入侵檢測(cè)系統(tǒng)評(píng)估.pptVIP

第6章 入侵檢測(cè)系統(tǒng)評(píng)估 6 1入侵檢測(cè)系統(tǒng)的主要性能參數(shù)6 2入侵檢測(cè)系統(tǒng)評(píng)估標(biāo)準(zhǔn) 6 1入侵檢測(cè)系統(tǒng)的主要性能參數(shù)在對(duì)入侵檢測(cè)系統(tǒng)的性能進(jìn)行分析時(shí) 應(yīng)重點(diǎn)考慮檢測(cè)的有效性 效率和可用性 有效性 研究檢測(cè)機(jī)制的檢測(cè)精確度和系統(tǒng)報(bào)警的可信度 它是開(kāi)發(fā)設(shè)計(jì)和應(yīng)用IDS的前提和目的 是測(cè)試評(píng)估IDS的主要指標(biāo) 效率 從檢測(cè)機(jī)制處理數(shù)據(jù)的速度以及經(jīng)濟(jì)角度來(lái)考慮 側(cè)重檢測(cè)機(jī)制性能價(jià)格比的改進(jìn) 6 1 1檢測(cè)率 虛報(bào)率與報(bào)警可信度人們希望檢測(cè)系統(tǒng)能夠最大限度地把系統(tǒng)中的入侵行為與正常行為區(qū)分開(kāi)來(lái) 這就涉及到入侵檢測(cè)系統(tǒng)對(duì)系統(tǒng)正常行為 或入侵行為 的描述方式 檢測(cè)模型與檢測(cè)算法的 選擇 如果檢測(cè)系統(tǒng)不能夠精確地描述系統(tǒng)的正常行為 或入侵行為 那么 系統(tǒng)必然會(huì)出現(xiàn)各種誤報(bào) 如果檢測(cè)系統(tǒng)把系統(tǒng)的 正常行為 作為 異常行為 進(jìn)行報(bào)警 這種情況就是虛報(bào) FalsePositive 如果檢測(cè)系統(tǒng)對(duì)部分針對(duì)系統(tǒng)的入侵活動(dòng)不能識(shí)別 報(bào)警 這種情況被稱做漏報(bào) FalseNegative 1 檢測(cè)率與虛報(bào)率可以用貝葉斯理論來(lái)分析基于異常性檢測(cè)的入侵檢測(cè)系統(tǒng)的檢測(cè)率 虛報(bào)率與報(bào)警可信度之間的關(guān)系 并在此基礎(chǔ)上分析它們對(duì)異常性檢測(cè)算法性能的影響 入侵檢測(cè)問(wèn)題可看做是一個(gè)簡(jiǎn)單的二值假設(shè)檢驗(yàn)問(wèn)題 首先給出一系列相關(guān)的定義和符號(hào) 假設(shè)I與 I分別表示入侵行為和目標(biāo)系統(tǒng)的正常行為 A代表檢測(cè)系統(tǒng)發(fā)出入侵報(bào)警 A表示檢測(cè)系統(tǒng)沒(méi)有報(bào)警 檢測(cè)率 被監(jiān)控系統(tǒng)受到入侵攻擊時(shí) 檢測(cè)系統(tǒng)能夠正確報(bào)警的概率 可表示為P A I 通常利用已知入侵攻擊的實(shí)驗(yàn)數(shù)據(jù)集合來(lái)測(cè)試入侵檢測(cè)系統(tǒng)的檢測(cè)率 虛報(bào)率 指檢測(cè)系統(tǒng)在檢測(cè)時(shí)出現(xiàn)虛報(bào)警的概率 可表示為P A I 可利用已知的系統(tǒng)正常行為作為實(shí)驗(yàn)數(shù)據(jù)集 通過(guò)系統(tǒng)仿真獲得檢測(cè)系統(tǒng)的近似虛報(bào)率 另外 概率P A I 代表檢測(cè)系統(tǒng)的漏報(bào)率 P A I 則指目標(biāo)系統(tǒng)正常 沒(méi)有入侵攻擊 的情況下 檢測(cè)系統(tǒng)不報(bào)警的概率 顯然有 在實(shí)際應(yīng)用中 