入侵检测系统评估
入侵检测系统的评估指标体系
Ab t a t T i at l n rd c sa 3 d me s n v l a in c i r rh t cu e frI . Us g ti r ei r ht cu e a s r c : h s ri e ito u e - i n i se au t r e i ac i t r DS c o o t a e o i h sc i ra a c i t r s a n t e
摘 要 :提 出一 个三 维度 IS 估指标 体 系。该指 标体 系能客观 全 面地 定量评 价 I S 个方 面 的特 点和表 现 , D 评 D 各
使用该指标体系得 出的评价结果具有较好的参考价值。该研 究成果对 IS的设计和评估研 究具有重要 的价值 D
和 帮助作 用。
关键 词 :入 侵检测 系统 ; 估 ;三 维度 ;指标体 系 评
tr r h tcu e i u eu T ev e rs ne n ti a e l d r a e lo o d f rte d sg fI . e i ac i tr s s f1 h iwsp e e td i h sp p rwi o a g e t a f o h e in o DS a e l d g o Ke r s n r so ee t n S se ;E a u t ;3 Di n in ;C t r c i cu e y wo d :I t in D tc i y tms v l ae - me so s r e a Ar ht t r u o i i e
的方式有关 。分析人员要在 IS误报时分析为何会 出现误报 , D
网络安全入侵检测系统测试报告
网络安全入侵检测系统测试报告1. 概述网络安全入侵检测系统(Intrusion Detection System, IDS)是一种用于检测网络中潜在入侵威胁的安全工具。
本测试报告对我们团队设计开发的网络安全入侵检测系统进行了详细测试和评估,并总结了测试结果。
2. 测试环境为了确保测试结果的准确性和可靠性,我们在以下环境中对系统进行了测试:- 操作系统:Windows Server 2016- 网络拓扑:模拟企业级网络拓扑- 网络设备:路由器、交换机、防火墙等- 测试工具:Kali Linux、Nmap、Metasploit等3. 测试目标我们的网络安全入侵检测系统旨在实时检测并报告潜在入侵威胁,同时提供警报和相应的应对措施。
在测试中,我们主要验证以下目标是否得到有效满足:- 实时监测网络流量和日志- 分析和检测潜在的入侵威胁- 发送警报并采取相应措施- 高效、可靠地工作并减少误报率4. 测试方法我们采用了以下方法对网络安全入侵检测系统进行全面测试:- 传统入侵检测规则测试:使用常见的入侵检测规则集,测试系统对已知恶意行为的检测能力。
- 高级入侵攻击测试:模拟各种高级入侵攻击,验证系统对未知或零日攻击的检测和响应能力。
- 网络流量分析测试:分析网络流量中的异常行为,测试系统是否能够准确识别并报告异常流量。
- 性能测试:通过生成大量流量并观察系统响应时间和资源利用情况,验证系统的性能和稳定性。
5. 测试结果经过全面的测试和评估,我们的网络安全入侵检测系统表现出了出色的性能和可靠性。
以下是测试结果的总结:- 成功率:系统成功检测到了98%以上的已知入侵行为,并准确识别并报告了70%以上的未知入侵攻击。
- 警报响应时间:系统在检测到入侵行为后,平均响应时间不超过30秒,并发送警报通知相关管理员。
- 误报率:系统在测试中仅出现了极少量的误报,误报率低于1%。
- 性能:系统在高负载情况下仍能保持稳定工作,且对网络性能影响较小。
入侵检测系统的测试评估及存在问题的探讨
二、 入侵检测系统的测试评估
在我们分析入侵检测系统的性能时, 主要考虑 检测系统的有效性、 效率和可用性。有效性研究检 测机制的检测精确度和系统检测结果的可信度, 它 是开测系统的主要指标。效率则从检测 机制的处理数据的速度以及经济性的角度来考虑, 也就是侧重检测机制性能价格比的改进。可用性主 要包括系统的可扩展性、 用户界面的可用性、 部署配 置方便程度等方面。有效性是开发设计和应用入侵 检测系统的前提与目的, 因此也是测试评估入侵检
作者简介: 柳强 , 工程师.
