随着入侵检测系统的广泛应用,对入侵检测系统进行测试和评估的要求也越来越迫切。开发者希望通过测试和评估发现产品中的不足,用户希望测试和评估来帮助自己选择合适的入侵检测产品。本文根据目前的相关研究,介绍了入侵检测系统测试评估的标准、指标,方法步骤、数据来源、环境配置、测试评估的现状以及其中存在的一些问题。
1、引言
随着人们安全意识的逐步提高,入侵检测系统(IPS)的应用范围也越来越广,各种各样的IPS也越来越多。那么IPS能发现入侵行为吗?IPS是否达到了开发者的设计目标?什么样的IPS才是用户需要的性能优良的IPS呢?要回答这些问题,都要对IPS进行测试和评估。
和其他产品一样,当IPS发展和应用到一定程度以后,对IPS进行测试和评估的要求也就提上日程表。各方都希望有方便的工具,合理的方法对IPS进行科学。公正并且可信地测试和评估。对于IPS的研制和开发者来说,对各种IPS进行经常性的评估,可以及时了解技术发展的现状和系统存在的不足,从而将讲究重点放在那些关键的技术问题上,减少系统的不足,提高系统的性能;而对于IPS的使用者来说,由于他们对IPS依赖程度越来越大,所以也希望通过评估来选择适合自己需要的产品,避免各IPS产品宣传的误导。IPS的用户对测试评估的要求尤为迫切,因为大多数用户对IPS本身了解得可能并不是很深入,他们希望有专家的评测结果作为自己选择IPS的依据。
总地来说,对IPS进行测试和评估,具有以下作用:
·有助于更好地刻划IPS的特征。通过测试评估,可更好地认识理解IPS的处理方法、所需资源及环境;建立比较IPS的基准;领会各检测方法之间的关系。
·对IPS的各项性能进行评估,确定IPS的性能级别及其对运行环境的影响。
·利用测试和评估结果,可做出一些预测,推断IPS发展的趋势,估计风险,制定可实现的IPS质量目标(比如,可靠性、可用性、速度、精确度)、花费以及开发进度。
·根据测试和评估结果,对IPS进行改善。也就是发现系统中存在的问题并进行改进,从而提高系统的各项性能指标。
本文首先介绍了测试评估IPS性能的标准,然后介绍了测试评估的方法步骤,并且介绍测试评估的具体指标、所需的数据源、测试评估环境配置与框架,最后介绍了测试评估现状以及其中存在的一些问题。
2、测试评估IPS性能的标准
根据Porras等的研究,给出了评价IPS性能的三个因素:
·准确性(Accuracy):指IPS从各种行为中正确地识别入侵的能力,当一个IPS的检测不准确时,就有可能把系统中的合法活动当作入侵行为并标识为异常(虚警现象)。
·处理性能(Performance):指一个IPS处理数据源数据的速度。显然,当IPS的处理性能较差时,它就不可能实现实时的IPS,并有可能成为整个系统的瓶颈,进而严重影响整个系统的性能。
·完备性(Completeness):指IPS能够检测出所有攻击行为的能力。如果存在一个攻击行为,无法被IPS检测出来,那么该JDS就不具有检测完备性。也就是说,它把对系统的入侵活动当作正常行为(漏报现象)。由于在一般情况下,攻击类型、攻击手段的变化很快,我们很难得到关于攻击行为的所有知识,所以关于IPS的检测完备性的评估相对比较困难。
在此基础上,Debar等又增加了两个性能评价测度:
·容错性(FaultTolerance):由于IPS是检测入侵的重要手段/所以它也就成为很多入侵者攻击的首选目标。IPS自身必须能够抵御对它自身的攻击,特别是拒绝服务(Denial-of-Service)攻击。由于大多数的IPS是运行在极易遭受攻击的操作系统和硬件平台上,这就使得系统的容错性变得特别重要,在测试评估IPS时必须考虑这一点。
·及时性(Timeliness):及时性要求IPS必须尽快地分析数据并把分析结果传播出去,以使系统安全管理者能够在入侵攻击尚未造成更大危害以前做出反应,阻止入侵者进一步的破坏活动,和上面的处理性能因素相比,及时性的要求更高。它不仅要求IPS的处理速度要尽可能地快,而且要求传播、反应检测结果信息的时间尽可能少。