網(wǎng)絡(luò)安全之入侵檢測(cè)技術(shù)

5.2.1及時(shí)性

及時(shí)性要求IDS必須盡快地分析數(shù)據(jù)并把分析結(jié)果傳播出去，以使系統(tǒng)安全管理者能夠在入侵攻擊尚未造成更大的危害之前做出反應(yīng)，阻止入侵者進(jìn)一步的破壞活動(dòng)。要注意的是它不僅要求IDS產(chǎn)品的處理速度要盡可能地快，而且要求傳播、反應(yīng)檢測(cè)結(jié)果信息的時(shí)間盡可能的少。

測(cè)試時(shí)可以應(yīng)用以下場(chǎng)景：

1、查看測(cè)試產(chǎn)品最新的3個(gè)升級(jí)包，記錄升級(jí)時(shí)間間隔;

2、觀察在IDS不暫停工作的情況下是否可以完成升級(jí);

3、測(cè)試IDS在升級(jí)過(guò)程中是否仍能檢測(cè)到攻擊事件。

5.2.2準(zhǔn)確性

準(zhǔn)確性指IDS從各種行為中正確的識(shí)別入侵的能力?？梢詮穆﹫?bào)率和誤報(bào)率兩個(gè)方面來(lái)體現(xiàn)。誤報(bào)率是指系統(tǒng)在檢測(cè)時(shí)把正常的網(wǎng)絡(luò)活動(dòng)視為攻擊的概率。漏報(bào)率是指漏掉真正的攻擊而不報(bào)警的概率。

圖10 ROC曲線

實(shí)際上IDS的實(shí)現(xiàn)總是在漏報(bào)率和誤報(bào)率上追求平衡，要使兩者都為零，幾乎是不可能的。誤報(bào)率為零則表明很可能存在某些攻擊行為沒(méi)有被檢測(cè)出來(lái);漏報(bào)率為零則表明可能存在各種各樣的誤報(bào)。如果IDS設(shè)備能夠讓用戶(hù)自定義漏報(bào)率和誤報(bào)率的比例(比如安全級(jí)別，安全級(jí)別越高則漏報(bào)率越低，相應(yīng)誤報(bào)率也可能越高)，那么最好還是保留一定的誤報(bào)會(huì)顯得比較安全，畢竟誤報(bào)比漏報(bào)要顯得安全。

雖然漏報(bào)率和誤報(bào)率不能同時(shí)為零，但是在測(cè)評(píng)時(shí)，我們還是希望這兩個(gè)數(shù)值越低越好?？梢酝ㄟ^(guò)一些黑客工具模擬攻擊行為，從而測(cè)試出IDS的漏報(bào)率和誤報(bào)率。

ROC曲線以圖形的方式來(lái)表示正確率和誤報(bào)率的關(guān)系。ROC曲線是基于正確報(bào)告率和誤報(bào)率的關(guān)系來(lái)描述的。這樣的圖稱(chēng)為諾模圖(Nomogram)，它在數(shù)學(xué)領(lǐng)域用于表示數(shù)字化的關(guān)系。選好一個(gè)臨界點(diǎn)(Cutoff Point)之后，就可以從圖中確定IDS的正確報(bào)告率和誤報(bào)率。曲線的形狀直接反映了IDS產(chǎn)品的準(zhǔn)確性和總體品質(zhì)。如果一條直線向上，然后向右以45度角延伸，就是一個(gè)非常失敗的IDS，它毫無(wú)用處;相反，ROC曲線下方的區(qū)域越大，IDS的準(zhǔn)確率越高。如圖2所示，IDS B的準(zhǔn)確性高于IDS C，類(lèi)似地，IDS A在所有的IDS中具有最高的準(zhǔn)確性。

可以通過(guò)一些測(cè)試工具模擬各種攻擊，來(lái)評(píng)測(cè)IDS的準(zhǔn)確性。比如IDS Informer、IDS Wakeup、Sneeze的工具。

5.2.3完備性

完備性是指IDS能夠檢測(cè)出所有攻擊行為的能力。100%正確率實(shí)際上是一個(gè)無(wú)法達(dá)到的目標(biāo)。如何評(píng)價(jià)IDS檢測(cè)的完備性呢?

