,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作 IMDEF 需求 消息交换需求: 消息格式需求: 通信机制需求 安全需求 消息内容需求,应允许支持国际化和本地化 允许管理器对消息数据进行过滤和聚合.,.,31,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作 IMDEF 需求 消息交换需求: 消息格式需求: 通信机制需求: 安全需求 消息内容需求,必须支持可靠的消息传递 必须支持消息传递穿

15、过防火墙,但并不损害安全性.,.,32,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作 IMDEF 需求 消息交换需求: 消息格式需求: 通信机制需求: 安全需求: 消息内容需求,必须支持分析器和管理器之间的相互认证 必须支持消息内容的保密性、完整性、非否认性 应该抵制对协议的拒绝服务攻击 应能防止恶意的消息复制,.,33,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作 IMDEF 需求 消息交换需求: 消息格式需求: 通信机制需求: 安全需求: 消息内容需求：,必须覆盖各种类型的入侵检测机制，如： 基于签名的检测系统 基于异常的检测系统 基于相关性的检测系统

16、基于网络的检测系统 基于主机的检测系统 基于应用程序的检测系统,.,34,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作 IMDEF 入侵检测消息数据模型1(面向对象),.,35,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作 IMDEF 入侵检测消息数据模型2(基于XML) 可以方便地为入侵检测报警描述特定的开发自定义语言 全面支持消息格式的国际化和本地化需求. 处理文档资料的软件工具可以多方面的得到. 免费,.,36,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作 IMDEF IDMEF的入侵警告协议(Intrusion Alert Prot

17、ocol, IAP) TCP连接建立 安全建立 通道的建立,.,37,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作 IMDEF IDMEF的总结 IDMEF最大的特点就是充分利用了已有的较成熟的标准。 与CIDF相比较，在数据表示方面不仅在语法方面而且在语义方面都进行了详细的规定，方便了传输数据的解释，提高了解释的效率，但同时也降低了通用性，只能表达警告信息。 在通信方面，IDMEF各组件必须有通信对方的地址信息，这样效率很高。 IDMEF通信可能考虑到安全边界问题，支持使用代理。,.,38,第7章 入侵检测系统的标准与评估,7.1 入侵检测的标准化工作 标准化工作总结 以上

18、入侵检测协议只是草案，至于这些协议将来是否能成为Internet标准现在还难以确定。 按IETF规定，Internet草案最长有效期六个月，随时可能被其他文档更新、替换。 总的来说，入侵检测的标准化工作进展非常缓慢，现在各个IDS厂商几乎都不支持当前的标准，造成各IDS之间几乎不可能进行互相操作。 标准化终究是IT行业充分发展的一个必然趋势，而且标准化提供了一套比较完备、安全的解决方案。,.,39,第7章 入侵检测系统的标准与评估,7.2入侵检测系统的设计考虑 入侵检测系统在设计时需要考虑若干问题。首先，系统设计的最初阶段要注意对用户的实际需求进行分析。其次要遵循若干基本的安全设计原则。 用户

19、需求分析 系统安全设计原则 系统设计的生命周期,继续,.,40,用户需求分析,需求定义或者需求分析是进行系统设计的第一步，同时也是对后继过程产生最重要影响的阶段。 在需求定义的早期阶段，要注意保持需求定义的适当灵活性。在实际开发中，通常采用开发需求文档来记录不同阶段内需求定义的变更情况。 对于入侵检测系统的设计和开发过程而言，具体需要考虑如下所示的需求定义和分析情况。,.,41,用户需求分析,1. 检测功能需求： 对于入侵检测系统而言，足够有力的检测功能是最基本的需求。按照不同用户的检测目标要求，检测功能需求又可以分为不同的类型。 首先，通常的用户需要对发生在外部的针对本地网络的攻击行为进行有

