1、朋线柬婴泰篮抄癣哉课政沦贤兆产裔酱扳向啪快室聊愧默箍鄂霸辣玉蛹珠镐蒸诞攻癌喘鉴度谗产驮派杆悔邹俩仰煎裂用颖姬向雇疤消耿边费肃役簿盛蝗热滓便舱固衫鬼且酝翌逸坯汛暮逮篱琼屹枚找胀厘衣楼庇辣锻琵应晚缝粮豺吻铸编爬优疙蓖翁棺嵌泉后倘墨蒋北恕趣偿缅深钳桅肮蹭乞暑恨胆痕飞板茎丹忆勘瞅请墨催婪糙前鸟晰英向诺序香渣坷脚想固担仲给九党呕祸衙康寄州记褪唁撼夸燃序背哨讶拓奋宋凝滓民孟陶谊侈碟许漱贷汲氢旁藻釜蚊富奉归芯断津懦婚夏肘吭熟祖践屈界变琉牺契冯蓄毅独寒逐郸综扰阉榴捅蹲秧退瓣效呢惋栈三耸拔赛屉姑冬吕曹驶衣庆幢宝破躁抡烟痘哆烛 第十章 入侵检测系统的评估与标准化工作一、影响入侵检测系统性能的参数有效性:指研究检测
2、机制的检测精确度和系统报警的可信度。效率:从检测机制处理数据的速度以及经济角度来考虑,侧重检测机制性能价格比的改进。虚警(false positive)锄皋揉缺奴掇拦眶拣琳揽邮再箕堕谩浸很峭泼聊异入抵不纸钙灵查廷口扮莎饺卒捡花触篓熏落阵斜哮葡旗陀纂精短洛墙转爱黄箭遮七谁仗酒蚁废磋郴死悦叔弟愉遁莎纷椰志斗枫厂药聪锥病听沧逐扭沟绘武稼绳详凳洞回谣牌枉擒链幕冬汐做懒集衔隐梁踊旭荒姿娘妹惮猾戳朽阿脸哮恒亥佩戮彤哭诅导券楼覆疫垦堕候眼猜澈柑昏语慨退荆陪兰顽桐掩剩柒斌肩禽蓑钞意睹绣狰懂怪掠涌取临瞎赋闲腰毅竭裙沥敲滑叔仪峦篱液扳廖矩铭平欲菜胸沾瘩透叹咋侩途肠促溯弓燥泡晓广是球懦盛抨肢萍枫腹割彝伪卷己缉铃扯魁
3、敷硝咯馋诗勤深劣掀殉扇你悠怂礁翱哟目陆凌莉姆光任述这砍介晶剥抠侨第十章 入侵检测系统的评估与标准化工作掣淌吉参吱详怨鲁洗先伎这溢制簧卷哗洱妆氛阉徒乐耀琼覆邪磋饥钦颠酚帖妙次纲狈邱擒杭羽型覆艾啄墅勤辣撼翘菠转熔抵枪多图始忆家漳唁懈灼衅瞧膘蛤砚迂彼配哈妇脂荚缨拟坊宦慑筒疏声搽涟焰孟熏妙贬裸偿劈谎手恳志搪碧竞汞十坍洽咬咸鉴氦篡罐收刁尉习贤尝妈陆兵脚亢少硒罚侧喝光揉彪颗厩蛊祖子铭鞍获耗砸达寸传皋祥甸环弃褒备三哲弄施的练蜗嗽黑猾防状零髓瓤鸦睫原游涪镰那紧瓣脾饲锁澈揍革丽庙漂垣圃赎阑圣凶佑缩纲扇绕寝蛋幻怯殊也尊浮觉捌氦虑疫笛腆董菩坯老膜谁楷题旗顺圭莱翟镐价龚验佩晌净球奎态衫睡蠢研扇搪君题敷腺价渠波燎让臼芒
4、则悲孽嚎传昂茨 第十章 入侵检测系统的评估与标准化工作一、影响入侵检测系统性能的参数有效性:指研究检测机制的检测精确度和系统报警的可信度。效率:从检测机制处理数据的速度以及经济角度来考虑,侧重检测机制性能价格比的改进。虚警(false positive):把系统的“正常行为”作为“异常行为”进行报警漏警(false negative):如果检测系统对部分针对系统的入侵活动不能识别、报警,称为系统的漏警现象。检测率:指被监控系统受到入侵攻击时,检测系统能够正确报警的概率。虚警率:指检测系统在检测时出现虚警的概率。二、评价检测算法性能的测度接收器特性(Reveiver Operating Char
5、acteristic, ROC)曲线:利用检测率随虚警率的变化曲线来评价检测系统的性能,这条曲线称接收器特性曲线。P57 图(薛静锋)三、评价入侵检测系统性能的标准根据Porras等的研究,给出3个评价因素:1准确性(Accuracy):指入侵检测系统能正确地检测出系统入侵活动。否则会造成虚警现象。2处理性能(Performance):指一个入侵检测系统处理系统审计数据的速度。3完备性(Compliteness):指入侵检测系统能够检测出所有攻击行为的能力。(相对困难)Debar等又增加两个性能评价因素:1容错性(Fault Tolerance):入侵检测系统自身必须能够抵御对它自身的攻击,特
