入侵检测系统（IDS）的检测与评估.docVIP

　　入侵检测系统（IDS）的检测与评估～教育资源库 　　 入侵检测系统的广泛应用，使得对入侵检测系统进行测试和评估的要求也越来越迫切。开发者希望通过测试和评估发现产品中的不足，用户希望测试和评估来帮助自己选择合适的入侵检测产品。笔者将详细介绍了入侵检测系统测试评估的标准、指标，方法步骤、数据、环境配置、测试评估的现状以及其中存在的一些问题。 　　很多用户在选择安全产品前会问，IDS能发现入侵行为吗?IDS是否达到设计目标吗?什么样的IDS才是用户需要的性能优良的IDS呢?要回答这些问题，就要对IDS进行测试和评估。 　　和其他产品一样，当IDS发展和应用到一定程度以后，对IDS进行测试和评估的要求越发必要。公正并且可信地测试和评估是各房都需要的。对于IDS的研制和开发者来说，对各种IDS进行经常性的评估，可以及时了解技术发展的现状和系统存在的不足，从而将研究重点放在那些关键的技术问题上，减少系统的不足，提高系统的性能；而对于IDS的使用者来说，由于他们对 IDS依赖程度越来越大，所以也希望通过评估来选择适合自己需要的产品。IDS的用户对测试评估的要求尤为迫切，因为大多数用户对IDS本身并没有详细了解，他们希望专业的评测结果作为自己选购IDS的依据。 　　笔者总结，对IDS进行测试和评估，具有以下作用: 　　有助于更好地明晰IDS的特征。通过测试评估，可更好地认识理解IDS的处理机制、对环境的适应能力，IDS检测能力的实际效率。 　　对IDS的各项性能进行评估，确定IDS的性能级别及其对运行环境的适应能力。 　　利用测试和评估结果，可做出相关预测，推断IDS发展的趋势，估计风险，制定可实现的IDS参数细节。 　　根据测试和评估结果，厂商会不断对IDS进行改善，从而提高系统的各项性能指标。 　　这里我们介绍了测试评估IDS性能的标准，下面我们来认识测试评估的方法步骤，并且介绍测试评估的具体指标、所需的数据源、测试评估环境配置与框架，最后介绍了测试评估现状以及其中存在可能会遇到的各种问题。 　　测试评估IDS性能的标准 　　根据安全机构的研究，给出了评价IDS性能的三个因素: 　　准确性(Accuracy):指IDS从各种行为中识别入侵的能力，当一个IDS的检测不准确时，就有可能把系统中的合法活动当作入侵行为并标识为异常(这也是我们常说的虚警现象)。 　　处理性能(Performance):指一个IDS处理数据源数据的速度。当IDS的处理性能较差时，它就不可能实现实时的IDS，并有可能成为整个系统的瓶颈，进而严重影响整个系统的性能。 　　完备性(pleteness):指IDS能够检测出所有攻击行为的能力。如果存在一个攻击行为，无法被IDS检测出来，那么该IDS就不具有检测完备性。也就是说，它把对系统的入侵活动当作正常行为(漏报现象)。由于在一般情况下，攻击类型、攻击手段的变化很快，我们很难得到关于攻击行为的所有知识，所以关于IDS的检测完备性的评估相对比较困难。 　　在此基础上，有专家又增加了两个性能评价测标准： 　　容错性(Fault Tolerance):由于IDS是检测入侵的重要手段，所以它也就成为很多入侵者攻击的首选目标。IDS自身必须能够抵御对它自身的攻击，特别是拒绝服务(Denial-of-Service)攻击。由于大多数的IDS是运行在极易遭受攻击的操作系统和硬件平台上，这就使得系统的容错性变得特别重要，在测试评估IDS时必须考虑这一点。 　　及时性(Timeliness):及时性要求IDS必须尽快地分析数据并把分析结果传播出去，以使系统安全管理者能够在入侵攻击尚未造成更大危害以前做出反应，阻止入侵者进一步的破坏活动，及时性对IDS的要求更高。它不仅要求IDS的处理速度要尽可能地快，而且要求传播、反应检测结果信息的时间尽可能少。 　　IDS测试评估的方法步骤 　　谈过标准，谈了作用，现在看来来IDS测试的过程都遵循哪些基本测试步骤： 　　创建、选择一些测试工具或测试脚本。这些脚本和工具主要用来模拟的正常行为及入侵，也就是提供一个模拟IDS运行环境。 　　确定用户使用系统环境所要求的条件，比如背景计算机活动的级别。 　　配置运行IDS。 　　运行测试工具或测试脚本。 　　分析IDS的检测结果。 　　美国加州大学的Nicholas J.Puketza等人把测试分为三类，分别与前面的性能指标相对应，即入侵识别测试(也可以说是IDS有效性测试)。资源消耗测试、强度测试。入侵识别测试测量IDS区分正常行为和入侵的能力，主要衡量的指标是检测率和虚警率。资源消耗测试(Resource Usage Tests)测量IDS占用系统资源的状况，考虑的主要因素是硬