入侵檢測系統的標準與評估

入侵檢測系統的標準與評估

• 入侵檢測的標準化工作
• 入侵檢測系統的性能指標
• 網絡入侵檢測系統測試評估
• 測試評估內容
• 測試環境和測試軟件
• 用戶評估標準
• 入侵檢測評估方案

入侵檢測的標準化工作

• 入侵檢測技術在最近幾年發展迅速，但是相應的入侵檢測標準化工作則進展緩慢。
• 當前有兩個國際組織在進行這方面的工作，他們是Common Intrusion Detection Framework（CIDF）和IETF（Internet Engineering Task Force）下屬的 Intrusion Detection Working Group（IDWG）
• 他們強調了入侵檢測的不同方面，並從各自的角度進行了標準化工作。

CIDF的架構

CIDF的互操作

• 配置互操作：可相互發現並交換數據。
• 語法互操作：可正確識別交換的數據。
• 語義互操作：可相互正確理解交換的數據。

CIDF的協同方式-分析

CIDF的協同方式-互補

CIDF的協同方式-互糾

CIDF的協同方式-覈實

CIDF的協同方式-調整

CIDF的協同方式-響應

CIDF的公共入侵規範語言（CISL）

• CIDF最主要的工作就是不同組件間所使用語言的標準化，CIDF的體系結構只是通信的背景。
• 在CIDF模型裏，通過組件接收的輸入流來驅動分析引警進行處理，並將結果傳遞到其它的部件。
• CIDF用通用入侵說明語言CISL對事件、分析結果、響應指示等過程進行表示說明，以達到IDS之間的語法互操作。
• CISL語言使用符號表達式（簡稱S-表達式），類似於LISP語言。

CIDF的通信機制

CIDF的標準化工作

• 通過組件標識查找，或更高層次上地通過特性查找通信雙方的代理設施和查找協議。
• 使用正確（鑑別）、安全（加密）、有效的組件間通信協議。
• 定義了一種能使組件間互相理解的語言CISL。
• 說明了進行通信所用的主要的API

IDMEF

• 爲了適應網絡安全發展的需要，Internet網絡工程部IETF（Internet Engineering Task Force）的入侵檢測工作組（Internet Detection Working Group，簡稱IDG）負責進行入侵檢測響應系統之間共享信息數據格式和交換信息方式的標準制訂，制訂了入侵檢測信息交換格式（Intrusion Detection Message Exchange Format，縮寫爲 IDMEF）。
• IDMEF與CIDF類似，也是對組件間的通信進行了標準化，但它只標準化了一種通信場景，即數據處理模塊和警告處理模塊間的警告信息的通信
• 引入入侵檢測信息交換格式的目的在於定義入侵檢測模塊和響應模塊之間，以及可能需要和這兩者通信的管理模塊感興趣的信息交換的數據格式和交換過程。

IDWG的主要工作

• 制定入侵檢測消息交換需求文檔。該文檔內容有入侵檢測系統之間通信的要求說明，同時還有入侵檢測系統和管理系統之間通信的要求說明。
• 制定公共入侵語言規範。
• 制定一種入侵檢測消息交換的體系結構，使得最適合於用目前已存在協議實現入侵檢測系統之間的通

入侵檢測消息數據模型

IDMEF總結

• IDMEF最大的特點就是充分利用了已有的較成熟的標準。
• 與CIDF相比較，在數據表示方面不僅在語法方面而且在語義方面都進行了詳細的規定，方便了傳輸數據的解釋，提高了解釋的效率，但同時也降低了通用性，只能表達警告信息。
• 在通信方面，IDMEF各組件必須有通信對方的地址信息，這樣效率很高。
• IDMEF通信可能考慮到安全邊界問題，支持使用代理

IDMEF的入侵警告協議

• TCP連接建立
• 安全建立
• 通道的建立

評價入侵檢測系統性能的標準

• 準確性（Accuracy）：指入侵檢測系統能正確地檢測出系統入侵活動。
• 完備性（Completeness）：指入侵檢測系統能夠檢測出所有攻擊行爲的能力
• 容錯性（Fault tolerance）：入侵檢測系統自身必須能夠抵禦對它自身的攻擊，特別是拒絕服務攻擊（Denial of service）
• 及時性（Timeliness）：及時性要求入侵檢測系統必須儘快地分析數據並把分析結果傳播出去，以使系統安全管理者能夠在入侵攻擊尚未造成更大危害以前做出反應，阻止攻擊者顛覆審計系統甚至入侵檢測系統的企圖。

影響入侵檢測系統性能的參數

假設$I$與$\lnot I$分別表示入侵行爲和目標系統的正常行爲，$A$代表檢測系統發出了入侵報警，$\lnot A$表示檢測系統沒有報警。

• 檢測率：指被監控系統受到入侵攻擊時，檢測系統能夠正確報警的概率，可表示爲$P(A|I)$
• 虛警率：指檢測系統在檢測時出現虛警的概率$P(A|\lnot I)$，可利用己知的系統正常行爲實驗數據集，通過系統仿真獲得檢測系統的近似虛警率。

性能測試

• IDS引擎的吞吐量：IDS在預先不加載攻擊標籤的情況下，處理原始的檢測數據的能力。
• 包的重裝：測試的目的是評估IDS的包的重裝能力。例如，爲了測試這個指標，可通過 Ping of Death攻擊，IDs的入侵標籤名庫只有單一的Ping of Death標籤，這時來測試IDS的響應情況。
• 過濾的效率：測試的目標是評估IDS在遭到攻擊的情況下過濾器的接收、處理和報警的效率。這種測試可以用LAND攻擊的基本包頭爲引導，這種包的特徵是源地址等於目標地址

IDS功能測試配置圖