1、可以通過(guò)查看幫助文件中廠商聲稱(chēng)可檢測(cè)的攻擊列表來(lái)做大致的了解，可以看看可檢測(cè)的各種攻擊都屬于那些協(xié)議，總共支持多少種應(yīng)用層協(xié)議，以及該協(xié)議下檢測(cè)攻擊種類(lèi)的數(shù)量。

2、 可以查看進(jìn)一年內(nèi)新增加的檢測(cè)規(guī)則占總規(guī)則數(shù)的比例，結(jié)果越大越好。

3、可以挑選一些近期流行的攻擊行為，進(jìn)行模擬測(cè)試。

5.2.4健壯性

健壯性即自身安全性，毫無(wú)疑問(wèn)，IDS程序本身的安全性也是衡量IDS系統(tǒng)好壞的一個(gè)重要指標(biāo)。由于IDS是檢測(cè)入侵的重要手段，所以它也就成為很多入侵者攻擊的首選目標(biāo)。和其他系統(tǒng)一樣IDS本身也往往存在安全漏洞。若對(duì)IDS攻擊成功將直接導(dǎo)致入侵行為無(wú)法被檢測(cè)。因此IDS自身必須能夠抵御攻擊，特別是DOS攻擊。

IDS的安全性，一般可以通過(guò)以下幾個(gè)方面來(lái)衡量：

1、所有重要數(shù)據(jù)的存儲(chǔ)和傳輸過(guò)程是否都經(jīng)過(guò)加密處理;

2、在網(wǎng)絡(luò)中的隱藏性，是否對(duì)于外界設(shè)備來(lái)說(shuō)是透明的;

3、不同級(jí)別的操作人員是否有不同的使用權(quán)限，以及這些權(quán)限分配是否合理。

5.2.5處理性能

處理性能主要從系統(tǒng)處理數(shù)據(jù)的能力已經(jīng)對(duì)資源消耗的程度等方面體現(xiàn)。比如：

1、處理速度：指IDS處理數(shù)據(jù)源數(shù)據(jù)的速度。

2、延遲時(shí)間：指在攻擊發(fā)生至IDS檢測(cè)到入侵之間的延遲時(shí)間。

3、資源的占用情況：即系統(tǒng)在到達(dá)某種檢測(cè)能力要求時(shí)，對(duì)資源的需求情況。

4、負(fù)荷能力：IDS有其設(shè)計(jì)的負(fù)荷能力，在超出負(fù)荷能力的情況下，性能會(huì)出現(xiàn)不同程度的下降。

5.2.6易用性

易用性是指和系統(tǒng)使用有關(guān)的一些方面，主要是指系統(tǒng)安裝、配置、管理、使用的方便程度、系統(tǒng)界面的友好程度和攻擊規(guī)則庫(kù)維護(hù)的簡(jiǎn)易程度等方面。

這個(gè)指標(biāo)比較偏向于主觀判斷。但是也有一些客觀指標(biāo)，比如：

1、是否有較多內(nèi)容通過(guò)圖形表格方式描述;

2、幫助信息內(nèi)容是否豐富并且可用;

3、是否有配置導(dǎo)航功能;

4、是否有保存系統(tǒng)配置的功能;

5、是否有足夠多的提示信息;

6、操作使用日志記錄是否完善;

5.3執(zhí)行測(cè)試

5.3.1測(cè)試部署

在測(cè)試評(píng)估IDS的時(shí)候，很少會(huì)把IDS放在實(shí)際運(yùn)行的網(wǎng)絡(luò)中，因?yàn)閷?shí)際網(wǎng)絡(luò)環(huán)境是不可控的，并且網(wǎng)絡(luò)環(huán)境的專(zhuān)用性太強(qiáng)，所以要構(gòu)建專(zhuān)用的網(wǎng)絡(luò)環(huán)境。圖3為入侵檢測(cè)系統(tǒng)測(cè)試組網(wǎng)示意圖。其中背景流量發(fā)生器用來(lái)生成網(wǎng)絡(luò)通信，攻擊機(jī)用來(lái)模擬入侵者發(fā)起攻擊，IDS網(wǎng)絡(luò)傳感器為待測(cè)試入侵檢測(cè)系統(tǒng)，目標(biāo)機(jī)模擬網(wǎng)絡(luò)中被攻擊的機(jī)器。

圖11入侵檢測(cè)系統(tǒng)測(cè)試組網(wǎng)示意圖

下面是組網(wǎng)設(shè)備的詳細(xì)說(shuō)明：

1) 以太網(wǎng)交換機(jī)：一臺(tái)具備將全部端口鏡像到一個(gè)目的端口功能的以太網(wǎng)交換機(jī)。用于將流量鏡像到IDS網(wǎng)絡(luò)傳感器。

2) 攻擊機(jī)：攻擊機(jī)預(yù)裝掃描工具Nessus和Informer、Wakeup、Sneeze等互聯(lián)網(wǎng)安全攻擊工具。

3) 目標(biāo)機(jī)：目標(biāo)機(jī)安裝和開(kāi)啟各類(lèi)應(yīng)用服務(wù)，作為被攻擊對(duì)象。

4) 背景流量發(fā)生器：使用IP InterEmulator或其它網(wǎng)絡(luò)仿真系統(tǒng)，可以產(chǎn)生應(yīng)用層協(xié)議流量作為背景流量。

5) IDS網(wǎng)絡(luò)傳感器：被測(cè)的IDS設(shè)備。

6) IDS管理控制臺(tái)：用于管理IDS設(shè)備的機(jī)器。