網(wǎng)絡(luò )安全之入侵檢測技術(shù)

5.2.1及時(shí)性

及時(shí)性要求IDS必須盡快地分析數據并把分析結果傳播出去，以使系統安全管理者能夠在入侵攻擊尚未造成更大的危害之前做出反應，阻止入侵者進(jìn)一步的破壞活動(dòng)。要注意的是它不僅要求IDS產(chǎn)品的處理速度要盡可能地快，而且要求傳播、反應檢測結果信息的時(shí)間盡可能的少。

測試時(shí)可以應用以下場(chǎng)景：

1、查看測試產(chǎn)品最新的3個(gè)升級包，記錄升級時(shí)間間隔;

2、觀(guān)察在IDS不暫停工作的情況下是否可以完成升級;

3、測試IDS在升級過(guò)程中是否仍能檢測到攻擊事件。

5.2.2準確性

準確性指IDS從各種行為中正確的識別入侵的能力?？梢詮穆﹫舐屎驼`報率兩個(gè)方面來(lái)體現。誤報率是指系統在檢測時(shí)把正常的網(wǎng)絡(luò )活動(dòng)視為攻擊的概率。漏報率是指漏掉真正的攻擊而不報警的概率。

圖10 ROC曲線(xiàn)

實(shí)際上IDS的實(shí)現總是在漏報率和誤報率上追求平衡，要使兩者都為零，幾乎是不可能的。誤報率為零則表明很可能存在某些攻擊行為沒(méi)有被檢測出來(lái);漏報率為零則表明可能存在各種各樣的誤報。如果IDS設備能夠讓用戶(hù)自定義漏報率和誤報率的比例(比如安全級別，安全級別越高則漏報率越低，相應誤報率也可能越高)，那么最好還是保留一定的誤報會(huì )顯得比較安全，畢竟誤報比漏報要顯得安全。

雖然漏報率和誤報率不能同時(shí)為零，但是在測評時(shí)，我們還是希望這兩個(gè)數值越低越好?？梢酝ㄟ^(guò)一些黑客工具模擬攻擊行為，從而測試出IDS的漏報率和誤報率。

ROC曲線(xiàn)以圖形的方式來(lái)表示正確率和誤報率的關(guān)系。ROC曲線(xiàn)是基于正確報告率和誤報率的關(guān)系來(lái)描述的。這樣的圖稱(chēng)為諾模圖(Nomogram)，它在數學(xué)領(lǐng)域用于表示數字化的關(guān)系。選好一個(gè)臨界點(diǎn)(Cutoff Point)之后，就可以從圖中確定IDS的正確報告率和誤報率。曲線(xiàn)的形狀直接反映了IDS產(chǎn)品的準確性和總體品質(zhì)。如果一條直線(xiàn)向上，然后向右以45度角延伸，就是一個(gè)非常失敗的IDS，它毫無(wú)用處;相反，ROC曲線(xiàn)下方的區域越大，IDS的準確率越高。如圖2所示，IDS B的準確性高于IDS C，類(lèi)似地，IDS A在所有的IDS中具有最高的準確性。

可以通過(guò)一些測試工具模擬各種攻擊，來(lái)評測IDS的準確性。比如IDS Informer、IDS Wakeup、Sneeze的工具。

5.2.3完備性

完備性是指IDS能夠檢測出所有攻擊行為的能力。100%正確率實(shí)際上是一個(gè)無(wú)法達到的目標。如何評價(jià)IDS檢測的完備性呢?