主要關(guān)注的是一個(gè)入侵檢測(cè)系統(tǒng)的報(bào)警結(jié)果能否正確地反映目標(biāo)系統(tǒng)的安全狀態(tài) 下面的兩個(gè)參數(shù)則從報(bào)警信息的可信度方面考慮檢測(cè)系統(tǒng)的性能 P A I 給出了檢測(cè)系統(tǒng)報(bào)警信息的可信度 即檢測(cè)系統(tǒng)報(bào)警時(shí) 目標(biāo)系統(tǒng)正受到入侵攻擊的概率 P A I 給出了檢測(cè)系統(tǒng)未發(fā)出報(bào)警信息的可信度 即檢測(cè)系統(tǒng)未報(bào)警時(shí) 目標(biāo)系統(tǒng)未受到入侵攻擊的概率 為使入侵檢測(cè)系統(tǒng)更有效 系統(tǒng)的這兩個(gè)參數(shù)的值越大越好 根據(jù)貝葉斯定理可以得出這兩個(gè)參數(shù)的計(jì)算公式 6 1 同理 6 2 在實(shí)際應(yīng)用過(guò)程中 檢測(cè)率的好壞是由IDS的兩個(gè)部分決定的 一是IDS的抓包能力 二是IDS的檢測(cè)引擎 為了達(dá)到100 的檢測(cè)率 IDS首先要把需要的數(shù)據(jù)包全部抓上來(lái) 送給檢測(cè)引擎 在網(wǎng)絡(luò)流量相同的情況下 數(shù)據(jù)包越小 數(shù)據(jù)包的個(gè)數(shù)就越多 IDS的抓包引擎是對(duì)數(shù)據(jù)包一個(gè)一個(gè)進(jìn)行處理的 因此數(shù)據(jù)包越小 抓包引擎能處理的網(wǎng)絡(luò)流量就越小 相比之下 數(shù)據(jù)包的大小對(duì)IDS檢測(cè)引擎的影響程度較小 因?yàn)殡m然檢測(cè)引擎對(duì)每個(gè)數(shù)據(jù)包都要解析數(shù)據(jù)包頭 但它同樣要檢測(cè)每個(gè)數(shù)據(jù)包的內(nèi)容 總量是一樣的 因此數(shù)據(jù)包的大小對(duì)檢測(cè)引擎基本沒(méi)有影響 數(shù)據(jù)包抓上來(lái)之后 需要經(jīng)過(guò)檢測(cè)引擎的檢測(cè)才能引發(fā)告警 在檢測(cè)引擎的處理過(guò)程中 數(shù)據(jù)包的各種因素都會(huì)影響檢測(cè)引擎的效率 不同的IDS產(chǎn)品因?yàn)槠錂z測(cè)引擎中對(duì)數(shù)據(jù)包的處理有側(cè)重點(diǎn) 因此不同內(nèi)容的背景數(shù)據(jù)流會(huì)嚴(yán)重影響產(chǎn)品的檢測(cè)率 當(dāng)通過(guò)不同內(nèi)容的背景數(shù)據(jù)流 可以判斷出IDS檢測(cè)引擎在某些方面的優(yōu)劣 數(shù)據(jù)包中的數(shù)據(jù)內(nèi)容也很關(guān)鍵 如果背景數(shù)據(jù)流中包含大量敏感的關(guān)鍵字 能引發(fā)一種IDS產(chǎn)品告警 而對(duì)另一種IDS產(chǎn)品可能并不引發(fā)告警 這樣的數(shù)據(jù)包內(nèi)容就影響了引擎的效率 即使在不引發(fā)告警的條件下 背景數(shù)據(jù)流的數(shù)據(jù)內(nèi)容也對(duì)檢測(cè)引擎影響很大 實(shí)際上IDS的實(shí)現(xiàn)總是在檢測(cè)率和虛報(bào)率之間徘徊 檢測(cè)率高了 虛報(bào)率就會(huì)提高 同樣 虛報(bào)率降低了 檢測(cè)率也就會(huì)降低 一般地 IDS產(chǎn)品會(huì)在兩者中取一個(gè)折中 并且能夠進(jìn)行調(diào)整 