網(wǎng)絡(luò)安全之入侵檢測技術(shù)

5.2.1及時性

及時性要求IDS必須盡快地分析數(shù)據(jù)并把分析結(jié)果傳播出去，以使系統(tǒng)安全管理者能夠在入侵攻擊尚未造成更大的危害之前做出反應(yīng)，阻止入侵者進(jìn)一步的破壞活動。要注意的是它不僅要求IDS產(chǎn)品的處理速度要盡可能地快，而且要求傳播、反應(yīng)檢測結(jié)果信息的時間盡可能的少。

測試時可以應(yīng)用以下場景：

1、查看測試產(chǎn)品最新的3個升級包，記錄升級時間間隔;

2、觀察在IDS不暫停工作的情況下是否可以完成升級;

3、測試IDS在升級過程中是否仍能檢測到攻擊事件。

5.2.2準(zhǔn)確性

準(zhǔn)確性指IDS從各種行為中正確的識別入侵的能力?？梢詮穆﹫舐屎驼`報率兩個方面來體現(xiàn)。誤報率是指系統(tǒng)在檢測時把正常的網(wǎng)絡(luò)活動視為攻擊的概率。漏報率是指漏掉真正的攻擊而不報警的概率。

圖10 ROC曲線

實際上IDS的實現(xiàn)總是在漏報率和誤報率上追求平衡，要使兩者都為零，幾乎是不可能的。誤報率為零則表明很可能存在某些攻擊行為沒有被檢測出來;漏報率為零則表明可能存在各種各樣的誤報。如果IDS設(shè)備能夠讓用戶自定義漏報率和誤報率的比例(比如安全級別，安全級別越高則漏報率越低，相應(yīng)誤報率也可能越高)，那么最好還是保留一定的誤報會顯得比較安全，畢竟誤報比漏報要顯得安全。

雖然漏報率和誤報率不能同時為零，但是在測評時，我們還是希望這兩個數(shù)值越低越好?？梢酝ㄟ^一些黑客工具模擬攻擊行為，從而測試出IDS的漏報率和誤報率。

ROC曲線以圖形的方式來表示正確率和誤報率的關(guān)系。ROC曲線是基于正確報告率和誤報率的關(guān)系來描述的。這樣的圖稱為諾模圖(Nomogram)，它在數(shù)學(xué)領(lǐng)域用于表示數(shù)字化的關(guān)系。選好一個臨界點(Cutoff Point)之后，就可以從圖中確定IDS的正確報告率和誤報率。曲線的形狀直接反映了IDS產(chǎn)品的準(zhǔn)確性和總體品質(zhì)。如果一條直線向上，然后向右以45度角延伸，就是一個非常失敗的IDS，它毫無用處;相反，ROC曲線下方的區(qū)域越大，IDS的準(zhǔn)確率越高。如圖2所示，IDS B的準(zhǔn)確性高于IDS C，類似地，IDS A在所有的IDS中具有最高的準(zhǔn)確性。

可以通過一些測試工具模擬各種攻擊，來評測IDS的準(zhǔn)確性。比如IDS Informer、IDS Wakeup、Sneeze的工具。

5.2.3完備性

完備性是指IDS能夠檢測出所有攻擊行為的能力。100%正確率實際上是一個無法達(dá)到的目標(biāo)。如何評價IDS檢測的完備性呢?

1、可以通過查看幫助文件中廠商聲稱可檢測的攻擊列表來做大致的了解，可以看看可檢測的各種攻擊都屬于那些協(xié)議，總共支持多少種應(yīng)用層協(xié)議，以及該協(xié)議下檢測攻擊種類的數(shù)量。

2、 可以查看進(jìn)一年內(nèi)新增加的檢測規(guī)則占總規(guī)則數(shù)的比例，結(jié)果越大越好。

3、可以挑選一些近期流行的攻擊行為，進(jìn)行模擬測試。

5.2.4健壯性

健壯性即自身安全性，毫無疑問，IDS程序本身的安全性也是衡量IDS系統(tǒng)好壞的一個重要指標(biāo)。由于IDS是檢測入侵的重要手段，所以它也就成為很多入侵者攻擊的首選目標(biāo)。和其他系統(tǒng)一樣IDS本身也往往存在安全漏洞。若對IDS攻擊成功將直接導(dǎo)致入侵行為無法被檢測。因此IDS自身必須能夠抵御攻擊，特別是DOS攻擊。