「
I) 表示检测系统的虚
� 警率, 概率 ( 「 A I ) 代表检测系统的漏警率, (「 A
「
I ) 则指目标系统正常情况下也就是没有入侵的
入侵检测系统检测结果的可信程度是我们首要 � � 情况下, 检测系统不报警的概率。而概率 ( I A ) 表 示检测系统报警时, 目标系统正受到入侵攻击的概 率; 概率 ( 「 I
「
A) 表示检测系统没有报警时, 目标
系统未受到入侵攻击的概率, 这两个概率正反映了 实际应用中我们关注的检测可信度, 也就是入侵检
第 2期
柳
强等: 入侵检测系统 � 的测试评估及存在问题的探讨 3
测系统的报警结果能够正确反映目标系统安全状态 的程度。在概率 ( 警现象; 概率 (
「 「
于衡量入侵检测系统对那些经过特别设计直接以入 侵检测系统为攻击目标的攻击的抵抗能力。它主要 体现在两个方面: 一是程序本身在各种网络环境下 能够正常工作; 二是程序各个模块之间的通信能够 不被破坏, 不可仿冒。此外要特别考虑抵御拒绝服 务攻击的能力。如果入侵检测系统本身不能正常运 行, 也就失去了它的保护意义。而如果系统各模块 间的通信遭到破坏, 那系统的报警之类的检测结果 也就值得怀疑, 应该有一个良好的通信机制保证模 块间通信的安全并能在出问题时能够迅速恢复。 3. 延迟时间 在攻击发生至入侵检测系统检测到入侵之间的 延迟时间的长短直接关系入侵攻击破坏的程度。我 们总希望检测延迟越短越好。 4. 资源的占用情况 入侵检测系统在达到某种检测有效性时对资源 的需求情况也是我们要考虑的方面。通常, 在同等 检测有效性前提下, 对资源的要求越低, 检测系统的 性能越好, 检测入侵的能力也就越强。 5. 负荷能力 入侵检测系统有其设计的负荷能力, 在超出负 荷能力的情况下, 性能会出现不同程度的下降。比 如, 在正常情况下入侵检测系统可检测到某攻击但 在负荷大的情况下可能就检测不出该攻击。考察检 测系统的负荷能力就是观察不同大小的网络流量、 不同强度的 内存等系统资源的使用对检测系 统的关键指标 (比如检测率、 虚警率) 的影响。 . 日志、 报警、 报告以及响应能力 在检测到入侵以后, 我们还要考察检测系统的 日志、 报警、 报告以及响应能力。日志能力是指检测 系统保存日志的能力、 按照特定要求选取日志内容 的能力。报警能力是指在检测到入侵后, 向特定部 件、 人员发送报警信号的能力以及在报警中附加信 息的能力。报告能力是指产生入侵行为报告、 提供 查询报告、 创建和保存报告的能力。响应能力是指 在检测到入侵后进一步处理的能力, 这包括阻断入 侵、 跟踪入侵者、 记录入侵证据等。 . 系统的可用性 入侵检测系统的安装、 配置、 管理、 使用的 程度等 便 程度, 系统界面的友好程度, 攻击规则库维护的简易 面体现了检测系统的可用性, 它决定着使 用者的操作和维护的难易程度。
信息安全技术入侵检测系统技术要求和测试评价方法
ICS35.040L 80信息安全技术入侵检测系统技术要求和测试评价方法Information security technology-Techniques requirements and testing and evaluation approaches forintrusion detection system中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布GB/T 20275—2006目次前言 (III)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 缩略语 (2)5 入侵检测系统等级划分 (3)5.1 等级划分说明 (3)5.1.1 第一级 (3)5.1.2 第二级 (3)5.1.3 第三级 (3)5.2 安全等级划分 (3)5.2.1网络型入侵检测系统安全等级划分 (3)5.2.2主机型入侵检测系统安全等级划分 (6)6 入侵检测系统技术要求 (7)6.1 第一级 (7)6.1.1 产品功能要求 (7)6.1.2 产品安全要求 (9)6.1.3 产品保证要求 (10)6.2 第二级 (11)6.2.1 产品功能要求 (11)6.2.2 产品安全要求 (12)6.2.3 产品保证要求 (13)6.3 第三级 (15)6.3.1 产品功能要求 (15)6.3.2 产品安全要求 (15)6.3.3 产品保证要求 (16)7 入侵检测系统测评方法 (18)7.1 测试环境 (18)7.2 测试工具 (19)7.3 第一级 (19)7.3.1 产品功能测试 (19)7.3.2 产品安全测试 (25)7.3.3 产品保证测试 (27)7.4 第二级 (29)7.4.1 产品功能测试 (29)7.4.2 产品安全测试 (31)IGB/T ××××—200×7.4.3 产品保证测试 (33)7.5 第三级 (37)7.5.1 产品功能测试 (37)7.5.2 产品安全测试 (38)7.5.3 产品保证测试 (39)参考文献 (44)IIGB/T 20275—2006前言(略)IIIGB/T 20275—2006信息安全技术入侵检测系统技术要求和测试评价方法1 范围本标准规定了入侵检测系统的技术要求和测试评价方法,技术要求包括产品功能要求、产品安全要求、产品保证要求,并提出了入侵检测系统的分级要求。
入侵检测系统的测试和评估研究
() 2 误报率( as lr R t ) F l Aam ae e
误 报 率 是 指 入 侵 检 测 系 统 在 一 段 时 间 内
入 侵 检 测 系 统 的 测 试 和 评 估 一 直 是 业 界 可 以用于训练入侵检测系统 , 入侵 检测系统 使
普 遍 关 注 的 内容 。 目前 , 侵 检 测 系 统 的 误 报 完成对 网络情况 的学 习。在线数据 时长 2星 发生错误报 警的次数 , 入 误报也称 为“ 虚警” 。误 率 仍 然 较 高 . 常 常 出 现 漏 报 的情 况 , 吐 量 期 , 还 吞 用于模拟真实网络。 在使用这些数据时 。 使 报 常常是 由不完善 的规则所 引起 的。一些网络
19 1年 出 现 分布 式 入 侵 检 测 体 系 。 0世 纪 9 估 。 它包 含 两种 测 试 数据 :离 线训 练 数 据 段的 变化很快 。 9 2 0 很难 得到关于攻击行 为的所 有
年代中后期入 侵检测 的体 系结构 的研究又 有 ( riig D t Tann aa)和 在 线 测 试 数 据 ( e t g 知识 , 以关于 I T si n 所 DS的检测完备性 的评估相对 了许 多发展 , 因此 。 生了对各种 入侵检测 系 产 统的功 能和性能评估的需求。 Daa o t 离线数据时长 7星期 , 其中标 明了哪些 数据包 是正常 的 , 哪些数据 包是恶 意的 , 它们
关键词 : 入侵检测 ; N R ; ; S O T 测试 评估
1弓I 言
18 9 0年 。a sPA d ro J me .n es n第 一 次 系统
2舅 试 I SI 蔓 圈 决 帕 问 瞳 D I I
D P AR A于 1 9 9 8年 启 动 了 一 项 入 侵是指 IS在 D
安全防护中的网络入侵检测系统设计与效果评估
安全防护中的网络入侵检测系统设计与效果评估网络入侵检测系统是一种有助于保护计算机网络免受网络攻击和恶意活动的一种安全防护工具。
设计和评估一套高效可靠的网络入侵检测系统是网络安全领域的重要研究内容。
本文将探讨网络入侵检测系统的设计原则和方法,并对其效果评估进行讨论。
一、网络入侵检测系统的设计原则网络入侵检测系统的设计应遵循以下原则:1. 实时监测:网络入侵检测系统应能够实时监测网络中的各种传输数据和通信行为,以及对异常行为及时作出反应。