1、可以通過(guò)查看幫助文件中廠(chǎng)商聲稱(chēng)可檢測的攻擊列表來(lái)做大致的了解，可以看看可檢測的各種攻擊都屬于那些協(xié)議，總共支持多少種應用層協(xié)議，以及該協(xié)議下檢測攻擊種類(lèi)的數量。

2、 可以查看進(jìn)一年內新增加的檢測規則占總規則數的比例，結果越大越好。

3、可以挑選一些近期流行的攻擊行為，進(jìn)行模擬測試。

5.2.4健壯性

健壯性即自身安全性，毫無(wú)疑問(wèn)，IDS程序本身的安全性也是衡量IDS系統好壞的一個(gè)重要指標。由于IDS是檢測入侵的重要手段，所以它也就成為很多入侵者攻擊的首選目標。和其他系統一樣IDS本身也往往存在安全漏洞。若對IDS攻擊成功將直接導致入侵行為無(wú)法被檢測。因此IDS自身必須能夠抵御攻擊，特別是DOS攻擊。

IDS的安全性，一般可以通過(guò)以下幾個(gè)方面來(lái)衡量：

1、所有重要數據的存儲和傳輸過(guò)程是否都經(jīng)過(guò)加密處理;

2、在網(wǎng)絡(luò )中的隱藏性，是否對于外界設備來(lái)說(shuō)是透明的;

3、不同級別的操作人員是否有不同的使用權限，以及這些權限分配是否合理。

5.2.5處理性能

處理性能主要從系統處理數據的能力已經(jīng)對資源消耗的程度等方面體現。比如：

1、處理速度：指IDS處理數據源數據的速度。

2、延遲時(shí)間：指在攻擊發(fā)生至IDS檢測到入侵之間的延遲時(shí)間。

3、資源的占用情況：即系統在到達某種檢測能力要求時(shí)，對資源的需求情況。

4、負荷能力：IDS有其設計的負荷能力，在超出負荷能力的情況下，性能會(huì )出現不同程度的下降。

5.2.6易用性

易用性是指和系統使用有關(guān)的一些方面，主要是指系統安裝、配置、管理、使用的方便程度、系統界面的友好程度和攻擊規則庫維護的簡(jiǎn)易程度等方面。

這個(gè)指標比較偏向于主觀(guān)判斷。但是也有一些客觀(guān)指標，比如：

1、是否有較多內容通過(guò)圖形表格方式描述;

2、幫助信息內容是否豐富并且可用;

3、是否有配置導航功能;

4、是否有保存系統配置的功能;

5、是否有足夠多的提示信息;

6、操作使用日志記錄是否完善;

5.3執行測試

5.3.1測試部署

在測試評估IDS的時(shí)候，很少會(huì )把IDS放在實(shí)際運行的網(wǎng)絡(luò )中，因為實(shí)際網(wǎng)絡(luò )環(huán)境是不可控的，并且網(wǎng)絡(luò )環(huán)境的專(zhuān)用性太強，所以要構建專(zhuān)用的網(wǎng)絡(luò )環(huán)境。圖3為入侵檢測系統測試組網(wǎng)示意圖。其中背景流量發(fā)生器用來(lái)生成網(wǎng)絡(luò )通信，攻擊機用來(lái)模擬入侵者發(fā)起攻擊，IDS網(wǎng)絡(luò )傳感器為待測試入侵檢測系統，目標機模擬網(wǎng)絡(luò )中被攻擊的機器。

圖11入侵檢測系統測試組網(wǎng)示意圖

下面是組網(wǎng)設備的詳細說(shuō)明：

1) 以太網(wǎng)交換機：一臺具備將全部端口鏡像到一個(gè)目的端口功能的以太網(wǎng)交換機。用于將流量鏡像到IDS網(wǎng)絡(luò )傳感器。

2) 攻擊機：攻擊機預裝掃描工具Nessus和Informer、Wakeup、Sneeze等互聯(lián)網(wǎng)安全攻擊工具。

3) 目標機：目標機安裝和開(kāi)啟各類(lèi)應用服務(wù)，作為被攻擊對象。

4) 背景流量發(fā)生器：使用IP InterEmulator或其它網(wǎng)絡(luò )仿真系統，可以產(chǎn)生應用層協(xié)議流量作為背景流量。

5) IDS網(wǎng)絡(luò )傳感器：被測的IDS設備。

6) IDS管理控制臺：用于管理IDS設備的機器。