网络入侵检测系统测试评估.ppt

* * * * * * * * * * * * * * * * * * * * * * * 入侵检测系统的标准与评估 * 误用检测失效的原因 系统活动记录未能为IDS提供足够的信息用来检测入侵； 入侵签名数据库中没有某种入侵攻击签名； 模式匹配算法不能从系统活动记录中识别出入侵签名。 入侵检测系统的标准与评估 * 异常检测失效的原因 异常阈值定义不合适； 用户轮廓模板不足以描述用户的行为； 异常检测算法设计错误。 入侵检测系统的标准与评估 * 功能性测试 功能性测试出来的数据能够反映出IDS的攻击检测、报告、审计、报警等能力。 攻击识别 抗攻击性 过滤 报警 日志 报告 入侵检测系统的标准与评估 * 性能测试 性能测试在各种不同的环境下，检验IDS的承受强度，主要指标包括： IDS引擎的吞吐量：IDS在预先不加载攻击标签的情况下，处理原始的检测数据的能力。 包的重装：测试的目的是评估IDS的包的重装能力。例如，为了测试这个指标，可通过Ping of Death攻击，IDS的入侵标签名库只有单一的Ping of Death标签，这时来测试IDS的响应情况。 过滤的效率：测试的目标是评估IDS在遭到攻击的情况下过滤器的接收、处理和报警的效率。这种测试可以用LAND攻击的基本包头为引导，这种包的特征是源地址等于目标地址。 入侵检测系统的标准与评估 * Lincoln实验室的IDS测试环境 监听数据 审计数据 IDS 检测结果 ROC曲线分析 入侵检测系统的标准与评估 * Rome实验室的IDS测试环境 正常网络 通信流 攻击网络 通信流 评 估 网 络 IDS 入侵检测系统的标准与评估 * IDS功能测试配置图 攻击者 路由器 路由器 网络负载产生器 攻击目标 IDS管理中心 IDS探测器 入侵检测系统的标准与评估 * 测试软件 nidsbench测试软件包 由Anzen公司开发，包括Tcpreplay和Fraqrouter两个部分。Tcpreplay的功能是将Tcpdump“复制”的网络数据包重放，以还原当时网络的实际运行状态。Fraqrouter的功能是通过建造一系列躲避IDS检测的攻击以测试IDS的正确性和安全性。 California大学的IDS测试平台 该平台使用Tcl-DP工具开发，可以实现模拟入侵，以测试IDS的有效性。 包含4组命令：基本的会话命令集，同步命令集，通信命令集，记录重放命令集。 麻省理工学院Lincoln实验室 IBM公司Zurich研究实验室 入侵检测系统的标准与评估 * 用户评估标准 产品标识 IDS文档和技术支持 IDS的功能 IDS报告和审计 IDS检测与响应 安全管理 产品安装和服务支持 入侵检测系统的标准与评估 * 离线评估方案 技术目标 评估 训练数据 测试数据开发 评估使用的测试数据 异常检测 评估规则 结果提交格式 系统描述 运行时间 入侵检测系统的标准与评估 * 实时评估方案 目标 测试配置 测试要求 入侵检测系统的标准与评估 * 小结 入侵检测的标准化工作 入侵检测系统的性能指标 网络入侵检测系统测试评估 测试评估内容 测试环境和测试软件 用户评估标准 入侵检测评估方案 * * * * * * * * * * * * * * * * * * * * 入侵检测系统的标准与评估 * 第7章 入侵检测系统的标准与评估 曹元大主编，人民邮电出版社，2007年 入侵检测系统的标准与评估 * 第7章 入侵检测系统的标准与评估 入侵检测系统的标准与评估: 入侵检测的标准化工作 入侵检测系统的性能指标 网络入侵检测系统测试评估 测试评估内容 测试环境和测试软件 用户评估标准 入侵检测评估方案 入侵检测系统的标准与评估 * 入侵检测的标准化工作 入侵检测技术在最近几年发展迅速，但是相应的入侵检测标准化工作则进展缓慢。 当前有两个国际组织在进行这方面的工作，他们是Common Intrusion Detection Framework（CIDF）和IETF（Internet Engineering Task Force）下属的Intrusion Detection Working Group（IDWG）。 他们强调了入侵检测的不同方面，并从各自的角度进行了标准化工作。 入侵检测系统的标准与评估 * CIDF CIDF标准化工作基于这样的思想：依靠某个单一的IDS不可能检测出所有的入侵行为，需要一个IDS系统的合作来检测跨越网络或跨越较长时间段的不同攻击。CIDF把IDS系统合作的重点放在不同组件间的合作。 CIDF的主要工作：提出了一个通用的入侵检测框架，然后进行这个框架中各个部件之间通信