20、效检测，以期发现潜在的外部威胁，包括拒绝服务攻击、非授权访问企图或者漏洞扫描等攻击性活动。 满足上述需求应该以网络入侵检测技术为主. 部署位置的不同，也会带来需求的变化,.,42,用户需求分析,其次，在某些安全保护等级要求高的内部网络环境中，例如军事计算环境和金融交易网络，用户需求将要求对内部网络中用户的异常活动进行检测。 能追踪任何用户对系统内关键对象和资源的访问情况 能检测内部用户用来获取更高授权时所利用的常见漏洞的发掘过程 此外，另一类检测需求来自于对组织内部安全策略的一致性检测目标。,.,43,用户需求分析,2. 响应需求： 在入侵检测一般模型中，都包含了一定的响应模块。这也就反映了一

21、般用户都具有的对所检测到的异常行为进行响应的基本需求。 用户通常最初对响应需求的期望值很高，例如自动切断会话连接或者锁定特定用户账户等，用来达到快速阻断攻击的目标。 设计者需要进一步分析自动响应需求所存在的潜在风险，要妥善处理好此类响应操作的实现过程。,.,44,用户需求分析,2. 响应需求： 响应需求还通常应该与整个系统的检测目标以及其他需求相关。如果检测目标中主要考虑了取证和诉讼的需求，则响应需求就应该包括如何能够增强证据说服力和可信度的操作。 如果检测目标中考虑了损伤评估需求，则响应需求就应该集中在增加可支持进一步调查活动的管理性操作上。 具体的响应需求包括： 最强烈的需求是自动注销用户

22、账户 在调查某个用户的可疑活动时，暂停该用户账户，或者是在调查过程中，降低用户的权限等级并限制访问范围等。,.,45,用户需求分析,3. 操作需求：定义了执行入侵检测工作的具体过程。不同的操作方式类型将包含不同的操作需求，具体的操作方式包括： 后台操作(background operation)。 按需操作(on-demand operation)。 预定操作(scheduled operation)。 实时操作(real time operation)。 全天候操作(all day operation)。,.,46,用户需求分析,4. 平台范围需求： 通常用户会从运行平台范围的角度提出自己的

23、需求，例如： 入侵检测系统所能处理的网络协议类型 所能运行的操作系统平台类型 能够监控的计算机和应用程序范围等。 平台范围需求通常描述了用户需要监控的目标网络组件类型。例如： 用户提出系统应该具备在Solaris和Windows 2000上的网络结点检测性能； 要求系统能够检测针对特定应用程序的攻击行为，包括Web站点和电子邮件服务器等。,.,47,用户需求分析,5. 数据来源需求： 用户还会提出数据来源的需求，即系统能够监控哪些输入的审计数据源。 不同行业内的信息系统通常由不同类型的主机、操作系统和应用程序组成，因此拥有不同类型、种类繁多的审计数据源。 对于网络数据来源而言，现在大多数的网络

24、系统都建筑在TCP/IP协议之上；但是，对于某些遗留网络而言，可能存在着其他的网络协议，例如X.25和令牌环网等。 其他的数据来源需求，还可能包括能够分析防火墙日志信息、路由器日志，以及SNMP网管日志等的能力。,.,48,用户需求分析,6. 检测性能需求：入侵检测系统具有通用的性能需求，同时不同类型的入侵检测技术各自具备自己的性能需求指标。 传统的基于网络入侵检测，性能指标通常包括所能监控的网络带宽情况，此外，还要考虑在交换式网络环境下和加密情况下的性能需求。 网络结点入侵检测，关注的性能需求指标主要是网络环境中各结点数据的关联分析性能，即能够对多少个独立网络结点的检测结果进行关联分析，从而

25、获得对整个网络安全状态的评估结果。,.,49,用户需求分析, 基于主机的入侵检测，性能需求主要来自于目标监控系统日志产生的速度以及系统处理审计记录的速度要求。 应用程序入侵检测是基于主机入侵检测的一个特例，其性能需求包括主机入侵检测的参数指标。特别之处在于,需要注意从各种特定应用程序处收集数据的性能需求。 对于分布式的入侵检测系统，要注意特有的性能需求情况。 在控制台和检测组件之间发生大量的通信流量对带宽的影响。 不同的网络规模和监控要求会提出系统所能监控结点数目的性能需求。,.,50,用户需求分析,7. 可伸缩性需求 前面所述的分布式入侵检测系统的性能要求反映了可伸缩性需求的一个方面，另一个