IDS的安全性，一般可以通過以下幾個方面來衡量：

1、所有重要數(shù)據(jù)的存儲和傳輸過程是否都經(jīng)過加密處理;

2、在網(wǎng)絡(luò)中的隱藏性，是否對于外界設(shè)備來說是透明的;

3、不同級別的操作人員是否有不同的使用權(quán)限，以及這些權(quán)限分配是否合理。

5.2.5處理性能

處理性能主要從系統(tǒng)處理數(shù)據(jù)的能力已經(jīng)對資源消耗的程度等方面體現(xiàn)。比如：

1、處理速度：指IDS處理數(shù)據(jù)源數(shù)據(jù)的速度。

2、延遲時間：指在攻擊發(fā)生至IDS檢測到入侵之間的延遲時間。

3、資源的占用情況：即系統(tǒng)在到達(dá)某種檢測能力要求時，對資源的需求情況。

4、負(fù)荷能力：IDS有其設(shè)計的負(fù)荷能力，在超出負(fù)荷能力的情況下，性能會出現(xiàn)不同程度的下降。

5.2.6易用性

易用性是指和系統(tǒng)使用有關(guān)的一些方面，主要是指系統(tǒng)安裝、配置、管理、使用的方便程度、系統(tǒng)界面的友好程度和攻擊規(guī)則庫維護(hù)的簡易程度等方面。

這個指標(biāo)比較偏向于主觀判斷。但是也有一些客觀指標(biāo)，比如：

1、是否有較多內(nèi)容通過圖形表格方式描述;

2、幫助信息內(nèi)容是否豐富并且可用;

3、是否有配置導(dǎo)航功能;

4、是否有保存系統(tǒng)配置的功能;

5、是否有足夠多的提示信息;

6、操作使用日志記錄是否完善;

5.3執(zhí)行測試

5.3.1測試部署

在測試評估IDS的時候，很少會把IDS放在實際運行的網(wǎng)絡(luò)中，因為實際網(wǎng)絡(luò)環(huán)境是不可控的，并且網(wǎng)絡(luò)環(huán)境的專用性太強，所以要構(gòu)建專用的網(wǎng)絡(luò)環(huán)境。圖3為入侵檢測系統(tǒng)測試組網(wǎng)示意圖。其中背景流量發(fā)生器用來生成網(wǎng)絡(luò)通信，攻擊機用來模擬入侵者發(fā)起攻擊，IDS網(wǎng)絡(luò)傳感器為待測試入侵檢測系統(tǒng)，目標(biāo)機模擬網(wǎng)絡(luò)中被攻擊的機器。

圖11入侵檢測系統(tǒng)測試組網(wǎng)示意圖

下面是組網(wǎng)設(shè)備的詳細(xì)說明：

1) 以太網(wǎng)交換機：一臺具備將全部端口鏡像到一個目的端口功能的以太網(wǎng)交換機。用于將流量鏡像到IDS網(wǎng)絡(luò)傳感器。

2) 攻擊機：攻擊機預(yù)裝掃描工具Nessus和Informer、Wakeup、Sneeze等互聯(lián)網(wǎng)安全攻擊工具。

3) 目標(biāo)機：目標(biāo)機安裝和開啟各類應(yīng)用服務(wù)，作為被攻擊對象。

4) 背景流量發(fā)生器：使用IP InterEmulator或其它網(wǎng)絡(luò)仿真系統(tǒng)，可以產(chǎn)生應(yīng)用層協(xié)議流量作為背景流量。

5) IDS網(wǎng)絡(luò)傳感器：被測的IDS設(shè)備。

6) IDS管理控制臺：用于管理IDS設(shè)備的機器。