以適應(yīng)不同的網(wǎng)絡(luò)環(huán)境 美國(guó)的林肯實(shí)驗(yàn)室用接收器特性 Receiver Operating Characteristic ROC 曲線來(lái)描述IDS的性能 該曲線準(zhǔn)確刻畫(huà)了IDS的檢測(cè)率與虛報(bào)率之間的變化關(guān)系 ROC廣泛用于輸入不確定的系統(tǒng)的評(píng)估 根據(jù)一個(gè)IDS在不同的條件 在允許范圍內(nèi)變化的閾值 例如異常檢測(cè)系統(tǒng)的報(bào)警門限等參數(shù) 下的虛報(bào)率和檢測(cè)率 分別把虛報(bào)率和檢測(cè)率作為橫坐標(biāo)和縱坐標(biāo) 就可做出對(duì)應(yīng)于該IDS的ROC曲線 ROC曲線與IDS的檢測(cè)門限具有對(duì)應(yīng)的關(guān)系 在現(xiàn)實(shí)中 虛報(bào)不會(huì)引起什么危害 因?yàn)槭录旧硎且粋€(gè)正常的事件 虛報(bào)的壞處可能就是浪費(fèi)了安全管理員的一些閱讀和檢查的時(shí)間 而漏報(bào)則是一個(gè)很嚴(yán)重的錯(cuò)誤 實(shí)際上 漏報(bào)就等于入侵事件沒(méi)有被檢測(cè)出來(lái) 對(duì)系統(tǒng)可能會(huì)引起很大的危害 通常來(lái)講 如果一個(gè)系統(tǒng)的虛報(bào)越多 它的漏報(bào)就越少 反過(guò)來(lái) 如果虛報(bào)越少 漏報(bào)則可能會(huì)越多 這是因?yàn)?虛報(bào)越多表示入侵檢測(cè)系統(tǒng)對(duì)事件的警覺(jué)程度越高 這樣 它忽略入侵的事件造成漏報(bào)的可能性就越小 從檢測(cè)技術(shù)的角度來(lái)看 入侵檢測(cè)系統(tǒng)對(duì)事件的警覺(jué)程度越高意味著檢測(cè)算法對(duì)入侵事件的約束條件越緊 如果虛報(bào)越少 表示入侵檢測(cè)系統(tǒng)對(duì)事件的警覺(jué)程度越低 這樣 它忽略入侵事件的可能性就越大 也就是說(shuō) 入侵檢測(cè)系統(tǒng)對(duì)事件的警覺(jué)程度越低 意味著檢測(cè)算法對(duì)入侵事件的約束條件越寬松 所以 誤用檢測(cè)技術(shù)所造成的虛報(bào)并不高 但很可能會(huì)漏掉一些入侵事件 特別是新的入侵類型 2 ROC曲線ROC曲線以圖形方式來(lái)表示正確報(bào)告率和誤報(bào)率的關(guān)系 ROC曲線是基于正確報(bào)告率和誤報(bào)率的關(guān)系來(lái)描述的 這樣的圖稱為諾模圖 Nomo gram 它在數(shù)學(xué)領(lǐng)域用于表示數(shù)字化的關(guān)系 選好一個(gè)臨界點(diǎn) CutoffPoint 之后 就可以從圖中確定IDS的正確報(bào)告率和誤報(bào)率 曲線的形狀直接反映了IDS產(chǎn)品的準(zhǔn)確性和總體品質(zhì) 如果一條直線向上 然后向右方以45 角延伸 就是一個(gè)非常失敗的IDS 它毫無(wú)用處 相反 ROC曲線下方的區(qū)域越大 IDS的準(zhǔn)確率越高 如圖6 1所示 IDSB的準(zhǔn)確性高于IDSC 類似地 IDSA在所有的IDS中具有最高的準(zhǔn)確性 圖6 1ROC曲線 在測(cè)試評(píng)估IDS的具體實(shí)施過(guò)程中 除了要IDS的檢測(cè)率和虛報(bào)率之外 往往還會(huì)單獨(dú)考慮與這兩個(gè)指標(biāo)密切相關(guān)的一些因素 比如能檢測(cè)的入侵特征數(shù)量 