入侵檢測系統(tǒng)評估_第1頁
入侵檢測系統(tǒng)評估_第2頁
入侵檢測系統(tǒng)評估_第3頁
入侵檢測系統(tǒng)評估_第4頁
入侵檢測系統(tǒng)評估_第5頁
已閱讀5頁,還剩26頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

入侵檢測系統(tǒng)評估第一頁,共三十一頁,編輯于2023年,星期二

6.1入侵檢測系統(tǒng)的主要性能參數(shù)

在對入侵檢測系統(tǒng)的性能進(jìn)行分析時(shí),應(yīng)重點(diǎn)考慮檢測的有效性、效率和可用性。

有效性:研究檢測機(jī)制的檢測精確度和系統(tǒng)報(bào)警的可信度,它是開發(fā)設(shè)計(jì)和應(yīng)用IDS的前提和目的,是測試評估IDS的主要指標(biāo)。

效率:從檢測機(jī)制處理數(shù)據(jù)的速度以及經(jīng)濟(jì)角度來考慮,側(cè)重檢測機(jī)制性能價(jià)格比的改進(jìn)。第二頁,共三十一頁,編輯于2023年,星期二6.1.1檢測率、虛報(bào)率與報(bào)警可信度

人們希望檢測系統(tǒng)能夠最大限度地把系統(tǒng)中的入侵行為與正常行為區(qū)分開來,這就涉及到入侵檢測系統(tǒng)對系統(tǒng)正常行為(或入侵行為)的描述方式、檢測模型與檢測算法的選擇。

如果檢測系統(tǒng)不能夠精確地描述系統(tǒng)的正常行為(或入侵行為),那么,系統(tǒng)必然會出現(xiàn)各種誤報(bào)。如果檢測系統(tǒng)把系統(tǒng)的“正常行為”作為“異常行為”進(jìn)行報(bào)警,這種情況就是虛報(bào)(FalsePositive)。如果檢測系統(tǒng)對部分針對系統(tǒng)的入侵活動不能識別、報(bào)警,這種情況被稱做漏報(bào)(FalseNegative)。第三頁,共三十一頁,編輯于2023年,星期二

1.檢測率與虛報(bào)率

可以用貝葉斯理論來分析基于異常性檢測的入侵檢測系統(tǒng)的檢測率、虛報(bào)率與報(bào)警可信度之間的關(guān)系,并在此基礎(chǔ)上分析它們對異常性檢測算法性能的影響。

入侵檢測問題可看做是一個(gè)簡單的二值假設(shè)檢驗(yàn)問題。首先給出一系列相關(guān)的定義和符號:

假設(shè)I與I分別表示入侵行為和目標(biāo)系統(tǒng)的正常行為,A代表檢測系統(tǒng)發(fā)出入侵報(bào)警,A表示檢測系統(tǒng)沒有報(bào)警。

檢測率:被監(jiān)控系統(tǒng)受到入侵攻擊時(shí),檢測系統(tǒng)能夠正確報(bào)警的概率,可表示為P(A/I)。通常利用已知入侵攻擊的實(shí)驗(yàn)數(shù)據(jù)集合來測試入侵檢測系統(tǒng)的檢測率。第四頁,共三十一頁,編輯于2023年,星期二虛報(bào)率:指檢測系統(tǒng)在檢測時(shí)出現(xiàn)虛報(bào)警的概率,可表示為P(A/I)??衫靡阎南到y(tǒng)正常行為作為實(shí)驗(yàn)數(shù)據(jù)集,通過系統(tǒng)仿真獲得檢測系統(tǒng)的近似虛報(bào)率。

另外,概率P(A/I)代表檢測系統(tǒng)的漏報(bào)率,P(A/I)則指目標(biāo)系統(tǒng)正常(沒有入侵攻擊)的情況下,檢測系統(tǒng)不報(bào)警的概率。顯然有第五頁,共三十一頁,編輯于2023年,星期二在實(shí)際應(yīng)用中,主要關(guān)注的是一個(gè)入侵檢測系統(tǒng)的報(bào)警結(jié)果能否正確地反映目標(biāo)系統(tǒng)的安全狀態(tài)。下面的兩個(gè)參數(shù)則從報(bào)警信息的可信度方面考慮檢測系統(tǒng)的性能:

P(A/I)給出了檢測系統(tǒng)報(bào)警信息的可信度,即檢測系統(tǒng)報(bào)警時(shí),目標(biāo)系統(tǒng)正受到入侵攻擊的概率。

P(A/I)給出了檢測系統(tǒng)未發(fā)出報(bào)警信息的可信度,即檢測系統(tǒng)未報(bào)警時(shí),目標(biāo)系統(tǒng)未受到入侵攻擊的概率。

為使入侵檢測系統(tǒng)更有效,系統(tǒng)的這兩個(gè)參數(shù)的值越大越好。根據(jù)貝葉斯定理可以得出這兩個(gè)參數(shù)的計(jì)算公式:(6.1)第六頁,共三十一頁,編輯于2023年,星期二同理:(6.2)第七頁,共三十一頁,編輯于2023年,星期二在實(shí)際應(yīng)用過程中,檢測率的好壞是由IDS的兩個(gè)部分決定的。一是IDS的抓包能力,二是IDS的檢測引擎。為了達(dá)到100%的檢測率,IDS首先要把需要的數(shù)據(jù)包全部抓上來,送給檢測引擎。在網(wǎng)絡(luò)流量相同的情況下,數(shù)據(jù)包越小,數(shù)據(jù)包的個(gè)數(shù)就越多,IDS的抓包引擎是對數(shù)據(jù)包一個(gè)一個(gè)進(jìn)行處理的,因此數(shù)據(jù)包越小,抓包引擎能處理的網(wǎng)絡(luò)流量就越小。相比之下,數(shù)據(jù)包的大小對IDS檢測引擎的影響程度較小,因?yàn)殡m然檢測引擎對每個(gè)數(shù)據(jù)包都要解析數(shù)據(jù)包頭,但它同樣要檢測每個(gè)數(shù)據(jù)包的內(nèi)容,總量是一樣的,因此數(shù)據(jù)包的大小對檢測引擎基本沒有影響。第八頁,共三十一頁,編輯于2023年,星期二數(shù)據(jù)包抓上來之后,需要經(jīng)過檢測引擎的檢測才能引發(fā)告警。在檢測引擎的處理過程中,數(shù)據(jù)包的各種因素都會影響檢測引擎的效率。不同的IDS產(chǎn)品因?yàn)槠錂z測引擎中對數(shù)據(jù)包的處理有側(cè)重點(diǎn),因此不同內(nèi)容的背景數(shù)據(jù)流會嚴(yán)重影響產(chǎn)品的檢測率。當(dāng)通過不同內(nèi)容的背景數(shù)據(jù)流,可以判斷出IDS檢測引擎在某些方面的優(yōu)劣。數(shù)據(jù)包中的數(shù)據(jù)內(nèi)容也很關(guān)鍵,如果背景數(shù)據(jù)流中包含大量敏感的關(guān)鍵字,能引發(fā)一種IDS產(chǎn)品告警,而對另一種IDS產(chǎn)品可能并不引發(fā)告警,這樣的數(shù)據(jù)包內(nèi)容就影響了引擎的效率。即使在不引發(fā)告警的條件下,背景數(shù)據(jù)流的數(shù)據(jù)內(nèi)容也對檢測引擎影響很大。第九頁,共三十一頁,編輯于2023年,星期二實(shí)際上IDS的實(shí)現(xiàn)總是在檢測率和虛報(bào)率之間徘徊,檢測率高了,虛報(bào)率就會提高;同樣,虛報(bào)率降低了,檢測率也就會降低。一般地,IDS產(chǎn)品會在兩者中取一個(gè)折中,并且能夠進(jìn)行調(diào)整,以適應(yīng)不同的網(wǎng)絡(luò)環(huán)境。美國的林肯實(shí)驗(yàn)室用接收器特性(ReceiverOperatingCharacteristic,ROC)曲線來描述IDS的性能。該曲線準(zhǔn)確刻畫了IDS的檢測率與虛報(bào)率之間的變化關(guān)系。ROC廣泛用于輸入不確定的系統(tǒng)的評估。根據(jù)一個(gè)IDS在不同的條件(在允許范圍內(nèi)變化的閾值,例如異常檢測系統(tǒng)的報(bào)警門限等參數(shù))下的虛報(bào)率和檢測率,分別把虛報(bào)率和檢測率作為橫坐標(biāo)和縱坐標(biāo),就可做出對應(yīng)于該IDS的ROC曲線。ROC曲線與IDS的檢測門限具有對應(yīng)的關(guān)系。第十頁,共三十一頁,編輯于2023年,星期二在現(xiàn)實(shí)中,虛報(bào)不會引起什么危害,因?yàn)槭录旧硎且粋€(gè)正常的事件。虛報(bào)的壞處可能就是浪費(fèi)了安全管理員的一些閱讀和檢查的時(shí)間;而漏報(bào)則是一個(gè)很嚴(yán)重的錯誤。實(shí)際上,漏報(bào)就等于入侵事件沒有被檢測出來,對系統(tǒng)可能會引起很大的危害。

