測試評估IDS的性能指標(biāo)
在IDS被企業(yè)廣泛應(yīng)用的同時,評估IDS的性能又成了廣大企業(yè)和安全廠商關(guān)注的話題。評估IDS,可以使得企業(yè)用戶能夠更好地了解引進IDS系統(tǒng)之后企業(yè)的安全程度是否達(dá)到了理想的效果,那么評估IDS的性能指標(biāo)是什么呢?
測試評估IDS的性能指標(biāo)
在我們分析IDS的性能時,主要考慮檢測系統(tǒng)的有效性、效率和可用性。有效性研究檢測機制的檢測精確度和系統(tǒng)檢測結(jié)果的可信度,它是開發(fā)設(shè)計和應(yīng)用IDS的前提和目的,是測試評估IDS的主要指標(biāo),效率則從檢測機制的處理數(shù)據(jù)的速度以及經(jīng)濟性的角度來考慮,也就是側(cè)重檢測機制性能價格比的改進。可用性主要包括系統(tǒng)的可擴展性、用戶界面的可用性,部署配置方便程度等方面。有效性是開發(fā)設(shè)計和應(yīng)用IDS的前提和目的,因此也是測試評估IDS的主要指標(biāo),但效率和可用性對IDS的性能也起很重要的作用。效率和可用性滲透于系統(tǒng)設(shè)計的各個方面之中。本節(jié)從檢測的有效性、效率以及可用性角度,對測試評估IDS的性能指標(biāo)進行分析討論。
1 檢測率、虛警率及檢測可信度
檢測率是指被監(jiān)控系統(tǒng)在受到入侵攻擊時,檢測系統(tǒng)能夠正確報警的概率。虛警率是指檢測系統(tǒng)在檢測時出現(xiàn)虛警的概率。檢測可信度也就是檢測系統(tǒng)檢測結(jié)果的可信程度,這是測試評估IDS的最重要的指標(biāo)。
實際的IDS的實現(xiàn)總是在檢測率和虛警率之間徘徊,檢測率高了,虛警率就會提高;同樣虛警率降低了,檢測率也就會降低。一般地,IDS產(chǎn)品會在兩者中取一個折衷,并且能夠進行調(diào)整,以適應(yīng)不同的網(wǎng)絡(luò)環(huán)境。美國的林肯實驗室用接收器特性(ROC,Receiver Operating Characteristic)曲線來描述IDS的性能。該曲線準(zhǔn)確刻畫了IDS的檢測率與虛警率之間的變化關(guān)系。ROC廣泛用于輸入不確定的系統(tǒng)的評估。根據(jù)一個IDS在不同的條件(在允許范圍內(nèi)變化的閾值,例如異常檢測系統(tǒng)的報警門限等參數(shù))下的虛警率和檢測率,分別把虛警率和檢測率作為橫坐標(biāo)和縱坐標(biāo),就可做出對應(yīng)于該IDS的ROC曲線。ROC曲線與IDS的檢測門限具有對應(yīng)的關(guān)系
在測試評估IDS的具體實施過程中,除了要IDS的檢測率和虛警率之外,往往還會單獨考慮與這兩個指標(biāo)密切相關(guān)的一些因素,比如能檢測的入侵特征數(shù)量、IP碎片重組能力、TCP流重組能力。顯然,能檢測的入侵特征數(shù)量越多,檢測率也就越高。此外,由于攻擊者為了加大檢測的難度甚至繞過IDS的檢測,常常會發(fā)送一些特別設(shè)計的分組。為了提高IDS的檢測率降低IDS的虛警率,IDS常常需要采取一些相應(yīng)的措施,比如IP碎片能力、TCP流重組。因為分析單個的數(shù)據(jù)分組會導(dǎo)致許多誤報和漏報,所以IP碎片的重組可以提高檢測的精確度。IP碎片重組的評測標(biāo)準(zhǔn)有三個性能參數(shù):能重組的最大IP分片數(shù);能同時重組的IP分組數(shù);能進行重組的最大IP數(shù)據(jù)分組的長度,TCP流重組是為了對完整的網(wǎng)絡(luò)對話進行分析,它是網(wǎng)絡(luò)IDS對應(yīng)用層進行分析的基礎(chǔ)。如檢查郵件內(nèi)容。附件,檢查FTP傳輸?shù)臄?shù)據(jù),禁止訪問有害網(wǎng)站,判斷非法HTTP請求等。這兩個能力都會直接影響IDS的檢測可信度。