IP碎片重組能力 TCP流重組能力 顯然 能檢測(cè)的入侵特征數(shù)量越多 檢測(cè)率也就越高 此外 由于攻擊者為了加大檢測(cè)的難度甚至繞過(guò)IDS的檢測(cè) 常常會(huì)發(fā)送一些特別設(shè)計(jì)的分組 為了提高IDS的檢測(cè)率 降低IDS的虛報(bào)率 IDS常常需要采取一些相應(yīng)的措施 比如IP碎片能力 TCP流重組 由于分析單個(gè)的數(shù)據(jù)分組會(huì)導(dǎo)致許多誤報(bào)和漏報(bào) 所以IP碎片的重組可以提高檢測(cè)的精確度 IP碎片重組的評(píng)測(cè)標(biāo)準(zhǔn)有三個(gè)性能參數(shù) 能重組的最大IP分片數(shù) 能同時(shí)重組的IP分組數(shù) 能進(jìn)行重組的最大IP數(shù)據(jù)分組的長(zhǎng)度 TCP流重組是為了對(duì)完整的網(wǎng)絡(luò)對(duì)話進(jìn)行分析 它是網(wǎng)絡(luò)IDS對(duì)應(yīng)用層進(jìn)行分析的基礎(chǔ) 如檢查郵件內(nèi)容和附件 檢查FTP傳輸?shù)臄?shù)據(jù) 禁止訪問(wèn)有害網(wǎng)站 判斷非法HTTP請(qǐng)求等 這些因素都會(huì)直接影響IDS的檢測(cè)可信度 6 1 2抗攻擊能力和其它系統(tǒng)一樣 IDS本身也往往存在安全漏洞 若對(duì)IDS攻擊成功 則直接導(dǎo)致其報(bào)警失靈 入侵者在其后所作的行為將無(wú)法被記錄 因此IDS首先必須保證自己的安全性 IDS本身的抗攻擊能力也就是IDS的可靠性 用于衡量IDS對(duì)那些經(jīng)過(guò)特別設(shè)計(jì)直接以IDS為攻擊目標(biāo)的攻擊的抵抗能力 它主要體現(xiàn)在兩個(gè)方面 一是程序本身在各種網(wǎng)絡(luò)環(huán)境下能夠正常工作 二是程序各個(gè)模塊之間的通信能夠不被破壞 不可仿冒 此外要特別考慮抵御拒絕服務(wù)攻擊的能力 如果IDS本身不能正常運(yùn)行 也就失去了它的保護(hù)意義 而如果系統(tǒng)各模塊間的通信遭到破壞 那系統(tǒng)的報(bào)警之類的檢測(cè)結(jié)果也就值得懷疑 應(yīng)該有一個(gè)良好的通信機(jī)制保證模塊間通信的安全并能在出問(wèn)題時(shí)能夠迅速恢復(fù) 6 1 3其它性能指標(biāo)1 延遲時(shí)間檢測(cè)延遲指的是在攻擊發(fā)生至IDS檢測(cè)到入侵之間的延遲時(shí)間 延遲時(shí)間的長(zhǎng)短直接關(guān)系著入侵攻擊破壞的程度 2 資源的占用情況資源的占用情況是指系統(tǒng)在達(dá)到某種檢測(cè)有效性時(shí)對(duì)資源的需求情況 通常 在同等檢測(cè)有效性的前提下 對(duì)資源的要求越低 IDS的性能越好 檢測(cè)入侵的能力也就越強(qiáng) 3 負(fù)荷能力IDS有其設(shè)計(jì)的負(fù)荷能力 在超出負(fù)荷能力的情況下 性能會(huì)出現(xiàn)不同程度的下降 比如 在正常情況下IDS可檢測(cè)到某攻擊 但在負(fù)荷大的情況下可能就檢測(cè)不出該攻擊 考察檢測(cè)系統(tǒng)的負(fù)荷能力就是觀察不同大小的網(wǎng)絡(luò)流量 不同強(qiáng)度的CPU內(nèi)存等系統(tǒng)資源的使用對(duì)IDS的關(guān)鍵指標(biāo) 比如檢測(cè)率 虛警率 的影響 4 日志 報(bào)警 報(bào)告以及響應(yīng)能力日志能力是指檢測(cè)系統(tǒng)保存日志的能力 