通常來講,如果一個(gè)系統(tǒng)的虛報(bào)越多,它的漏報(bào)就越少。反過來,如果虛報(bào)越少,漏報(bào)則可能會越多。這是因?yàn)?,虛?bào)越多表示入侵檢測系統(tǒng)對事件的警覺程度越高,這樣,它忽略入侵的事件造成漏報(bào)的可能性就越小。從檢測技術(shù)的角度來看,入侵檢測系統(tǒng)對事件的警覺程度越高意味著檢測算法對入侵事件的約束條件越緊;如果虛報(bào)越少,表示入侵檢測系統(tǒng)對事件的警覺程度越低,這樣,它忽略入侵事件的可能性就越大,也就是說,入侵檢測系統(tǒng)對事件的警覺程度越低,意味著檢測算法對入侵事件的約束條件越寬松。所以,誤用檢測技術(shù)所造成的虛報(bào)并不高,但很可能會漏掉一些入侵事件,特別是新的入侵類型。第十一頁,共三十一頁,編輯于2023年,星期二

2.ROC曲線

ROC曲線以圖形方式來表示正確報(bào)告率和誤報(bào)率的關(guān)系。ROC曲線是基于正確報(bào)告率和誤報(bào)率的關(guān)系來描述的。這樣的圖稱為諾模圖(Nomo-gram),它在數(shù)學(xué)領(lǐng)域用于表示數(shù)字化的關(guān)系。選好一個(gè)臨界點(diǎn)(CutoffPoint)之后,就可以從圖中確定IDS的正確報(bào)告率和誤報(bào)率。曲線的形狀直接反映了IDS產(chǎn)品的準(zhǔn)確性和總體品質(zhì)。如果一條直線向上,然后向右方以45°角延伸,就是一個(gè)非常失敗的IDS,它毫無用處;相反,ROC曲線下方的區(qū)域越大,IDS的準(zhǔn)確率越高。如圖6.1所示,IDSB的準(zhǔn)確性高于IDSC,類似地,IDSA在所有的IDS中具有最高的準(zhǔn)確性。第十二頁,共三十一頁,編輯于2023年,星期二圖6.1

