入侵檢測系統(IDS)的測試與評估

149475771發表於2007-09-22
隨著入侵檢測系統的廣泛應用,對入侵檢測系統進行測試和評估的要求也越來越迫切。開發者希望透過測試和評估發現產品中的不足,使用者希望測試和評估來幫助自己選擇合適的入侵檢測產品。本文根據目前的相關研究,介紹了入侵檢測系統測試評估的標準、指標,方法步驟、資料來源、環境配置、測試評估的現狀以及其中存在的一些問題。

  1、引言

  隨著人們安全意識的逐步提高,入侵檢測系統(IDS)的應用範圍也越來越廣,各種各樣的IDS也越來越多。那麼IDS能發現入侵行為嗎?IDS是否達到了開發者的設計目標?什麼樣的IDS才是使用者需要的效能優良的IDS呢?要回答這些問題,都要對IDS進行測試和評估。

  和其他產品一樣,當IDS發展和應用到一定程度以後,對IDS進行測試和評估的要求也就提上日程表。各方都希望有方便的工具,合理的方法對IDS進行科學。公正並且可信地測試和評估。對於IDS的研製和開發者來說,對各種IDS進行經常性的評估,可以及時瞭解技術發展的現狀和系統存在的不足,從而將講究重點放在那些關鍵的技術問題上,減少系統的不足,提高系統的效能;而對於IDS的使用者來說,由於他們對IDS依賴程度越來越大,所以也希望透過評估來選擇適合自己需要的產品,避免各IDS產品宣傳的誤導。IDS的使用者對測試評估的要求尤為迫切,因為大多數使用者對IDS本身瞭解得可能並不是很深入,他們希望有專家的評測結果作為自己選擇IDS的依據。

  總地來說,對IDS進行測試和評估,具有以下作用:

·有助於更好地刻劃IDS的特徵。透過測試評估,可更好地認識理解IDS的處理方法、所需資源及環境;建立比較IDS的基準;領會各檢測方法之間的關係。
·對IDS的各項效能進行評估,確定IDS的效能級別及其對執行環境的影響。
·利用測試和評估結果,可做出一些預測,推斷IDS發展的趨勢,估計風險,制定可實現的IDS質量目標(比如,可靠性、可用性、速度、精確度)、花費以及開發進度。
·根據測試和評估結果,對IDS進行改善。也就是發現系統中存在的問題並進行改進,從而提高系統的各項效能指標。

  本文首先介紹了測試評估IDS效能的標準,然後介紹了測試評估的方法步驟,並且介紹測試評估的具體指標、所需的資料來源、測試評估環境配置與框架,最後介紹了測試評估現狀以及其中存在的一些問題。

  2、測試評估IDS效能的標準

  根據Porras等的研究,給出了評價IDS效能的三個因素:

·準確性(Accuracy):指IDS從各種行為中正確地識別入侵的能力,當一個IDS的檢測不準確時,就有可能把系統中的合法活動當作入侵行為並標識為異常(虛警現象)。
·處理效能(Performance):指一個IDS處理資料來源資料的速度。顯然,當IDS的處理效能較差時,它就不可能實現實時的IDS,並有可能成為整個系統的瓶頸,進而嚴重影響整個系統的效能。
·完備性(Completeness):指IDS能夠檢測出所有攻擊行為的能力。如果存在一個攻擊行為,無法被IDS檢測出來,那麼該JDS就不具有檢測完備性。也就是說,它把對系統的入侵活動當作正常行為(漏報現象)。由於在一般情況下,攻擊型別、攻擊手段的變化很快,我們很難得到關於攻擊行為的所有知識,所以關於IDS的檢測完備性的評估相對比較困難。

  在此基礎上,Debar等又增加了兩個效能評價測度:

·容錯性(Fault Tolerance):由於IDS是檢測入侵的重要手段/所以它也就成為很多入侵者攻擊的首選目標。IDS自身必須能夠抵禦對它自身的攻擊,特別是拒絕服務(Denial-of-Service)攻擊。由於大多數的IDS是執行在極易遭受攻擊的作業系統和硬體平臺上,這就使得系統的容錯性變得特別重要,在測試評估IDS時必須考慮這一點。
·及時性(Timeliness):及時性要求IDS必須儘快地分析資料並把分析結果傳播出去,以使系統安全管理者能夠在入侵攻擊尚未造成更大危害以前做出反應,阻止入侵者進一步的破壞活動,和上面的處理效能因素相比,及時性的要求更高。它不僅要求IDS的處理速度要儘可能地快,而且要求傳播、反應檢測結果資訊的時間儘可能少。

  3、IDS測試評估的方法步驟

  前面我們已經討論了IDS測試評估的效能指標,具體測試主要就是圍繞這些指標來進行。大部分的測試過程都遵循下面的基本測試步驟:

·建立、選擇一些測試工具或測試指令碼。這些指令碼和工具主要用來生成模擬的正常行為及入侵,也就是模擬IDS執行的實際環境。
·確定計算環境所要求的條件,比如背景計算機活動的級別。
·配置執行IDS。
·執行測試工具或測試指令碼。
·分析IDS的檢測結果。

  美國加州大學的Nicholas J.Puketza等人把測試分為三類,分別與前面的效能指標相對應,即入侵識別測試(也可以說是IDS有效性測試)。資源消耗測試、強度測試。入侵識別測試測量IDS區分正常行為和入侵的能力,主要衡量的指標是檢測率和虛警率。資源消耗測試(Resource Usage Tests)測量IDS佔用系統資源的狀況,考慮的主要因素是硬碟佔用空間、記憶體消耗等。強度測試主要檢測IDS在強負荷執行狀況下檢測效果是否受影響,主要包括大負載、高密度資料流量情況下對檢測效果的檢測。

  4、測試評估IDS的效能指標

  在我們分析IDS的效能時,主要考慮檢測系統的有效性、效率和可用性。有效性研究檢測機制的檢測精確度和系統檢測結果的可信度,它是開發設計和應用IDS的前提和目的,是測試評估IDS的主要指標,效率則從檢測機制的處理資料的速度以及經濟性的角度來考慮,也就是側重檢測機制效能價格比的改進。可用性主要包括系統的可擴充套件性、使用者介面的可用性,部署配置方便程度等方面。有效性是開發設計和應用IDS的前提和目的,因此也是測試評估IDS的主要指標,但效率和可用性對IDS的效能也起很重要的作用。效率和可用性滲透於系統設計的各個方面之中。本節從檢測的有效性、效率以及可用性角度,對測試評估IDS的效能指標進行分析討論。

[@more@]入侵檢測系統(IDS)的測試與評估

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10302959/viewspace-970935/,如需轉載,請註明出處,否則將追究法律責任。

相關文章