入侵检测系统的标准与评估

入侵检测系统的标准与评估

• 入侵检测的标准化工作
• 入侵检测系统的性能指标
• 网络入侵检测系统测试评估
• 测试评估内容
• 测试环境和测试软件
• 用户评估标准
• 入侵检测评估方案

入侵检测的标准化工作

• 入侵检测技术在最近几年发展迅速，但是相应的入侵检测标准化工作则进展缓慢。
• 当前有两个国际组织在进行这方面的工作，他们是Common Intrusion Detection Framework（CIDF）和IETF（Internet Engineering Task Force）下属的 Intrusion Detection Working Group（IDWG）
• 他们强调了入侵检测的不同方面，并从各自的角度进行了标准化工作。

CIDF的架构

CIDF的互操作

• 配置互操作：可相互发现并交换数据。
• 语法互操作：可正确识别交换的数据。
• 语义互操作：可相互正确理解交换的数据。

CIDF的协同方式-分析

CIDF的协同方式-互补

CIDF的协同方式-互纠

CIDF的协同方式-核实

CIDF的协同方式-调整

CIDF的协同方式-响应

CIDF的公共入侵规范语言（CISL）

• CIDF最主要的工作就是不同组件间所使用语言的标准化，CIDF的体系结构只是通信的背景。
• 在CIDF模型里，通过组件接收的输入流来驱动分析引警进行处理，并将结果传递到其它的部件。
• CIDF用通用入侵说明语言CISL对事件、分析结果、响应指示等过程进行表示说明，以达到IDS之间的语法互操作。
• CISL语言使用符号表达式（简称S-表达式），类似于LISP语言。

CIDF的通信机制

CIDF的标准化工作

• 通过组件标识查找，或更高层次上地通过特性查找通信双方的代理设施和查找协议。
• 使用正确（鉴别）、安全（加密）、有效的组件间通信协议。
• 定义了一种能使组件间互相理解的语言CISL。
• 说明了进行通信所用的主要的API

IDMEF

• 为了适应网络安全发展的需要，Internet网络工程部IETF（Internet Engineering Task Force）的入侵检测工作组（Internet Detection Working Group，简称IDG）负责进行入侵检测响应系统之间共享信息数据格式和交换信息方式的标准制订，制订了入侵检测信息交换格式（Intrusion Detection Message Exchange Format，缩写为 IDMEF）。
• IDMEF与CIDF类似，也是对组件间的通信进行了标准化，但它只标准化了一种通信场景，即数据处理模块和警告处理模块间的警告信息的通信
• 引入入侵检测信息交换格式的目的在于定义入侵检测模块和响应模块之间，以及可能需要和这两者通信的管理模块感兴趣的信息交换的数据格式和交换过程。

IDWG的主要工作

• 制定入侵检测消息交换需求文档。该文档内容有入侵检测系统之间通信的要求说明，同时还有入侵检测系统和管理系统之间通信的要求说明。
• 制定公共入侵语言规范。
• 制定一种入侵检测消息交换的体系结构，使得最适合于用目前已存在协议实现入侵检测系统之间的通

入侵检测消息数据模型

IDMEF总结

• IDMEF最大的特点就是充分利用了已有的较成熟的标准。
• 与CIDF相比较，在数据表示方面不仅在语法方面而且在语义方面都进行了详细的规定，方便了传输数据的解释，提高了解释的效率，但同时也降低了通用性，只能表达警告信息。
• 在通信方面，IDMEF各组件必须有通信对方的地址信息，这样效率很高。
• IDMEF通信可能考虑到安全边界问题，支持使用代理

IDMEF的入侵警告协议

• TCP连接建立
• 安全建立
• 通道的建立

评价入侵检测系统性能的标准

• 准确性（Accuracy）：指入侵检测系统能正确地检测出系统入侵活动。
• 完备性（Completeness）：指入侵检测系统能够检测出所有攻击行为的能力
• 容错性（Fault tolerance）：入侵检测系统自身必须能够抵御对它自身的攻击，特别是拒绝服务攻击（Denial of service）
• 及时性（Timeliness）：及时性要求入侵检测系统必须尽快地分析数据并把分析结果传播出去，以使系统安全管理者能够在入侵攻击尚未造成更大危害以前做出反应，阻止攻击者颠覆审计系统甚至入侵检测系统的企图。

影响入侵检测系统性能的参数

假设$I$与$\neg I$分别表示入侵行为和目标系统的正常行为，$A$代表检测系统发出了入侵报警，$\neg A$表示检测系统没有报警。

• 检测率：指被监控系统受到入侵攻击时，检测系统能够正确报警的概率，可表示为$P(A|I)$
• 虚警率：指检测系统在检测时出现虚警的概率$P(A|\neg I)$，可利用己知的系统正常行为实验数据集，通过系统仿真获得检测系统的近似虚警率。

性能测试

• IDS引擎的吞吐量：IDS在预先不加载攻击标签的情况下，处理原始的检测数据的能力。
• 包的重装：测试的目的是评估IDS的包的重装能力。例如，为了测试这个指标，可通过 Ping of Death攻击，IDs的入侵标签名库只有单一的Ping of Death标签，这时来测试IDS的响应情况。
• 过滤的效率：测试的目标是评估IDS在遭到攻击的情况下过滤器的接收、处理和报警的效率。这种测试可以用LAND攻击的基本包头为引导，这种包的特征是源地址等于目标地址

IDS功能测试配置图