ROC曲線第十三頁,共三十一頁,編輯于2023年,星期二在測試評估IDS的具體實(shí)施過程中,除了要IDS的檢測率和虛報(bào)率之外,往往還會單獨(dú)考慮與這兩個(gè)指標(biāo)密切相關(guān)的一些因素,比如能檢測的入侵特征數(shù)量、IP碎片重組能力、TCP流重組能力。顯然,能檢測的入侵特征數(shù)量越多,檢測率也就越高。此外,由于攻擊者為了加大檢測的難度甚至繞過IDS的檢測,常常會發(fā)送一些特別設(shè)計(jì)的分組。為了提高IDS的檢測率,降低IDS的虛報(bào)率,IDS常常需要采取一些相應(yīng)的措施,比如IP碎片能力、TCP流重組。由于分析單個(gè)的數(shù)據(jù)分組會導(dǎo)致許多誤報(bào)和漏報(bào),所以IP碎片的重組可以提高檢測的精確度。IP碎片重組的評測標(biāo)準(zhǔn)有三個(gè)性能參數(shù):能重組的最大IP分片數(shù)、能同時(shí)重組的IP分組數(shù)、能進(jìn)行重組的最大IP數(shù)據(jù)分組的長度。TCP流重組是為了對完整的網(wǎng)絡(luò)對話進(jìn)行分析,它是網(wǎng)絡(luò)IDS對應(yīng)用層進(jìn)行分析的基礎(chǔ),如檢查郵件內(nèi)容和附件、檢查FTP傳輸?shù)臄?shù)據(jù)、禁止訪問有害網(wǎng)站、判斷非法HTTP請求等。這些因素都會直接影響IDS的檢測可信度。第十四頁,共三十一頁,編輯于2023年,星期二6.1.2抗攻擊能力

和其它系統(tǒng)一樣,IDS本身也往往存在安全漏洞。若對IDS攻擊成功,則直接導(dǎo)致其報(bào)警失靈,入侵者在其后所作的行為將無法被記錄,因此IDS首先必須保證自己的安全性。IDS本身的抗攻擊能力也就是IDS的可靠性,用于衡量IDS對那些經(jīng)過特別設(shè)計(jì)直接以IDS為攻擊目標(biāo)的攻擊的抵抗能力。它主要體現(xiàn)在兩個(gè)方面:一是程序本身在各種網(wǎng)絡(luò)環(huán)境下能夠正常工作;二是程序各個(gè)模塊之間的通信能夠不被破壞,不可仿冒,此外要特別考慮抵御拒絕服務(wù)攻擊的能力。如果IDS本身不能正常運(yùn)行,也就失去了它的保護(hù)意義。而如果系統(tǒng)各模塊間的通信遭到破壞,那系統(tǒng)的報(bào)警之類的檢測結(jié)果也就值得懷疑,應(yīng)該有一個(gè)良好的通信機(jī)制保證模塊間通信的安全并能在出問題時(shí)能夠迅速恢復(fù)。第十五頁,共三十一頁,編輯于2023年,星期二6.1.3其它性能指標(biāo)

1.延遲時(shí)間

檢測延遲指的是在攻擊發(fā)生至IDS檢測到入侵之間的延遲時(shí)間。延遲時(shí)間的長短直接關(guān)系著入侵攻擊破壞的程度。

2.資源的占用情況

資源的占用情況是指系統(tǒng)在達(dá)到某種檢測有效性時(shí)對資源的需求情況。通常,在同等檢測有效性的前提下,對資源的要求越低,IDS的性能越好,檢測入侵的能力也就越強(qiáng)。第十六頁,共三十一頁,編輯于2023年,星期二

3.負(fù)荷能力

IDS有其設(shè)計(jì)的負(fù)荷能力,在超出負(fù)荷能力的情況下,性能會出現(xiàn)不同程度的下降。比如,在正常情況下IDS可檢測到某攻擊,但在負(fù)荷大的情況下可能就檢測不出該攻擊??疾鞕z測系統(tǒng)的負(fù)荷能力就是觀察不同大小的網(wǎng)絡(luò)流量、不同強(qiáng)度的CPU內(nèi)存等系統(tǒng)資源的使用對IDS的關(guān)鍵指標(biāo)(比如檢測率、虛警率)的影響。第十七頁,共三十一頁,編輯于2023年,星期二