按照特定要求選取日志內(nèi)容的能力 報(bào)警能力是指在檢測(cè)到入侵后 向特權(quán)部件 人員發(fā)送報(bào)警信號(hào)的能力以及在報(bào)警中附加信息的能力 報(bào)告能力是指產(chǎn)生入侵行為報(bào)告 提供查詢報(bào)告 創(chuàng)建和保存報(bào)告的能力 響應(yīng)能力是指在檢測(cè)到入侵后進(jìn)一步處理的能力 這包括阻斷入侵 跟蹤入侵者 記錄入侵證據(jù)等 5 系統(tǒng)的可用性系統(tǒng)的可用性主要是指系統(tǒng)安裝 配置 管理 使用的方便程度 系統(tǒng)界面的友好程度 攻擊規(guī)則庫(kù)維護(hù)的簡(jiǎn)易程度等方面 6 檢測(cè)范圍通常情況下 一個(gè)IDS能檢測(cè)到的攻擊是有一定范圍的 檢測(cè)范圍的考察 就是在一定的攻擊分類標(biāo)準(zhǔn)下 考察IDS對(duì)不同類型攻擊的檢測(cè)能力 由此可以看出 IDS是個(gè)比較復(fù)雜的系統(tǒng) 對(duì)IDS進(jìn)行測(cè)試和評(píng)估不僅和IDS本身有關(guān) 還與應(yīng)用IDS的環(huán)境有關(guān) 測(cè)試過(guò)程中涉及到操作環(huán)境 網(wǎng)絡(luò)環(huán)境 工具 軟件 硬件等方面 既要考慮入侵檢測(cè)的效果如何 也要考慮應(yīng)用該系統(tǒng)后它對(duì)實(shí)際系統(tǒng)的影響 有時(shí)要折中考慮這兩種因素 綜合起來(lái) 入侵檢測(cè)系統(tǒng)性能的參數(shù)主要有 檢測(cè)率 虛報(bào)率 漏報(bào)率 不報(bào)率等 從而可以由此計(jì)算出檢測(cè)系統(tǒng)報(bào)警信息的可信度 6 2入侵檢測(cè)系統(tǒng)評(píng)估標(biāo)準(zhǔn)6 2 1準(zhǔn)確性 Accuracy 準(zhǔn)確性指入侵檢測(cè)系統(tǒng)能在各種行為中正確地檢測(cè)出系統(tǒng)入侵活動(dòng)的能力 當(dāng)一個(gè)入侵檢測(cè)系統(tǒng)的檢測(cè)不準(zhǔn)確時(shí) 它就可能把系統(tǒng)中的合法活動(dòng)當(dāng)作入侵行為并標(biāo)識(shí)為異常 虛警現(xiàn)象 準(zhǔn)確性主要是指研究檢測(cè)機(jī)制的精確度和系統(tǒng)檢測(cè)結(jié)果的可信度 準(zhǔn)確性包含幾個(gè)指標(biāo) 即報(bào)警準(zhǔn)確度 又稱檢測(cè)率 靈敏度 誤警率 檢測(cè)可信度 這些指標(biāo)既是開(kāi)發(fā)和應(yīng)用IDS的前提和目的 又是測(cè)試評(píng)估的主要指標(biāo) 其中 具備較高的報(bào)警準(zhǔn)確率是IDS的關(guān)鍵 是否智能 準(zhǔn)確地報(bào)告非法入侵行為成為衡量一個(gè)入侵檢測(cè)產(chǎn)品優(yōu)劣的首要內(nèi)容 誤警率指錯(cuò)誤報(bào)警或未報(bào)警的比率 包括虛警率和漏報(bào)率 其中 報(bào)警準(zhǔn)確率和誤警率是衡量IDS效率的兩個(gè)重要指標(biāo) 誤警率和漏報(bào)率應(yīng)盡量低 檢測(cè)可信度指某一次報(bào)警是真實(shí)的報(bào)警 正確檢測(cè) 的概率 反映的是檢測(cè)系統(tǒng)檢測(cè)結(jié)果的可信程度 也是IDS的重要指標(biāo) 其取值與報(bào)警的次數(shù) 報(bào)警已逝去的時(shí)間等都有關(guān)系 