第十章 入侵檢測(cè)系統(tǒng)的評(píng)估與標(biāo)準(zhǔn)化工作VIP

1、 第十章 入侵檢測(cè)系統(tǒng)的評(píng)估與標(biāo)準(zhǔn)化工作一、影響入侵檢測(cè)系統(tǒng)性能的參數(shù)有效性：指研究檢測(cè)機(jī)制的檢測(cè)精確度和系統(tǒng)報(bào)警的可信度。效率：從檢測(cè)機(jī)制處理數(shù)據(jù)的速度以及經(jīng)濟(jì)角度來(lái)考慮，側(cè)重檢測(cè)機(jī)制性能價(jià)格比的改進(jìn)。虛警（false positive）：把系統(tǒng)的“正常行為”作為“異常行為”進(jìn)行報(bào)警漏警(false negative)：如果檢測(cè)系統(tǒng)對(duì)部分針對(duì)系統(tǒng)的入侵活動(dòng)不能識(shí)別、報(bào)警，稱為系統(tǒng)的漏警現(xiàn)象。檢測(cè)率：指被監(jiān)控系統(tǒng)受到入侵攻擊時(shí)，檢測(cè)系統(tǒng)能夠正確報(bào)警的概率。虛警率：指檢測(cè)系統(tǒng)在檢測(cè)時(shí)出現(xiàn)虛警的概率。二、評(píng)價(jià)檢測(cè)算法性能的測(cè)度接收器特性（Reveiver Operating Characteris

2、tic, ROC）曲線：利用檢測(cè)率隨虛警率的變化曲線來(lái)評(píng)價(jià)檢測(cè)系統(tǒng)的性能，這條曲線稱接收器特性曲線。P57 圖（薛靜鋒）三、評(píng)價(jià)入侵檢測(cè)系統(tǒng)性能的標(biāo)準(zhǔn)根據(jù)Porras等的研究，給出3個(gè)評(píng)價(jià)因素：1準(zhǔn)確性(Accuracy)：指入侵檢測(cè)系統(tǒng)能正確地檢測(cè)出系統(tǒng)入侵活動(dòng)。否則會(huì)造成虛警現(xiàn)象。2處理性能（Performance）：指一個(gè)入侵檢測(cè)系統(tǒng)處理系統(tǒng)審計(jì)數(shù)據(jù)的速度。3完備性(Compliteness)：指入侵檢測(cè)系統(tǒng)能夠檢測(cè)出所有攻擊行為的能力。（相對(duì)困難）Debar等又增加兩個(gè)性能評(píng)價(jià)因素：1容錯(cuò)性（Fault Tolerance）：入侵檢測(cè)系統(tǒng)自身必須能夠抵御對(duì)它自身的攻擊，特別是拒絕服務(wù)攻

3、擊（Denial-Of-Service）。2及時(shí)性(Timeliness)：及時(shí)性要求入侵檢測(cè)系統(tǒng)必須盡快地分析數(shù)據(jù)并把分析結(jié)果傳播出去，以使系統(tǒng)安全管理者能夠在入侵攻擊尚未造成更大危害以前做出反應(yīng)，阻止攻擊者顛覆審計(jì)系統(tǒng)甚至入侵檢測(cè)系統(tǒng)的企圖。它不僅要求處理速度快，而且要求傳播、反應(yīng)檢測(cè)結(jié)果信息的時(shí)間盡可能少。四、測(cè)試評(píng)估一般采用黑箱測(cè)試（對(duì)競(jìng)爭(zhēng)對(duì)手、黑客保密等原因），另外，測(cè)試IDS需要構(gòu)建網(wǎng)絡(luò)和操作系統(tǒng)環(huán)境以及網(wǎng)絡(luò)通信流量樣本數(shù)據(jù)，系統(tǒng)、進(jìn)程、文件使用和用戶行為的輪廓也需要測(cè)試數(shù)據(jù)?？傊?，用戶和廠商需要維護(hù)多種不同類型的信息才能保證IDS能夠檢測(cè)到可疑事件，這些信息包括：1正常和異常情況

