入侵检测系统测试和评估研究.docVIP

入侵检测系统测试和评估研究 　　摘要：入侵检测系统的测试和评估一直是业界普遍关注的内容。但目前对IDS仍然没有一个公开的测试或评估标准，目前入侵检测系统的误报率、漏报率仍然较高，吞吐量也有待提高。本文探讨了入侵检测系统的测试和评估技术，目前没有统一的入侵检测标准，因此本文从各个不同的角度对Snort进行测试。测试表明Snort在百兆以内的网络环境有很好的表现，但在千兆环境中将发生不同程度的丢包情况。 　　关键词：入侵检测；SNORT；测试；评估 　　 　　1　引言 　　 　　1980年，James P.Anderson第一次系统阐述了入侵检测的概念，并将入侵行为分为外部渗透、内部渗透和不法行为三种，还提出了利用审计数据监视入侵活动的思想。1986年Dorothy E.Denning提出实时异常检测的概念并建立了第一个实时入侵检测模型，命名为入侵检测专家系统(IDES)，1990年，L.T.Heberlein等设计出监视网络数据流的入侵检测系统，NSM(Network Security Monitor)。1991年出现分布式入侵检测体系。20世纪90年代中后期入侵检测的体系结构的研究又有了许多发展，因此，产生了对各种入侵检测系统的功能和性能评估的需求。 　　入侵检测系统的测试和评估一直是业界普遍关注的内容。目前，入侵检测系统的误报率仍然较高，还常常出现漏报的情况，吞吐量也有待提高。在使用入侵检测系统之前，首先需要对其进行详细的测试和评估。然而，作为一种网络安全设备，对入侵检测系统的测试通常是复杂的。 　　对于IDS目前仍然没有一个公开的测试或评估标准。最常用的测试方法是，搭建一个小型网络，在小型网络中释放一些攻击数据。但这种小型网络的拓扑结构、功能和复杂度都没有统一的标准。另一种测试的方式是在测试网络中重放真实网络中捕获的流量，这种测试方式的缺陷是无法将新的入侵手段及时有效地加入流量中。 　　一种比较合理的测试方法是，搜集所有已知的攻击工具，并将这些工具产生的攻击流与背景流混合。对背景流的流量和攻击流的比例进行控制，可以得知IDS在何种情况下会出现丢包、漏报或误报等情况。 　　 　　2　测试lDS需要解决的问题 　　 　　DARPA于1998年启动了一项入侵检测系统评估项目。它主要涉及背景流的生成和恶意攻击行为的研究。通过使用在背景流中混杂恶意数据的方式，可以测试IDS的算法和系统设计是否合理。虽然该项目于1999年终止，但它留下了大量可用的测试数据，成为评估入侵检测系统的重要数据来源，是迄今为止最权威的IDS评估。 　　DARPA采用如下的方式对IDS进行评估。它包含两种测试数据：离线训练数据(Training Data)和在线测试数据(TestingData)。离线数据时长7星期，其中标明了哪些数据包是正常的，哪些数据包是恶意的，它们可以用于训练入侵检测系统，使入侵检测系统完成对网络情况的学习。在线数据时长2星期，用于模拟真实网络。在使用这些数据时，使用tcpreplay将其重放。 　　使用DARPA的思想生成用于测试IDS的流量时，需要解决两个问题。一是如何生成背景流，背景流是不含任何恶意的数据包的流量。二是如何生成攻击。两种流量经过混合后，进入入侵检测系统。一个具有良好适应性的IDS应当能准确地从背景流中区分出攻击数据。 　　攻击流量通常基于攻击特征数据库，其中保存了所有恶意流，测试者可在必要的时候发动攻击。这个数据库需要维护和更新，因为每天都可能出现新的攻击。 　　目前，使用穷举所有攻击的方式来测试IDS是不可行的。可行的方法是为每一种攻击类型选取有代表性的攻击案例。这种方式称作等价划分。 　　 　　3　衡量IDS的指标和测试方法 　　 　　(1)完备性(Completeness) 　　完备性(有时也称为覆盖性)是指IDS在最理想的状态下能够检测出所有攻击行为的能力。如果存在一个攻击行为，无法被IDS检测出来，那么该IDS就不具有检测完备性。也就是说，它可能把对系统的入侵活动当作正常行为而漏报。所谓最理想的状态，是指测试通常在简单的网络环境、没有背景流存在的情况下进行。由于在一般情况下，攻击类型、攻击手段的变化很快。很难得到关于攻击行为的所有知识，所以关于IDS的检测完备性的评估相对比较困难。 　　 　　(2)误报率(False Alarm Rate) 　　误报率是指入侵检测系统在一段时间内发生错误报警的次数，误报也称为“虚警”。误报常常是由不完善的规则所引起的。一些网络管理软件产生的正常流量也常常会导致IDS误报。误报率是很难测量的，因为没有一个“标准”的网络可以用来测试IDS，IDS在不同的网络环境下其误报率也是不同的。误报率=错误报警数量／(总体正常行为样本数量