4.日志、報(bào)警、報(bào)告以及響應(yīng)能力

日志能力是指檢測系統(tǒng)保存日志的能力,按照特定要求選取日志內(nèi)容的能力。報(bào)警能力是指在檢測到入侵后,向特權(quán)部件、人員發(fā)送報(bào)警信號的能力以及在報(bào)警中附加信息的能力。報(bào)告能力是指產(chǎn)生入侵行為報(bào)告、提供查詢報(bào)告、創(chuàng)建和保存報(bào)告的能力。響應(yīng)能力是指在檢測到入侵后進(jìn)一步處理的能力,這包括阻斷入侵、跟蹤入侵者、記錄入侵證據(jù)等。

5.系統(tǒng)的可用性

系統(tǒng)的可用性主要是指系統(tǒng)安裝、配置、管理、使用的方便程度,系統(tǒng)界面的友好程度,攻擊規(guī)則庫維護(hù)的簡易程度等方面。第十八頁,共三十一頁,編輯于2023年,星期二

6.檢測范圍

通常情況下,一個(gè)IDS能檢測到的攻擊是有一定范圍的。檢測范圍的考察,就是在一定的攻擊分類標(biāo)準(zhǔn)下,考察IDS對不同類型攻擊的檢測能力。

由此可以看出,IDS是個(gè)比較復(fù)雜的系統(tǒng),對IDS進(jìn)行測試和評估不僅和IDS本身有關(guān),還與應(yīng)用IDS的環(huán)境有關(guān)。測試過程中涉及到操作環(huán)境、網(wǎng)絡(luò)環(huán)境、工具、軟件、硬件等方面,既要考慮入侵檢測的效果如何,也要考慮應(yīng)用該系統(tǒng)后它對實(shí)際系統(tǒng)的影響,有時(shí)要折中考慮這兩種因素。綜合起來,入侵檢測系統(tǒng)性能的參數(shù)主要有:檢測率、虛報(bào)率、漏報(bào)率、不報(bào)率等,從而可以由此計(jì)算出檢測系統(tǒng)報(bào)警信息的可信度。第十九頁,共三十一頁,編輯于2023年,星期二

6.2入侵檢測系統(tǒng)評估標(biāo)準(zhǔn)

6.2.1準(zhǔn)確性(Accuracy)

準(zhǔn)確性指入侵檢測系統(tǒng)能在各種行為中正確地檢測出系統(tǒng)入侵活動的能力。當(dāng)一個(gè)入侵檢測系統(tǒng)的檢測不準(zhǔn)確時(shí),它就可能把系統(tǒng)中的合法活動當(dāng)作入侵行為并標(biāo)識為異常(虛警現(xiàn)象)。