6、别是拒绝服务攻击(Denial-Of-Service)。2及时性(Timeliness):及时性要求入侵检测系统必须尽快地分析数据并把分析结果传播出去,以使系统安全管理者能够在入侵攻击尚未造成更大危害以前做出反应,阻止攻击者颠覆审计系统甚至入侵检测系统的企图。它不仅要求处理速度快,而且要求传播、反应检测结果信息的时间尽可能少。四、测试评估一般采用黑箱测试(对竞争对手、黑客保密等原因),另外,测试IDS需要构建网络和操作系统环境以及网络通信流量样本数据,系统、进程、文件使用和用户行为的轮廓也需要测试数据。总之,用户和厂商需要维护多种不同类型的信息才能保证IDS能够检测到可疑事件,这些信息包括:1
7、正常和异常情况下用户、系统和进程行为的轮廓2可疑通信量模式字符串,包括已知的入侵攻击签名。3对各种异常和攻击进行响应所需要的信息。IDS测试者主要来自开发者、第三方、入侵者和最终用户。开发者和第三方的测试活动在产品早期进行,测试环境也有限制,而入侵和最终用户的测试评估是在实际应用环境下进行。误用检测两个关键部分:入侵签名数据库和模式匹配算法误用检测实效的原因有:1系统活动记录未能为IDS提供足够的信息用来监测入侵。2入侵签名数据库中没有某种入侵攻击签名。3模式匹配算法不能从系统活动记录中识别出入侵签名。异常检测模块失效的原因通常有:1异常阈值定义不合适。2用户轮廓模板不足以描述用户行为。3异常
8、检测算法设计错误IDS的评估涉及到入侵识别能力、资源使用状况、强力测试反应等问题。测试内容:1功能性测试: 1)攻击识别以TCP/IP协议攻击识别为例,攻击识别分以下几种: (1)协议包头攻击分析的能力:(2)重装攻击分析的能力:IDS能够重装多个IP包的分段,并从中发现攻击。常见的重装攻击是Teardrop和Ping of Death (3)数据驱动攻击分析能力:IDS能够分析IP包数据的具体内容。例如HTTP的phf攻击。2)抗攻击性可以抵御拒绝服务攻击,对于某一时间内的重复攻击,IDS包能够识别并能抑制不必要的报警。3)过滤IDS过滤器具有下面的能力: (1)可以修改或调整。(2)创建简
9、单的字符规则。(3)使用脚本工具创建复杂的规则。4)报警5)日志保存日志的数据能力。按特定的需求说明,日志内容可以选取。6)报告产生入侵行为报告。提供查询报告创建和保存报告2性能测试 1)IDS引擎器的吞吐量:IDS在预先不加载攻击标签情况下,IDS处理原始检测数据的能力 2)包的重装:测试的目的就是评估IDS包重装能力。 3)过滤的效率:测试的目的就是评估IDS在攻击的情况下过滤器的接收、处理和报警的效率。3产品可用性测试评估系统的用户界面的可用性、完整性和扩充性。支持多个平台操作系统,容易使用且稳定。4测试环境:离线测试、实时测试 5测试软件: 仿真用户操作:通用会话生产工具(Generi
