第7章入侵检测系统的标准与评估入侵检测系统的标准与评估.ppt

* * * * * * * * * * * * * * * * * * * * * * * 入侵检测系统的标准与评估 * 误用检测失效的原因 系统活动记录未能为IDS提供足够的信息用来检测入侵； 入侵签名数据库中没有某种入侵攻击签名； 模式匹配算法不能从系统活动记录中识别出入侵签名。 入侵检测系统的标准与评估 * 异常检测失效的原因 异常阈值定义不合适； 用户轮廓模板不足以描述用户的行为； 异常检测算法设计错误。 入侵检测系统的标准与评估 * 功能性测试 功能性测试出来的数据能够反映出IDS的攻击检测、报告、审计、报警等能力。 攻击识别 抗攻击性 过滤 报警 日志 报告 入侵检测系统的标准与评估 * 性能测试 性能测试在各种不同的环境下，检验IDS的承受强度，主要指标包括： IDS引擎的吞吐量：IDS在预先不加载攻击标签的情况下，处理原始的检测数据的能力。 包的重装：测试的目的是评估IDS的包的重装能力。例如，为了测试这个指标，可通过Ping of Death攻击，IDS的入侵标签名库只有单一的Ping of Death标签，这时来测试IDS的响应情况。 过滤的效率：测试的目标是评估IDS在遭到攻击的情况下过滤器的接收、处理和报警的效率。这种测试可以用LAND攻击的基本包头为引导，这种包的特征是源地址等于目标地址。 入侵检测系统的标准与评估