準(zhǔn)確性主要是指研究檢測機(jī)制的精確度和系統(tǒng)檢測結(jié)果的可信度。準(zhǔn)確性包含幾個(gè)指標(biāo),即報(bào)警準(zhǔn)確度(又稱檢測率、靈敏度)、誤警率、檢測可信度。這些指標(biāo)既是開發(fā)和應(yīng)用IDS的前提和目的,又是測試評估的主要指標(biāo)。其中,第二十頁,共三十一頁,編輯于2023年,星期二具備較高的報(bào)警準(zhǔn)確率是IDS的關(guān)鍵,是否智能、準(zhǔn)確地報(bào)告非法入侵行為成為衡量一個(gè)入侵檢測產(chǎn)品優(yōu)劣的首要內(nèi)容。誤警率指錯誤報(bào)警或未報(bào)警的比率,包括虛警率和漏報(bào)率,其中,報(bào)警準(zhǔn)確率和誤警率是衡量IDS效率的兩個(gè)重要指標(biāo)。誤警率和漏報(bào)率應(yīng)盡量低。檢測可信度指某一次報(bào)警是真實(shí)的報(bào)警(正確檢測)的概率,反映的是檢測系統(tǒng)檢測結(jié)果的可信程度,也是IDS的重要指標(biāo),其取值與報(bào)警的次數(shù)、報(bào)警已逝去的時(shí)間等都有關(guān)系。第二十一頁,共三十一頁,編輯于2023年,星期二評估IDS的準(zhǔn)確性除了要考察以上指標(biāo)外,還應(yīng)該單獨(dú)考慮如下指標(biāo)(但這些指標(biāo)并不僅僅只反映IDS的準(zhǔn)確性):是否支持事件特征自定義、是否支持多級分布式結(jié)構(gòu)和事件歸并、能檢測的入侵特征數(shù)量、IP碎片重組能力、TCP流重組能力、IDS對網(wǎng)絡(luò)流量的分析是否能達(dá)到足夠的抽樣比例、系統(tǒng)對變形攻擊的檢測能力、系統(tǒng)對碎片重組的檢測能力、系統(tǒng)對未發(fā)現(xiàn)漏洞特征的預(yù)報(bào)警能力、是否具有較低的漏報(bào)率、系統(tǒng)是否采取有效措施降低誤報(bào)率、是否具有高的報(bào)警成功率、在線升級和入侵檢測規(guī)則庫的更新是否快捷有效等。第二十二頁,共三十一頁,編輯于2023年,星期二6.2.2完備性(Completeness)

完備性是指入侵檢測系統(tǒng)能夠檢測出所有攻擊行為的能力。如果存在一個(gè)攻擊行為,無法被入侵檢測系統(tǒng)檢測出來,那么該入侵檢測系統(tǒng)就不具有檢測完備性。由于在一般情況下,很難得到關(guān)于攻擊行為以及對系統(tǒng)特權(quán)濫用行為的所有知識,所以關(guān)于入侵檢測系統(tǒng)的檢測完備性的評估要相對困難得多。

由于通常不可能存在具有檢測完備性的IDS,因此提出一個(gè)新的概念:完備度。第二十三頁,共三十一頁,編輯于2023年,星期二6.2.3容錯性(FaultTolerance)

IDS本身也是會存在安全漏洞的,若對入侵檢測系統(tǒng)攻擊成功,則會直接導(dǎo)致IDS報(bào)警失靈,系統(tǒng)將無法記錄入侵者在其后的所作所為。因此要求檢測系統(tǒng)必須是可容錯的,即使系統(tǒng)崩潰,檢測系統(tǒng)本身必須能保留下來,而不必重啟系統(tǒng)時(shí)必須重建知識庫。入侵檢測系統(tǒng)自身必須能夠抵御對它自身的攻擊,特別是拒絕服務(wù)攻擊(DenialOfService)。拒絕服務(wù)攻擊是指攻擊者通過某種手段,有意地造成計(jì)算機(jī)或網(wǎng)絡(luò)不能正常運(yùn)轉(zhuǎn)從而不能向合法用戶提供所需要的服務(wù)或者降低其提供的服務(wù)質(zhì)量。由于大多數(shù)入侵檢測系統(tǒng)是運(yùn)行在極易遭受攻擊的操作系統(tǒng)和硬件平臺上,這就使得系統(tǒng)的容錯性變得特別重要,在設(shè)計(jì)入侵檢測系統(tǒng)時(shí)必須考慮。第二十四頁,共三十一頁,編輯于2023年,星期二6.2.4及時(shí)性(Timeliness)