2. 多层次防护:网络入侵检测系统应该采用多层次、多种方式的防护机制,包括网络层、主机层和应用层等多个层次。
3. 自适应学习:网络入侵检测系统应能够根据网络环境和威胁行为的变化调整检测策略和算法,并且具备学习和自适应能力。
4. 高性能和低误报率:网络入侵检测系统应具备高性能的检测能力,同时尽量降低误报率,减少误报给管理员带来的困扰。
二、网络入侵检测系统的设计方法1. 基于签名的检测方法:签名是一种用于表示特定入侵行为的模式或规则,基于签名的检测方法通过与已知的入侵行为进行对比,检测到相应的恶意活动。
2. 基于异常行为的检测方法:异常行为检测是通过分析网络中的行为模式,识别出异常行为来判断是否存在入侵。
3. 基于机器学习的检测方法:机器学习技术可以通过对网络流量数据进行训练和学习,从而识别出恶意行为和入侵行为。
4. 分布式检测方法:分布式检测方法可以部署多个检测节点,在不同的网络位置进行检测,提高检测的准确性和效率。
三、网络入侵检测系统效果评估的指标1. 检测率:检测率是指网络入侵检测系统检测出的真实入侵行为的比例,评估检测系统的敏感性和准确性。
2. 误报率:误报率是指网络入侵检测系统错误地将正常行为误判为入侵行为的比例,评估检测系统的准确性和可用性。
3. 响应时间:响应时间是指网络入侵检测系统从检测到入侵行为到采取相应措施的时间,评估系统的实时性和敏捷性。
4. 可扩展性:可扩展性是指网络入侵检测系统能否适应网络规模不断增大和新的威胁形式的变化,评估系统的适应能力和扩展性。
简析入侵检测系统性能测试与评估
简析八 侵楦测系统性 雒i i i J T .  ̄ 与 评估
宝鸡文理学院计算机科学系 贾建军 谢俊屏
[ 摘 要】 计 算机 系统的入侵 直接 威胁到各行 各业的发展 、 国家的机 密和财 产的安全。入侵检 测 系统可 以有效提 高计算机 系统的安 全性 , 是信 息安 全保 障的关键技 术之 一。对入侵检 测 系统性能 的测试 与评 估可 以加 强其 有效性和可 用性 。本 文简要 分析 了入侵检 测 系统的性能测试与评估 , 对测试评估 中存在 的问题做 了一些探 讨。 [ 关键词 ] 入侵检 测 系统性 能 测试评估
1 、 引 言
ห้องสมุดไป่ตู้
自1 9 8 5 年首 次提 出入侵检测 系统 至今 已有 近三十 年的演变 和发 展, 很多实验 室和公 司都 已经形成 了 自己的入侵 检测 系统和产 品。多 年来 由于入侵 检测 系统 缺乏相应 的标 准 , 形成 的诸 多系统 和产品的性 能干差万别 。伴随着入 侵检测系统 的发展 和应用 、 面对功能越来 越复 杂 的系统和产 品 , 实现 对多种入侵检测 系统进行 测试和评估 的要求也 越来 越迫切 。当前对于入侵检测 系统进行测试 和评 估 已经成为该领域 个非 常重要的研究 内容 。开发者希望通过测试 和评 估发 现产品 中的 不足 , 而用户 也希望通 过测试和评估来 帮助选择 适合 自己的人侵检测 产 品。本文重 点讨 论入侵检测系统性能指标的测试与评估。 2 、 测试评估入侵检测 系统性能的指标 就 目前 的入 侵检测 系统和产品来看 , 其主要性 能指标可 以归纳为 准确性 、 完 备性 、 实时处理 能力和可靠性 。 准确性 : 指系统从各种行为 中正确地识别 入侵 的能力 , 当系统检测 不准确时 , 就有可能把系统 中的合法 活动 当作入 侵行为并标识为异常 , 通常也称 为虚警现象。 完备性 : 指 系统能够检 测出所有攻 击行为 的能力 。如果存 在一个 攻击行 为 , 无法被系统检测 出来 , 那么该 系统就 不具 有检测完备性 。也 就是说 , 它把 对系统 的入侵 活动 当作 正常行为 ( 漏 报现象 ) 。由于在一 般 情况下 , 攻 击类型 、 攻 击手段 的变 化很快 , 我们 很难 得到关 于攻击行 为的所 有知识 , 所以对 于系统检测完备性的评 估相 对比较 困难。 