正確評估IDS性能的標準與步驟
隨著入侵檢測系統的廣泛使用,如何評估IDS性能成為了主要問題。企業希望通過評估IDS性能來檢測自己的企業安全性,而安全產品廠商希望通過評估IDS性能來了解產品的不足和企業的需求,那么如何正確的評估IDS性能呢?其步驟又是什么呢?
測試評估IDS性能的標準
根據Porras等的研究,給出了評價IDS性能的三個因素:
·準確性(Accuracy):指IDS從各種行為中正確地識別入侵的能力,當一個IDS的檢測不準確時,就有可能把系統中的合法活動當作入侵行為并標識為異常(虛警現象)。
·處理性能(Performance):指一個IDS處理數據源數據的速度。顯然,當IDS的處理性能較差時,它就不可能實現實時的IDS,并有可能成為整個系統的瓶頸,進而嚴重影響整個系統的性能。
·完備性(Completeness):指IDS能夠檢測出所有攻擊行為的能力。如果存在一個攻擊行為,無法被IDS檢測出來,那么該JDS就不具有檢測完備性。也就是說,它把對系統的入侵活動當作正常行為(漏報現象)。由于在一般情況下,攻擊類型、攻擊手段的變化很快,我們很難得到關于攻擊行為的所有知識,所以關于IDS的檢測完備性的評估相對比較困難。
在此基礎上,Debar等又增加了兩個性能評價測度:
·容錯性(Fault Tolerance):由于IDS是檢測入侵的重要手段/所以它也就成為很多入侵者攻擊的首選目標。IDS自身必須能夠抵御對它自身的攻擊,特別是拒絕服務(Denial-of-Service)攻擊。由于大多數的IDS是運行在極易遭受攻擊的操作系統和硬件平臺上,這就使得系統的容錯性變得特別重要,在測試評估IDS時必須考慮這一點。
·及時性(Timeliness):及時性要求IDS必須盡快地分析數據并把分析結果傳播出去,以使系統安全管理者能夠在入侵攻擊尚未造成更大危害以前做出反應,阻止入侵者進一步的破壞活動,和上面的處理性能因素相比,及時性的要求更高。它不僅要求IDS的處理速度要盡可能地快,而且要求傳播、反應檢測結果信息的時間盡可能少。
IDS測試評估的方法步驟
前面我們已經討論了IDS測試評估的性能指標,具體測試主要就是圍繞這些指標來進行。大部分的測試過程都遵循下面的基本測試步驟:
·創建、選擇一些測試工具或測試腳本。這些腳本和工具主要用來生成模擬的正常行為及入侵,也就是模擬IDS運行的實際環境。
·確定計算環境所要求的條件,比如背景計算機活動的級別。
·配置運行IDS。
·運行測試工具或測試腳本。
·分析IDS的檢測結果。
美國加州大學的Nicholas J.Puketza等人把測試分為三類,分別與前面的性能指標相對應,即入侵識別測試(也可以說是IDS有效性測試)。資源消耗測試、強度測試。入侵識別測試測量IDS區分正常行為和入侵的能力,主要衡量的指標是檢測率和虛警率。資源消耗測試(Resource Usage Tests)測量IDS占用系統資源的狀況,考慮的主要因素是硬盤占用空間、內存消耗等。強度測試主要檢測IDS在強負荷運行狀況下檢測效果是否受影響,主要包括大負載、高密度數據流量情況下對檢測效果的檢測。
【編輯推薦】
