入侵检测技术 知识课件第7章入侵检测系统的标准与评估.ppt

入侵检测系统的标准与评估 功能性测试 攻击识别 抗攻击性 过滤 报警 日志 报告 性能测试 IDS引擎的吞吐量：IDS在预先不加载攻击标签的情况下，处理原始的检测数据的能力。 包的重装：测试的目的是评估IDS的包的重装能力。例如，为了测试这个指标，可通过Ping of Death攻击，IDS的入侵标签名库只有单一的Ping of Death标签，这时来测试IDS的响应情况。 过滤的效率：测试的目标是评估IDS在遭到攻击的情况下过滤器的接收、处理和报警的效率。这种测试可以用LAND攻击的基本包头为引导，这种包的特征是源地址等于目标地址。 Lincoln实验室的IDS测试环境 监听数据 审计数据 IDS 检测结果 ROC曲线分析 Rome实验室的IDS测试环境 正常网络 通信流 攻击网络 通信流 评 估 网 络 IDS IDS功能测试配置图 攻击者 路由器 路由器 网络负载产生器 攻击目标 IDS管理中心 IDS探测器 测试软件 nidsbench测试软件包 California大学的IDS测试平台 用户评估标准 产品标识 IDS文档和技术支持 IDS的功能 IDS报告和审计 IDS检测与响应 安全管理 产品安装和服务支持 离线评估方案 技术目标 评估 训练数据 测试数据开发 评估使用的测试数据 异常检测 评估规则 结果提交格式 系统描述 运行时间 实时评估方案 目标 测试配置 测试要求 小结 入侵检测的标准化工作 入侵检测系统的性能指标 网络入侵检测系统测试评估 测试评估内容 测试环境和测试软件 用户评估标准 入侵检测评估方案 * 第7章 入侵检测系统的标准与评估 曹元大主编，人民邮电出版社，2007年 第7章 入侵检测系统的标准与评估 入侵检测系统的标准与评估: 入侵检测的标准化工作 入侵检测系统的性能指标 网络入侵检测系统测试评估 测试评估内容 测试环境和测试软件 用户评估标准 入侵检测评估方案 入侵检测的标准化工作 入侵检测技术在最近几年发展迅速，但是相应的入侵检测标准化工作则进展缓慢。 当前有两个国际组织在进行这方面的工作，他们是Common Intrusion Detection Framework（CIDF）和IETF（Internet Engineering Task Force）下属的Intrusion Detection Working Group（IDWG）。 他们强调了入侵检测的不同方面，并从各自的角度进行了标准化工作。 CIDF的架构 Gidos Gidos 反应Gidos 事件Gidos 事件产生器 响应单元 事件数据库 Gidos 事件分析器 CIDF的互操作 配置互操作：可相互发现并交换数据。 语法互操作：可正确识别交换的数据。 语义互操作：可相互正确理解交换的数据。 CIDF的协同方式-互纠 A1 J A2 CIDF的协同方式-核实 A1 H A2 CIDF的协同方式-调整 A T CIDF的协同方式-响应 A X CIDF的公共入侵规范语言（CISL） CIDF最主要的工作就是不同组件间所使用语言的标准化，CIDF的体系结构只是通信的背景。 在CIDF模型里，通过组件接收的输入流来驱动分析引警进行处理，并将结果传递到其它的部件。 CIDF用通用入侵说明语言CISL对事件、分析结果、响应指示等过程进行表示说明，以达到IDS之间的语法互操作。 CISL语言使用符号表达式（简称S-表达式），类似于LISP语言。 S-表达式的递归定义 原子是S-表达式。 如果a1、a2是S-表达式，则表（a1、a2）也是S-表达式。 有限次使用（1）、（2）所得的表达式都是S-表达式，此外没有别的S-表达式。 CISL的设计目标 表达能力：CISL语言应当具有足够的词汇和复杂的语法来实现广泛的表达，主要针对事件的因果关系、事件的对象角色、对象的属性、对象之间的关系、响应命令或脚本等几个方面。 表示的唯一性：要求发送者和接收者对协商好的目标信息能够相互理解。 精确性：两个接收者读取相同的消息不能得到相反的结论。 层次化：语言当中有一种机制能够用普通的概念定义详细而又精确的概念。 自定义：在消息中能够自我解析说明。 效率：任何接收者对语言格式的理解开销不能成倍增加。 扩展性：语言里有一种机制能够让发送者使用的词汇来表明接收者的事实。或者是接收者能够利用消息的其余部分解析说明新的词汇的含义。 简单：不需理解整个语言就能接收和发送信息。 可移植性：语言的编码不是依赖于网络的细节或特定主机的消息。 容易实现：实现起来比较容易。 CIDF的通信机制 Gidos层 信体层 协商传输层 CIDF的