《计算机网络测试与维护》课件第7章.ppt

6．修改控制

如果不经常检查，即使配置得当的防火墙规则库很快也会“弱不禁风”。有些管理员们在配置好防火墙的规则后，就以为可以高枕无忧了，这种现象司空见惯。要知道，每时每刻都有可能发现新的操作系统漏洞和防火墙的新漏洞。如果防火墙的操作系统和软件(包括规则库)没有及时更新，防火墙就无法抵挡住攻击。7．创建自己的检查列表

管理员应当具备的最重要的一个工具是最新的系统检查列表。这种检查列表有助于决定自己的范围和检查、验证的过程。此过程的第一步应当确定一个遵循单位需要的良好信息源。安全检查列表、单位策略与内部信任过程的整合必将造就良好的安全实践，从而形成有效的监管。一旦确认了目标，就应当检查单位需要遵循的规范和标准。要诀是不要针对每一条标准实施审核，而是要创建一系列可保障安全系统的控制机制，构造一个安全系统。有一些国际网站提供了大量的免费检查列表，如CIS、SANS、NSA、NIST、DISA等，这对于帮助构造自己的防火墙测试架构大有裨益。7.7.3入侵检测系统测试

1．测试入侵检测系统的性能标准

根据Porras等人的研究，给出了评价IDS性能的三个

因素：

(1)准确性(Accuracy)：指IDS从各种行为中正确地识别入侵的能力，当一个IDS的检测不准确时，就有可能把系统中的合法活动当作入侵行为并标识为异常(虚警现象)。

(2)处理性能(Performance)：指一个IDS处理数据源数据的速度。显然，当IDS的处理性能较差时，它就不可能实现实时的IDS，并有可能成为整个系统的瓶颈，进而严重影响整个系统的性能。(3)完备性(Completeness)：指IDS能够检测出所有攻击行为的能力。如果存在一个攻击行为，无法被IDS检测出来，那么该IDS就不具有检测完备性。也就是说，它把对系统的入侵活动当作正常行为(漏报现象)。由于在一般情况下，攻击类型、攻击手段的变化很快，我们很难得到关于攻击行为的所有知识，所以关于IDS的检测完备性的评估相对比较困难。在此基础上，Debar等人又增加了两个性能评价测度：

(1)容错性(FaultTolerance)：由于IDS是检测入侵的重要手段，所以它也就成为很多入侵者攻击的首选目标。IDS自身必须能够抵御对它自身的攻击，特别是拒绝服务(Denial-of-Service)攻击。由于大多数的IDS是运行在极易遭受攻击的操作系统和硬件平台上的，这就使得系统的容错性变得特别重要，在测试评估IDS时必须考虑这一点。?(2)及时性(Timeliness)：它要求IDS必须尽快地分析数据并把分析结果传播出去，以使系统安全管理者能够在入侵攻击尚未造成更大危害以前做出反应，阻止入侵者进一步的破坏活动。和上面的处理性能因素相比，及时性的要求更高。它不仅要求IDS的处理速度要尽可能地快，而且要求传播、反映检测结果信息的时间尽可能少。

2．测试入侵检测系统的其他性能指标

有效性研究检测机制的检测精确度和系统检测结果的可信度，它是开发设计和应用IDS的前提和目的，是测试评估IDS的主要指标；效率则从检测机制的处理数据的速度以及经济性的角度来考虑，也就是侧重检测机制性能价格比的改进；可用性主要包括系统的可扩展性、用户界面的可用性及部署配置方便程度等方面。1)检测率、虚警率及检测可信度

检测率是指被监控系统在受到入侵攻击时，检测系统能够正确报警的概率。虚警率是指检测系统在检测时出现虚警的概率。检测可信度也就是检测系统检测结果的可信程度，这是测试评估IDS的最重要的指标。实际的IDS的实现总是在检测率和虚警率之间徘徊，检测率高了，虚警率就会提高；同样，虚警率降低了，检测率也就会降低。一般地，IDS产品会在两者中取一个折中，并且能够进行调整，以适应不同的网络环境。美国的林肯实验室用接收器特性(ROC，ReceiverOperatingCharacteristic)曲线来描述IDS的性能。该曲线准确刻画了IDS的检测率与虚警率之间的变化关系。ROC广泛用于输入不确定的系统的评估。根据一个IDS在不同的条件(在允许范围内变化的阈值，例如异常检测系统的报警门限等参数)下的虚警率和检测率，分别把虚警率和检测率作为横坐标和纵坐标，就可作出对应于该IDS的ROC曲线。ROC曲线与IDS的检测门限具有对应的关系。2)?IDS本身的抗攻击能力

和其他系统一样，IDS本身也往往存在安全漏洞。若对IDS攻击成功，则直接导致其报警失灵，入侵者在其后所做的行为将无法被记录。因此IDS首先必须保证自己的安全性。IDS本身的抗攻击能力也就是IDS的可靠性，用于衡量IDS对那些经过特别设计直接以IDS为攻击目标的攻击的抵抗能力