实时处理能 力 : 指 系统 分析和处理 数据的速 度。有效 的实时处理 可以使 系统安全管理者能够在入侵攻击 尚未造 成更 大危害以前做 出反 应, 阻止入侵者进一步 的破坏活动 。显然 , 当入侵检测系统的处理性能 较差 时, 它就不可能实现实时 的入侵 检测 , 并 有可能成为整个系统的瓶 颈, 进 而 严 重影 响 整个 系 统 的 性 能 。 可靠性 : 由于大多数 的系统产 品是 运行在极 易遭受攻击 的操作 系 统 和硬件平 台上 、 所 以入侵检测系统 本身也就成 为很多入侵 者攻 击 的 首选 目标 , 因此系统必 须能够抵御 对它 自身 的攻 击。特别是 拒绝服务 ( D e n i a l o f  ̄r v i c e ) 攻击 。这就使得系统的可靠性变得特别重要 , 在测试 评估 系统时必须考虑这一点。 3 、 入侵检测 系统的测试评估及分析 美 国加州大学 的有关专家把对入侵检测 系统和产品的测试分为 三 类, 即有 效性测试( 入侵识别测试 ) 、 资源消耗测试 、 强度测试。 有效性测试 主要测量 入侵检测系统 区分正 常行为和入侵 的能力 , 衡量 的指标 是检测率和虚警率。 资源消耗 测试 ( R e s o u r c e U s a g e T e s t s ) 是测量入侵 检测 系统 占用 系 统资源的状况 , 主要考虑的 因素是 占用硬盘空 间、 内存 以及 C P U 等资源 的消耗情况。 强度测试是测量入侵检测系统在 强负荷运行状 况下检测效果是 否 受影 响 , 主要包括大负载 、 高密度数据流量情况下的检测效果。 在我们分析入侵检测 系统 的性能 时 , 主要考虑检测系统 的有效性 、 效率和可用性 。有效性是研究检测机 制的检测精确度和系统检测结果 的可信度 , 它是开发设计 和应 用入侵检测系统的前提和 目的, 是测试评 估入侵检测系统 的主要指标 。效率则 主要是考虑检测机制处理数据 的 速度 以及经 济性 , 也 就是侧重检测 机制性能价 格 比的改进 。可用性 主 要包括 系统 的可扩展 性 、 用户界 面的可 用性 , 部 署配 置方便程 度等 内 容。有效性 是开发设计 和应用人侵 检测系统 的前 提和 目的 , 因此也是 测试评估 入侵检测 系统 的主要指标 , 但效率 和可用性对入 侵检测系统 的性能也起 很重要 的作用 , 效率 和可用性渗透 于系统设计 的各个方 面 之中。 3 . 1 有效性测试 有效性测试 包括 的内容主要有检 测率 、 虚警 率及可信度 。检测率 是指被 监控 系统在受 到入侵 攻击 时 , 检测 系统能 够正确 报警 的概率 。 虚警率是指检测系统在检测 时出现错误的概率 。检测可信度也就是检 测 系统检 测结 果 的可信 度 , 这是测 试 评估 入侵 检测 系统最 重要 的 指 标 。实 际中入侵检 测系统 的实 现总是在检测 率和虚警率 之间徘徊 , 检
入侵检测系统的测试与评估
随着入侵检测系统的广泛应用,对入侵检测系统进行测试和评估的要求也越来越迫切。
开发者希望通过测试和评估发现产品中的不足,用户希望测试和评估来帮助自己选择合适的入侵检测产品。
本文根据目前的相关研究,介绍了入侵检测系统测试评估的标准、指标,方法步骤、数据来源、环境配置、测试评估的现状以及其中存在的一些问题。
1 引言随着人们安全意识的逐步提高,入侵检测系统(IDS)的应用范围也越来越广,各种各样的IDS也越来越多。
那么IDS能发现入侵行为吗?IDS是否达到了开发者的设计目标?什么样的IDS才是用户需要的性能优良的IDS呢?要回答这些问题,都要对IDS进行测试和评估。
和其他产品一样,当IDS发展和应用到一定程度以后,对IDS进行测试和评估的要求也就提上日程表。
各方都希望有方便的工具,合理的方法对IDS进行科学。
公正并且可信地测试和评估。