26、方面是系统部署和操作方面的可伸缩性要求。 8 取证和诉讼需求 如果要把入侵检测系统用于法律起诉用途的工具，则需要满足相关的取证和诉讼需求。许多用于诉讼的需求是与具体过程相关的，这些需求确定了在调查期间的各个阶段需要何种安全等级的数据。 9. 其他需求,返回,.,51,系统安全设计原则,1. 机制的经济性原则：该原则提倡保护机制的设计应该在有效的前提下，尽量保持实现简单。在正常无错误的条件下，保护机制通常都能够生效。 保护机制的设计必须足够简单明了，以便能够通过手工检查方式或者数学证明方式来进行有效的正确性和有效性评估验证过程。 另外一个考虑因素是，任何复杂系统必然会导致出错的倾向性大于简单系统

27、。简单明确的系统设计，将会大大降低出现故障和错误的概率。,.,52,系统安全设计原则,2. 可靠默认原则：指保护机制的设计应该确保在默认的情况下，任何主体没有访问的特权，而保护机制的设计应该指出在哪些特定的条件下允许访问操作。 如果保护机制没有遵循可靠默认原则，例如在默认情况下允许所有访问请求，则在机制失效情况下，它就会允许所有的访问操作。 可靠默认原则的一个拓展情况就是，在系统设计和实现中的每个资源访问点上，都必须确保在进行实际的访问操作时，必须首先执行特定的操作来获得所需的授权；否则系统应该拒绝后继的操作。,.,53,系统安全设计原则,3. 完全调节原则：该原则要求保护机制检查对每个对象的

28、每次访问操作，必须确保该次操作得到了合理的授权。 遵循此原则并系统地实施之，可以避免一些最常见的安全脆弱性。 如果在保护机制的设计过程中，完全和系统地贯彻此原则，将构成整个机制设计安全保护的最关键基础。 该原则要求访问的完全授权，从而能够增强系统的安全性；但是其并不能确保授权完毕后与进行实际操作之间存在的时间间隔内，授权的状态不会发生变化。因此，需要在具体的实现过程中，保证授权状态检查与实际操作的一致性。,.,54,系统安全设计原则,4. 开放设计原则：开放设计的原则要求保护机制的设计不应该建立在攻击者对机制原理一无所知的假设基础之上。 实施开发设计原则的一个原因就是保护机制的支持者都需要检查

29、保护机制的设计。 保护机制必须能够接受其他人的全面测试，也包括攻击者的攻击测试，来检验安全设计的质量等级。 一般来说，需要依赖于安全证书的形式来激活整个保护机制。,.,55,系统安全设计原则,5. 特权分割原则：该原则的基本要点在于不能够在满足一种条件的情况下，允许对对象的访问操作。一般来说，至少要满足两个特定条件后，才能够做出允许访问的决定。,.,56,系统安全设计原则,6. 最小权限原则：该原则系统中每个实体（包括用户和进程），都应该在其能够满足要求的最小权限下进行操作。在入侵检测系统设计时，实施最小权限原则将能够限制实施攻击的机会，特别是考虑到攻击者有可能利用入侵检测系统作为后继攻击中介

30、体的潜在威胁。,.,57,系统安全设计原则,7. 最小通用原则：该原则要求系统设计时尽可能减少出现所有用户都依赖的通用机制，例如共享的通信信道和资源等。同时，该原则可以降低机制设计的复杂性，因为要为所有用户提供服务的通用机制通常要求复杂的数据处理技术，一旦出现故障，则会影响所有的相关用户。,.,58,系统安全设计原则,8. 心理可接受原则：该原则的要点是保护机制的人机交互界面必须要直观明显，便于用户操作。一个系统设计得再好，如果用户不去使用，也无法生效。所以，实际的系统设计中必须要切实根据操作环境和用户的特点，进行良好的界面设计工作。,返回,.,59,系统设计的生命周期,系统设计的生命周期,.