系統(tǒng)必須及時(shí)發(fā)現(xiàn)各種入侵行為,理想情況是事先發(fā)現(xiàn)攻擊企圖,比較現(xiàn)實(shí)的情況則是在攻擊行為發(fā)生的過程中檢測到攻擊行為。及時(shí)性要求系統(tǒng)必須盡快地分析數(shù)據(jù)并把分析結(jié)果傳播出去,以使系統(tǒng)安全管理者能夠在入侵攻擊尚未造成更大危害以前做出反應(yīng),阻止攻擊者顛覆審計(jì)系統(tǒng)甚至入侵檢測系統(tǒng)的企圖。如果是事后才發(fā)現(xiàn)攻擊的結(jié)果則必須保證時(shí)效性,因?yàn)橐粋€(gè)已經(jīng)被攻擊過的系統(tǒng)往往意味著后門引入以及后續(xù)的攻擊行為。和上面的處理性能因素相比,及時(shí)性要求更高。它不僅要求入侵檢測系統(tǒng)的處理速度要盡可能地快,而且要求傳播、反應(yīng)檢測結(jié)果信息的時(shí)間盡可能少。反映及時(shí)性的幾個(gè)重要指標(biāo)是延遲時(shí)間、檢測時(shí)間、分析和關(guān)聯(lián)時(shí)間、響應(yīng)時(shí)間等。第二十五頁,共三十一頁,編輯于2023年,星期二6.2.5處理性能(Performance)

處理性能是指一個(gè)入侵檢測系統(tǒng)處理審計(jì)數(shù)據(jù)的速度。顯然,當(dāng)入侵檢測系統(tǒng)的處理性能較差時(shí),它就不可能實(shí)現(xiàn)實(shí)時(shí)的入侵檢測。

此外,一個(gè)完整的入侵檢測系統(tǒng)必須具備下列特點(diǎn):

(1)經(jīng)濟(jì)性。為了保證系統(tǒng)安全策略的實(shí)施而引入的入侵檢測系統(tǒng)必須不妨礙系統(tǒng)的正常運(yùn)行。

(2)安全性。入侵檢測系統(tǒng)自身必須安全,如果入侵檢測系統(tǒng)自身的安全性得不到保障,則意味著信息的無效,更為嚴(yán)重的是,入侵者控制了入侵檢測系統(tǒng)即獲得了對系統(tǒng)的控制權(quán),因?yàn)橐话闱闆r下,入侵檢測系統(tǒng)都是以特權(quán)狀態(tài)運(yùn)行的。第二十六頁,共三十一頁,編輯于2023年,星期二(3)可擴(kuò)展性??蓴U(kuò)展性有兩方面的意義:一是機(jī)制與數(shù)據(jù)的分離,在現(xiàn)在機(jī)制不變的前提下能夠?qū)π碌墓暨M(jìn)行檢測,例如,使用特征碼來表示攻擊特性;二是體系結(jié)構(gòu)的可擴(kuò)展性,在有必要的時(shí)候可以在不對系統(tǒng)的整體結(jié)構(gòu)進(jìn)行修改的前提下加強(qiáng)檢測手段,以保證能夠檢測到新的攻擊,如AAFID系統(tǒng)的代謝機(jī)制。

IDS系統(tǒng)最終是要為用戶服務(wù)的,基于用戶的角度,可以簡單羅列出以下幾方面來評估IDS是否滿足用戶的需要:第二十七頁,共三十一頁,編輯于2023年,星期二(1)IDS產(chǎn)品標(biāo)識。

(2)IDS系統(tǒng)的文檔和技術(shù)支持。

(3)IDS系統(tǒng)功能。

(4)IDS的報(bào)告和審計(jì)能力。

(5)IDS系統(tǒng)的檢測和響應(yīng)。

(6)IDS的安全管理能力。

(7)產(chǎn)品安裝和服務(wù)支持。第二十八頁,共三十一頁,編輯于2023年,星期二評估入侵檢測系統(tǒng)非常困難,涉及到操作系統(tǒng)、網(wǎng)絡(luò)環(huán)境、工具、軟件、硬件和數(shù)據(jù)庫等技術(shù)方面的問題。IDS目前沒有工業(yè)標(biāo)準(zhǔn)可參考來評測,由于入侵檢測技術(shù)太新,為了跟上市場的增長步伐,商業(yè)的IDS新產(chǎn)品周期更新非???。市場化的IDS產(chǎn)品很少去說明如何發(fā)現(xiàn)入侵者和日常運(yùn)行所需

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論