2016入侵检测系统评估.ppt

6.1　入侵检测系统的主要性能参数　　在对入侵检测系统的性能进行分析时，应重点考虑检测的有效性、效率和可用性。　　有效性：研究检测机制的检测精确度和系统报警的可信度，它是开发设计和应用IDS的前提和目的，是测试评估IDS的主要指标。　　效率：从检测机制处理数据的速度以及经济角度来考虑，侧重检测机制性能价格比的改进。 6.1.1　检测率、虚报率与报警可信度　　人们希望检测系统能够最大限度地把系统中的入侵行为与正常行为区分开来，这就涉及到入侵检测系统对系统正常行为（或入侵行为）的描述方式、检测模型与检测算法的选择。　　如果检测系统不能够精确地描述系统的正常行为（或入侵行为），那么，系统必然会出现各种误报。如果检测系统把系统的“正常行为”作为“异常行为”进行报警，这种情况就是虚报（FalsePositive）。如果检测系统对部分针对系统的入侵活动不能识别、报警，这种情况被称做漏报（FalseNegative）。 　　1.检测率与虚报率　　可以用贝叶斯理论来分析基于异常性检测的入侵检测系统的检测率、虚报率与报警可信度之间的关系，并在此基础上分析它们对异常性检测算法性能的影响。　　入侵检测问题可看做是一个简单的二值假设检验问题。首先给出一系列相关的定义和符号：　　假设I与I分别表示入侵行为和目标系统的正常行为，A代表检测系统发出入侵报警， A表示检测系统没有报警。　　检测率：被监控系统受到入侵攻击时，检测系统能够正确报警的概率，可表示为P(A/I)。通常利用已知入侵攻击的实验数据集合来测试入侵检测系统的检测率。 　　虚报率：指检测系统在检测时出现虚报警的概率，可表示为P(A/ I)。可利用已知的系统正常行为作为实验数据集，通过系统仿真获得检测系统的近似虚报率。　　另外，概率P( A/I)代表检测系统的漏报率，P( A/ I)则指目标系统正常（没有入侵攻击）的情况下，检测系统不报警的概率。显然有 　　在实际应用中，主要关注的是一个入侵检测系统的报警结果能否正确地反映目标系统的安全状态。下面的两个参数则从报警信息的可信度方面考虑检测系统的性能：　　P(A/I)给出了检测系统报警信息的可信度，即检测系统报警时，目标系统正受到入侵攻击的概率。　　P( A/ I)给出了检测系统未发出报警信息的可信度，即检测系统未报警时，目标系统未受到入侵攻击的概率。　　为使入侵检测系统更有效，系统的这两个参数的值越大越好。根据贝叶斯定理可以得出这两个参数的计算公式： 同理： 　　在实际应用过程中，检测率的好坏是由IDS的两个部分决定的。一是IDS的抓包能力，二是IDS的检测引擎。为了达到100％的检测率，IDS首先要把需要的数据包全部抓上来，送给检测引擎。在网络流量相同的情况下，数据包越小，数据包的个数就越多，IDS的抓包引擎是对数据包一个一个进行处理的，因此数据包越小，抓包引擎能处理的网络流量就越小。相比之下，数据包的大小对IDS检测引擎的影响程度较小，因为虽然检测引擎对每个数据包都要解析数据包头，但它同样要检测每个数据包的内容，总量是一样的，因此数据包的大小对检测引擎基本没有影响。 　　数据包抓上来之后，需要经过检测引擎的检测才能引发告警。在检测引擎的处理过程中，数据包的各种因素都会影响检测引擎的效率。不同的IDS产品因为其检测引擎中对数据包的处理有侧重点，因此不同内容的背景数据流会严重影响产品的检测率。当通过不同内容的背景数据流，可以判断出IDS检测引擎在某些方面的优劣。数据包中的数据内容也很关键，如果背景数据流中包含大量敏感的关键字，能引发一种IDS产品告警，而对另一种IDS产品可能并不引发告警，这样的数据包内容就影响了引擎的效率。即使在不引发告警的条件下，背景数据流的数据内容也对检测引擎影响很大。 　　实际上IDS的实现总是在检测率和虚报率之间徘徊，检测率高了，虚报率就会提高；同样,虚报率降低了，检测率也就会降低。一般地，IDS产品会在两者中取一个折中，并且能够进行调整，以适应不同的网络环境。美国的林肯实验室用接收器特性(ReceiverOperatingCharacteristic,ROC)曲线来描述IDS的性能。该曲线准确刻画了IDS的检测率与虚报率之间的变化关系。ROC广泛用于输入不确定的系统的评估。根据一个IDS在不同的条件(在允许范围内变化的阈值，例如异常检测系统的报警门限等参数)下的虚报率和检测率，分别把虚报率和检测率作为横坐标和纵坐标，就可做出对应于该IDS的ROC曲线。ROC曲线与IDS的检测门限具有对应的关系。 　　在现实中，虚报不会引起什么危害，因为事件本身是一个正常的事件。虚报的坏处可能就是浪费了安