4、下用戶、系統(tǒng)和進(jìn)程行為的輪廓2可疑通信量模式字符串，包括已知的入侵攻擊簽名。3對(duì)各種異常和攻擊進(jìn)行響應(yīng)所需要的信息。IDS測(cè)試者主要來(lái)自開發(fā)者、第三方、入侵者和最終用戶。開發(fā)者和第三方的測(cè)試活動(dòng)在產(chǎn)品早期進(jìn)行，測(cè)試環(huán)境也有限制，而入侵和最終用戶的測(cè)試評(píng)估是在實(shí)際應(yīng)用環(huán)境下進(jìn)行。誤用檢測(cè)兩個(gè)關(guān)鍵部分：入侵簽名數(shù)據(jù)庫(kù)和模式匹配算法誤用檢測(cè)實(shí)效的原因有：1系統(tǒng)活動(dòng)記錄未能為IDS提供足夠的信息用來(lái)監(jiān)測(cè)入侵。2入侵簽名數(shù)據(jù)庫(kù)中沒有某種入侵攻擊簽名。3模式匹配算法不能從系統(tǒng)活動(dòng)記錄中識(shí)別出入侵簽名。異常檢測(cè)模塊失效的原因通常有：1異常閾值定義不合適。2用戶輪廓模板不足以描述用戶行為。3異常檢測(cè)算法設(shè)計(jì)錯(cuò)

5、誤IDS的評(píng)估涉及到入侵識(shí)別能力、資源使用狀況、強(qiáng)力測(cè)試反應(yīng)等問題。測(cè)試內(nèi)容：1功能性測(cè)試： 1）攻擊識(shí)別以TCP/IP協(xié)議攻擊識(shí)別為例，攻擊識(shí)別分以下幾種： （1）協(xié)議包頭攻擊分析的能力：（2）重裝攻擊分析的能力：IDS能夠重裝多個(gè)IP包的分段，并從中發(fā)現(xiàn)攻擊。常見的重裝攻擊是Teardrop和Ping of Death （3）數(shù)據(jù)驅(qū)動(dòng)攻擊分析能力：IDS能夠分析IP包數(shù)據(jù)的具體內(nèi)容。例如HTTP的phf攻擊。2）抗攻擊性可以抵御拒絕服務(wù)攻擊，對(duì)于某一時(shí)間內(nèi)的重復(fù)攻擊，IDS包能夠識(shí)別并能抑制不必要的報(bào)警。3）過濾IDS過濾器具有下面的能力： （1）可以修改或調(diào)整。（2）創(chuàng)建簡(jiǎn)單的字符規(guī)則。

6、（3）使用腳本工具創(chuàng)建復(fù)雜的規(guī)則。4）報(bào)警5）日志保存日志的數(shù)據(jù)能力。按特定的需求說(shuō)明，日志內(nèi)容可以選取。6）報(bào)告產(chǎn)生入侵行為報(bào)告。提供查詢報(bào)告創(chuàng)建和保存報(bào)告2性能測(cè)試 1）IDS引擎器的吞吐量：IDS在預(yù)先不加載攻擊標(biāo)簽情況下，IDS處理原始檢測(cè)數(shù)據(jù)的能力 2）包的重裝：測(cè)試的目的就是評(píng)估IDS包重裝能力。 3）過濾的效率：測(cè)試的目的就是評(píng)估IDS在攻擊的情況下過濾器的接收、處理和報(bào)警的效率。3產(chǎn)品可用性測(cè)試評(píng)估系統(tǒng)的用戶界面的可用性、完整性和擴(kuò)充性。支持多個(gè)平臺(tái)操作系統(tǒng)，容易使用且穩(wěn)定。4測(cè)試環(huán)境：離線測(cè)試、實(shí)時(shí)測(cè)試 5測(cè)試軟件： 仿真用戶操作：通用會(huì)話生產(chǎn)工具（Generic sessi

7、on generation tool）、測(cè)試軟件包（Using test suites）、錄制實(shí)際數(shù)據(jù)重放（mcording live data） 模擬入侵五、評(píng)估用戶評(píng)估標(biāo)準(zhǔn)1產(chǎn)品標(biāo)識(shí)2IDS文檔和技術(shù)支持3IDS的功能4IDS報(bào)告和審計(jì)5IDS檢測(cè)與響應(yīng)6安全管理7產(chǎn)品安裝和服務(wù)支持六、入侵檢測(cè)的標(biāo)準(zhǔn)化工作1國(guó)內(nèi)外入侵檢測(cè)系統(tǒng)： 1）RealSecure2)Cisco Secure IDS3)AAFID(Autonomous Agents for Intrusion Detection)4)“天眼”5）“天” 6）“冰之眼 ” 7）ERCIST-IDS 2入侵檢測(cè)標(biāo)準(zhǔn)化工作 1）美國(guó)國(guó)防高級(jí)研究計(jì)劃署（DARPA） 提出公共入侵檢測(cè)框架(CIDF):：體系結(jié)構(gòu)、