对于IDS的研制和开发者来说,对各种IDS进行经常性的评估,可以及时了解技术发展的现状和系统存在的不足,从而将讲究重点放在那些关键的技术问题上,减少系统的不足,提高系统的性能;而对于IDS的使用者来说,由于他们对IDS依赖程度越来越大,所以也希望通过评估来选择适合自己需要的产品,避免各IDS产品宣传的误导。
IDS的用户对测试评估的要求尤为迫切,因为大多数用户对IDS本身了解得可能并不是很深入,他们希望有专家的评测结果作为自己选择IDS的依据。
总地来说,对IDS进行测试和评估,具有以下作用:·有助于更好地刻划IDS的特征。
通过测试评估,可更好地认识理解IDS的处理方法、所需资源及环境;建立比较IDS的基准;领会各检测方法之间的关系。
·对IDS的各项性能进行评估,确定IDS的性能级别及其对运行环境的影响。
·利用测试和评估结果,可做出一些预测,推断IDS发展的趋势,估计风险,制定可实现的IDS质量目标(比如,可靠性、可用性、速度、精确度)、花费以及开发进度。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第6章 入侵检测系统评估
实际上IDS的实现总是在检测率和虚报率之间徘徊,检测 率高了,虚报率就会提高;同样,虚报率降低了,检测率也就 会降低。一般地,IDS产品会在两者中取一个折中,并且能够 进行调整,以适应不同的网络环境。美国的林肯实验室用接收 器特性(Receiver Operating Characteristic,ROC)曲线来描述 IDS的性能。该曲线准确刻画了IDS的检测率与虚报率之间的 变化关系。ROC广泛用于输入不确定的系统的评估。根据一个 IDS在不同的条件(在允许范围内变化的阈值,例如异常检测系 统的报警门限等参数)下的虚报率和检测率,分别把虚报率和 检测率作为横坐标和纵坐标,就可做出对应于该IDS的ROC曲 线。ROC曲线与IDS的检测门限具有对应的关系。
第6章 入侵检测系统ቤተ መጻሕፍቲ ባይዱ估
在现实中,虚报不会引起什么危害,因为事件本身是一个正常 的事件。虚报的坏处可能就是浪费了安全管理员的一些阅读和检查 的时间;而漏报则是一个很严重的错误。实际上,漏报就等于入侵
通常来讲,如果一个系统的虚报越多,它的漏报就越少。反过 来,如果虚报越少,漏报则可能会越多。这是因为,虚报越多表示 入侵检测系统对事件的警觉程度越高,这样,它忽略入侵的事件造 成漏报的可能性就越小。从检测技术的角度来看,入侵检测系统对 事件的警觉程度越高意味着检测算法对入侵事件的约束条件越紧; 如果虚报越少,表示入侵检测系统对事件的警觉程度越低,这样, 它忽略入侵事件的可能性就越大,也就是说,入侵检测系统对事件 的警觉程度越低,意味着检测算法对入侵事件的约束条件越宽松。 所以,误用检测技术所造成的虚报并不高,但很可能会漏掉一些入 侵事件,特别是新的入侵类型。
P(A/I)
P(I)P(A/I)
P(I)P(A/I)P(I)P(A/I)
P(I)(1P(A/I))
P(I)(1P(A/I)P(I)(1P(A/I)
(6.2)
第6章 入侵检测系统评估
在实际应用过程中,检测率的好坏是由IDS的两个部分 决定的。一是IDS的抓包能力,二是IDS的检测引擎。为了 达到100%的检测率,IDS首先要把需要的数据包全部抓上 来,送给检测引擎。在网络流量相同的情况下,数据包越小, 数据包的个数就越多,IDS的抓包引擎是对数据包一个一个 进行处理的,因此数据包越小,抓包引擎能处理的网络流量 就越小。相比之下,数据包的大小对IDS检测引擎的影响程 度较小,因为虽然检测引擎对每个数据包都要解析数据包头, 但它同样要检测每个数据包的内容,总量是一样的,因此数 据包的大小对检测引擎基本没有影响。
第6章 入侵检测系统评估 图6.1 ROC曲线
第6章 入侵检测系统评估