31、,60,系统设计的生命周期,首先，设计者需要定义入侵检测的各个目标并且建立目标之间的优先级需求定义。在该阶段，设计者需要回答以下问题： 系统设计开发的目的是什么？ 谁将使用和操作这个系统？具备什么样的需求？ 系统的典型部署环境包括哪些网络资源和拓扑结构？ 可用的资源类型和限制因素是什么？ 系统所要面临的威胁类型包括哪些？ 需要具备哪些制定的特殊性能要求？,.,61,系统设计的生命周期,在完成了需求定义阶段后，设计者需要进一步将这些需求定义细化为系统中明确的功能定义。在功能定义阶段，可以采用各种模型描述语言来定义系统所要完成的各个具体功能及其之间的接口规范等。 接下来就是具体的系统原型实现。该阶

32、段涉及具体的开发过程来验证系统设计的正确性和可行性。 如图所示，整个周期过程是螺旋式上升过程。前一个周期的原型实现阶段完成后，在经过一个用户反馈的环节后，再次进入下一个周期过程中的需求定义环节。如此循环反复，直至满足设定的要求。,返回,.,62,第7章入侵检测系统的标准与评估,7.3 入侵检测系统的性能指标 评价入侵检测系统性能的标准 根据Porras等研究,给出评价入侵检测系统性能的3个因素. 准确性(Accuracy) 处理性能(Performance) 完备性(Completeness) 在此基础上,Debar等又增加了如下两个性能评价测度: 容错性(Fault Tolerance) 及

33、时性(Timeliness),.,63,第7章入侵检测系统的标准与评估,7.3 入侵检测系统的性能指标 影响入侵检测系统性能的参数 有效性: 研究检测机制的检测精度和系统报警的可信度 效率: 从检测机制的处理数据的速度以及经济性的角度来考虑 本节从有效性的角度对检测系统的检测性能及影响性能的参数进行分析讨论. 下面利用贝叶斯理论来分析基于异常检测的入侵检测系统的检测率、虚警率与报警可信度之间的关系。,.,64,第7章入侵检测系统的标准与评估,7.3 入侵检测系统的性能指标 影响入侵检测系统性能的参数 在异常检测和误用检测中都会产生误报。误报包括虚警(False Positive)和漏警(Fal

34、se Negative)。 在异常检测中，由于不能保证入侵活动与异常活动完全相符，因此会出现是异常却非入侵的情况或者出现入侵却非异常的情况，前者会产生虚警，后者会产生漏警。 在误用检测中，由于可能出现入侵特征定义的不准确和不全面，因此会出现将正常模式当成入侵模式的情况或者出现不能识别入侵模式的情况，前者会产生虚警，后者会产生漏警。,.,65,第7章入侵检测系统的标准与评估,7.3 入侵检测系统的性能指标 影响入侵检测系统性能的参数 入侵检测可以看作一个简单的二值假设检验问题。为便于分析,给出相关定义和符号。 假设I和I分别表示入侵行为和目标系统的正常行为，A表示检测系统发出警报，A表示检测系统

35、没有警报。 检测率：指目标系统受到入侵攻击时，检测系统能够正确报警的概率，可表示为P（A|I）。 虚警率：检测系统在检测时出现虚警的概率，用P(A|I)表示。 漏检率：检测系统在检测时出现漏警的概率，用P(A|I)表示。,.,66,第7章入侵检测系统的标准与评估,7.3 入侵检测系统的性能指标 影响入侵检测系统性能的参数 P(A|I)则指目标系统正常的情况下，检测系统不报警的概率。 显然有： P(A|I)=1- P(A|I) ， P(A|I)=1- P(A|I) 在实际应用中，主要关注一个入侵检测系统的报警结果能否正确地反映目标系统的安全状态。 P( I |A)给出了检测系统报警信息的可信度，

36、即检测系统报警时，目标系统正受到入侵攻击的概率。 P( I |A)则给出了检测系统没有报警时，目标系处于安全状态的可信度。 我们期望系统的这两个参数的值越大越好。,.,67,第7章入侵检测系统的标准与评估,7.3 入侵检测系统的性能指标 影响入侵检测系统性能的参数 根据贝叶斯定理给出这二个参数的计算公式：,.,68,第7章入侵检测系统的标准与评估,7.3 入侵检测系统的性能指标 影响入侵检测系统性能的参数 先验概率P(I)可利用实验环境和实际环境得到。因为入侵行为出现的概率一般很小，即 所以P(I |A) 的值主要取决于虚警率的影响。假定某一时间段内受到入侵攻击的概率P(I)=0.00001，