2 IDS本身的抗攻擊能力
和其他系統(tǒng)一樣,IDS本身也往往存在安全漏洞。若對IDS攻擊成功,則直接導(dǎo)致其報警失靈,入侵者在其后所作的行為將無法被記錄。因此IDS首先必須保證自己的安全性。IDS本身的抗攻擊能力也就是IDS的可靠性,用于衡量IDS對那些經(jīng)過特別設(shè)計直接以IDS為攻擊目標(biāo)的攻擊的抵抗能力。它主要體現(xiàn)在兩個方面:一是程序本身在各種網(wǎng)絡(luò)環(huán)境下能夠正常工作;二是程序各個模塊之間的通信能夠不被破壞,不可仿冒。此外要特別考慮抵御拒絕服務(wù)攻擊的能力。如果IDS本身不能正常運行,也就失去了它的保護意義。而如果系統(tǒng)各模塊間的通信遭到破壞,那系統(tǒng)的報警之類的檢測結(jié)果也就值得懷疑,應(yīng)該有一個良好的通信機制保證模塊間通信的安全并能在出問題時能夠迅速恢復(fù)。
3 其他性能指標(biāo)
延遲時間。檢測延遲指的是在攻擊發(fā)生至IDS檢測到入侵之間的延遲時間。延遲時間的長短直接關(guān)系著入侵攻擊破壞的程度。
資源的占用情況。即系統(tǒng)在達(dá)到某種檢測有效性時對資源的需求情況。通常,在同等檢測有效性的前提下,對資源的要求越低,IDS的性能越好,檢測入侵的能力也就越強。
負(fù)荷能力。IDS有其設(shè)計的負(fù)荷能力,在超出負(fù)荷能力的情況下,性能會出現(xiàn)不同程度的下降。比如,在正常情況下IDS可檢測到某攻擊但在負(fù)荷大的情況下可能就檢測不出該攻擊。考察檢測系統(tǒng)的負(fù)荷能力就是觀察不同大小的網(wǎng)絡(luò)流量、不同強度的CPU內(nèi)存等系統(tǒng)資源的使用對IDS的關(guān)鍵指標(biāo)(比如檢測率、虛警率)的影響。
日志、報善、報告以及響應(yīng)能力。日志能力是指檢測系統(tǒng)保存日志的能力、按照特定要求選取日志內(nèi)容的能力。報警能力是指在檢測到入侵后,向特全部件、人員發(fā)送報警信號的能力以及在報警中附加信息的能力。報告能力是指產(chǎn)生入侵行為報告、提供查詢報告、創(chuàng)建和保存報告的能力。響應(yīng)能力是指在檢測到入侵后進一步處理的能力,這包括阻斷入侵、跟蹤入侵者、記錄入侵證據(jù)等。
系統(tǒng)的可用性。主要是指系統(tǒng)安裝、配置、管理、使用的方便程度,系統(tǒng)界面的友好程度,攻擊規(guī)則庫維護的簡易程度等方面。
總之,IDS是個比較復(fù)雜的系統(tǒng),對IDS進行測試和評估不僅和IDS本身有關(guān),還與應(yīng)用IDS的環(huán)境有關(guān)。測試過程中涉及到操作環(huán)境、網(wǎng)絡(luò)環(huán)境、工具、軟件、硬件等方面。我們既要考慮入侵檢測的效果如何,也要考慮應(yīng)用該系統(tǒng)后它對實際系統(tǒng)的影響,有時要折衷考慮這兩種因素。
【編輯推薦】