在测试评估IDS的具体实施过程中,除了要IDS的检测率和虚报率之 外,往往还会单独考虑与这两个指标密切相关的一些因素,比如能检测 的入侵特征数量、IP碎片重组能力、TCP流重组能力。显然,能检测的 入侵特征数量越多,检测率也就越高。此外,由于攻击者为了加大检测 的难度甚至绕过IDS的检测,常常会发送一些特别设计的分组。为了提 高IDS的检测率,降低IDS的虚报率,IDS常常需要采取一些相应的措施, 比如IP碎片能力、TCP流重组。由于分析单个的数据分组会导致许多误 报和漏报,所以IP碎片的重组可以提高检测的精确度。IP碎片重组的评 测标准有三个性能参数:能重组的最大IP分片数、能同时重组的IP分组数、 能进行重组的最大IP数据分组的长度。TCP流重组是为了对完整的网络 对话进行分析,它是网络IDS对应用层进行分析的基础,如检查邮件内 容和附件、检查FTP传输的数据、禁止访问有害网站、判断非法HTTP 请求等。这些因素都会直接影响IDS的检测可信度。
第6章 入侵检测系统评估
6.1.2 抗攻击能力 和其它系统一样,IDS本身也往往存在安全漏洞。若对IDS攻
击成功,则直接导致其报警失灵,入侵者在其后所作的行为将无 法被记录,因此IDS首先必须保证自己的安全性。IDS本身的抗攻 击能力也就是IDS的可靠性,用于衡量IDS对那些经过特别设计直 接以IDS为攻击目标的攻击的抵抗能力。它主要体现在两个方面: 一是程序本身在各种网络环境下能够正常工作;二是程序各个模 块之间的通信能够不被破坏,不可仿冒,此外要特别考虑抵御拒 绝服务攻击的能力。如果IDS本身不能正常运行,也就失去了它 的保护意义。而如果系统各模块间的通信遭到破坏,那系统的报 警之类的检测结果也就值得怀疑,应该有一个良好的通信机制保 证模块间通信的安全并能在出问题时能够迅速恢复。
第6章 入侵检测系统评估
2.ROC曲线 ROC曲线以图形方式来表示正确报告率和误报率的关 系。ROC曲线是基于正确报告率和误报率的关系来描述的。 这样的图称为诺模图(Nomo-gram),它在数学领域用于 表示数字化的关系。选好一个临界点(CutoffPoint)之后, 就可以从图中确定IDS的正确报告率和误报率。曲线的形状 直接反映了IDS产品的准确性和总体品质。如果一条直线向 上,然后向右方以45°角延伸,就是一个非常失败的IDS, 它毫无用处;相反,ROC曲线下方的区域越大,IDS的准确 率越高。如图6.1所示,IDSB的准确性高于IDSC,类似地, IDSA在所有的IDS中具有最高的准确性。
入侵检测系统评估
第6章 入侵检测系统评估
第6章 入侵检测系统评估
第6章 入侵检测系统评估
第6章 入侵检测系统评估
第6章 入侵检测系统评估 在实际应用中,主要关注的是一个入侵检测系统的报警
结果能否正确地反映目标系统的安全状态。下面的两个参数
P(A/I)给出了检测系统报警信息的可信度,即检测系统
P( A/ I)给出了检测系统未发出报警信息的可信度,
为使入侵检测系统更有效,系统的这两个参数的值越大 越好。根据贝叶斯定理可以得出这两个参数的计算公式:
P (A /I)
P (I)P (A /I)
P (1 )P (A /I)P ( I)P (A / I)
(6.1)
第6章 入侵检测系统评估 同理:
第6章 入侵检测系统评估
数据包抓上来之后,需要经过检测引擎的检测才能引发 告警。在检测引擎的处理过程中,数据包的各种因素都会影 响检测引擎的效率。不同的IDS产品因为其检测引擎中对数 据包的处理有侧重点,因此不同内容的背景数据流会严重影 响产品的检测率。当通过不同内容的背景数据流,可以判断 出IDS检测引擎在某些方面的优劣。数据包中的数据内容也 很关键,如果背景数据流中包含大量敏感的关键字,能引发 一种IDS产品告警,而对另一种IDS产品可能并不引发告警, 这样的数据包内容就影响了引擎的效率。即使在不引发告警 的条件下,背景数据流的数据内容也对检测引擎影响很大。