37、图中给出了检测系统的报警信息可信度与系统检测虚警率、检测率之间的关系。 给定检测率，可信度随虚警率的增加而减小。 给定虚警率的条件下，可信度将随着检测率的增大而增大。 P(A|I)=1且 P(A|I)=0时，检测结果最可信，但这仅是理想情况。,.,69,第7章入侵检测系统的标准与评估,可信度、虚警率、检测率之间的关系图,.,70,第7章入侵检测系统的标准与评估,7.3 入侵检测系统的性能指标 评价检测算法性能的测度 通常可以用检测率随虚警率的变化曲线来评价检测系统的性能 ，这个曲线称为接收器特性(ROC-Receiver Operation Characteristic)曲线。 下图对应着采用

38、不同检测算法的入侵检测系统A、B、C，所做的ROC曲线簇。 A代表最坏情况，相当于对入侵行为没有识别能力 系统C始终优于系统B 检测系统的性能图中y=x可以作为系统的性能基准，所有的入侵检测系统性能都应好于它所代表的系统。,.,71,第7章入侵检测系统的标准与评估,7.3 入侵检测系统的性能指标 评价检测算法性能的测度 图中有三个坐标点需要关注： （0，0）点表示一个检测系统的报警门限过高，检测不出入侵情况 （1，1）点则表示检测系统的报警门限为0时，检测系统把被监控系统的所有行为都视为入侵活动的情况。 （0，1）点则代表了一个完美的检测系统，能在没有虚警的情况下，检测出所有的入侵活动，这是理

39、想的情况。,.,72,第7章入侵检测系统的标准与评估,表示不同检测性能的ROC曲线簇,0,.,73,第7章入侵检测系统的标准与评估,7.4 网络入侵检测系统测试评估 测试评估入侵检测系统很困难 涉及操作系统、网络环境、工具、软件、硬件和数据库等技术方面问题 IDS目前没有工业标准可参考来评测 IDS厂商不会公布检测算法 只能依靠黑箱测试 IDS的评估者主要来自开发者、第三方、入侵者和最终用户 入侵和最终用户的测试是在实际应用环境下进行的 ，评估效果更关键。,.,74,第7章入侵检测系统的标准与评估,7.4 网络入侵检测系统测试评估 一般情况下，IDS测试环境的组成有测试平台控制器、正常合法使用

40、用户、攻击者、服务器和IDS系统。如图所示。,IDS测试环境组成示意图,.,75,第7章入侵检测系统的标准与评估,7.5 测试评估内容 误用检测失效的原因有以下3个方面： 系统活动记录未能为IDS提供足够的信息用来检测入侵 入侵签名数据库中没有某种入侵攻击签名 模式匹配算法不能从系统活动记录中识别出入侵签名 异常检测模块失效的原因如下： 异常阈值定义不合适 用户轮廓模板不足以描述用户的行为 异常检测算法设计错误。,.,76,第7章入侵检测系统的标准与评估,7.5 测试评估内容 IDS的评估涉及入侵识别能力、资源使用状况、强力测试反应等几个主要问题。下面就IDS的功能、性能及产品可用性3个方面做进一步讨论： 功能性测试：能反映出IDS的攻击检测、报告、审记、报警等能力 攻击识别 抗攻击性 过滤 报警 日志 报告,.,77,第7章入侵检测系统的标准与评估,7.5 测试评估内容 性能测试：在各种不同环境下，检验IDS的承受强度，主要指标如下： IDS引擎的吞吐量 包的重装 过滤的效率 产品可用性测试 评估系统用户界面的可用性、完整性和扩充性 跨平台能力 易用性 稳定性,.,78,第7章入侵检测系统的标准与评估,7.6 测试环境和测试软件 Lincoln实验室设计了一个离线的网络IDS测试环境，如图所示。,Lincoln实验室的IDS测试环境,.,79,第7章入侵检测系统