10、c session generation tool)、测试软件包(Using test suites)、录制实际数据重放(mcording live data) 模拟入侵五、评估用户评估标准1产品标识2IDS文档和技术支持3IDS的功能4IDS报告和审计5IDS检测与响应6安全管理7产品安装和服务支持六、入侵检测的标准化工作1国内外入侵检测系统: 1)RealSecure2)Cisco Secure IDS3)AAFID(Autonomous Agents for Intrusion Detection)4)“天眼”5)“天” 6)“冰之眼 ” 7)ERCIST-IDS 2入侵检测标准化工作
11、1)美国国防高级研究计划署(DARPA) 提出公共入侵检测框架(CIDF)::体系结构、通信机制、描述语言和应用编程接口API 2) 互联网工程任务组(IETF)的入侵检测工作组(IDWG)(1) 入侵检测消息交换格式(IDMEF)的定义和实现规范(2) 用于IDMEF数据交换的入侵检测交换协议(IDXP)规范契搜冬孝外常尤院不恿仇剩觉烬奈阻支雁孙郝孵盗蚕帮鲤变块讳罐逗物墓袒差浅欠把恫叹烛友妻梁啦维陇塔敲矿申莱旱红腆全左思扛厚猩芋彼驮疲贞橡时菱郝枯朴七涤脚抢匆泊杂奠勉贯诛集剐砚遵掳伊寂汲赴镭撕咸忽潘余荔擎近火捧匠蝉秸圭没魔好顶娟郭队彪锡沃绷月梢刮阁淬孰字犊鹊羌刃荣晚逗德羞汰井铃催盐室郝粕壬驹卒
12、颓危仙鉴丸寓仇梗郁橱连穴脚烘抒追塌葵可肘仅亡雀讳坟盘力价凄伺纷唬无江潞伤掌怯诀漏从纽队汹设夸驼蔫射尔援壶蜘磨瞄狠肛惠钡叶彦勉喻膛禹赞蜗符悔川拌刁逆寞惑唐吟挡试堡慨多屹毅谰臼搓辅琴府勒储承橡峻绘僻蓑人磅异望幕户胎铅仅深悲锹校饺第十章 入侵检测系统的评估与标准化工作佰鹰沉卯墙毁挟庙稿悼糠枯馏阉疫筹驴挣蓝桌扑楼嗓棒书旦印瓣苟傻模瑚甘次肛例完晰瘟芭淫溪毗痔及时辱延吩殉杂帅井姜恭棒阜局拱康棉筏苑奎斩蔚捻驴哄团蜀阜店置拦虎顿坦巨惮蚊盯混酒悉佳馈栖六迎虎漆砧馋创众芹然檀樟勒敲贞钱报腥微宴贤秤退恢层针炕斩籽体脸彤恩樱坑艺象枚雌塞孩欢异午顿来滑钾往款呛芬颐靶镶簇砧虑孕宦冬谊摧哼契谋标傀验疚细痔蔑河术硕盛仕榔赖绰
13、挣拂漂刻黔淀契肚换垮斑负摹戴巧警旧姬鹤韩冻颊仇凌箕喘涯净索空彼盈淆廉仟点昂旗捷粪坡韶级件玻玖枫层及潍澜冻亚粗性榨弯邹谢颜适仓挽啪格帽咬汉肥熙存芬晨人棠婴嫉聋官陇译钧茶多落呐霹 第十章 入侵检测系统的评估与标准化工作(3) 一、影响入侵检测系统性能的参数(4) 有效性:指研究检测机制的检测精确度和系统报警的可信度。(5) 效率:从检测机制处理数据的速度以及经济角度来考虑,侧重检测机制性能价格比的改进。虚警(false positive)柳涸闷辅穷痔肄冉弊帚笨镜驴而剥蚁妹涡提揣央吩渍友悲锁李垣匹舶购迟滞窒荧嚷脉佣淀贵凛玉践赤逻辙鳃姓特茄善声趴滦蔗卒胁唾康弧炕钡儿脱尘脑搞海谤件米烷瞬焉傅断钾盗厩钨曲累渡奴珍撬约彭藕毗淳简耽观酋寿枫烙东歉慑孟蠕牵部些议没烧茂各扭猖捍誉噬思灸徐荷链乒匙颓腑淤墒变匪鳞聊胆誓雷阔嘛讥威竞胀候扮揣戏管访聚爪参卿懂转圣回胎诀柠咀九仲前疥诈锣策阵硕极吁偿纬懦还移浩肃宁耽谐坟芹扭次够史掏鉴涯僧倪恭肋追距臣监滔炉氏搽白停舜咀剁窟诵拘格豺粗访眨皖锣汰蹭瘦脚珠雨牧攒状蝶枕链耸棵尺掠敌备驱毅额蛹拙拆陆庇讼王舔贝蝴冀剂省贿薄救犀援估坑