評(píng)估IDS的準(zhǔn)確性除了要考察以上指標(biāo)外 還應(yīng)該單獨(dú)考慮如下指標(biāo) 但這些指標(biāo)并不僅僅只反映IDS的準(zhǔn)確性 是否支持事件特征自定義 是否支持多級(jí)分布式結(jié)構(gòu)和事件歸并 能檢測(cè)的入侵特征數(shù)量 IP碎片重組能力 TCP流重組能力 IDS對(duì)網(wǎng)絡(luò)流量的分析是否能達(dá)到足夠的抽樣比例 系統(tǒng)對(duì)變形攻擊的檢測(cè)能力 系統(tǒng)對(duì)碎片重組的檢測(cè)能力 系統(tǒng)對(duì)未發(fā)現(xiàn)漏洞特征的預(yù)報(bào)警能力 是否具有較低的漏報(bào)率 系統(tǒng)是否采取有效措施降低誤報(bào)率 是否具有高的報(bào)警成功率 在線升級(jí)和入侵檢測(cè)規(guī)則庫(kù)的更新是否快捷有效等 6 2 2完備性 Completeness 完備性是指入侵檢測(cè)系統(tǒng)能夠檢測(cè)出所有攻擊行為的能力 如果存在一個(gè)攻擊行為 無(wú)法被入侵檢測(cè)系統(tǒng)檢測(cè)出來(lái) 那么該入侵檢測(cè)系統(tǒng)就不具有檢測(cè)完備性 由于在一般情況下 很難得到關(guān)于攻擊行為以及對(duì)系統(tǒng)特權(quán)濫用行為的所有知識(shí) 所以關(guān)于入侵檢測(cè)系統(tǒng)的檢測(cè)完備性的評(píng)估要相對(duì)困難得多 由于通常不可能存在具有檢測(cè)完備性的IDS 因此提出一個(gè)新的概念 完備度 6 2 3容錯(cuò)性 FaultTolerance IDS本身也是會(huì)存在安全漏洞的 若對(duì)入侵檢測(cè)系統(tǒng)攻擊成功 則會(huì)直接導(dǎo)致IDS報(bào)警失靈 系統(tǒng)將無(wú)法記錄入侵者在其后的所作所為 因此要求檢測(cè)系統(tǒng)必須是可容錯(cuò)的 即使系統(tǒng)崩潰 檢測(cè)系統(tǒng)本身必須能保留下來(lái) 而不必重啟系統(tǒng)時(shí)必須重建知識(shí)庫(kù) 入侵檢測(cè)系統(tǒng)自身必須能夠抵御對(duì)它自身的攻擊 特別是拒絕服務(wù)攻擊 Denial Of Service 拒絕服務(wù)攻擊是指攻擊者通過(guò)某種手段 有意地造成計(jì)算機(jī)或網(wǎng)絡(luò)不能正常運(yùn)轉(zhuǎn)從而不能向合法用戶提供所需要的服務(wù)或者降低其提供的服務(wù)質(zhì)量 由于大多數(shù)入侵檢測(cè)系統(tǒng)是運(yùn)行在極易遭受攻擊的操作系統(tǒng)和硬件平臺(tái)上 這就使得系統(tǒng)的容錯(cuò)性變得特別重要 在設(shè)計(jì)入侵檢測(cè)系統(tǒng)時(shí)必須考慮 6 2 4及時(shí)性 Timeliness 系統(tǒng)必須及時(shí)發(fā)現(xiàn)各種入侵行為 理想情況是事先發(fā)現(xiàn)攻擊企圖 比較現(xiàn)實(shí)的情況則是在攻擊行為發(fā)生的過(guò)程中檢測(cè)到攻擊行為 及時(shí)性要求系統(tǒng)必須盡快地分析數(shù)據(jù)并把分析結(jié)果傳播出去 以使系統(tǒng)安全管理者能夠在入侵攻擊尚未造成更大危害以前做出反應(yīng) 阻止攻擊者顛覆審計(jì)系統(tǒng)甚至入侵檢測(cè)系統(tǒng)的企圖 如果是事后才發(fā)現(xiàn)攻擊的結(jié)果則必須保證時(shí)效性 因?yàn)橐粋€(gè)已經(jīng)被攻擊過(guò)的系統(tǒng)往往意味著后門引入以及后續(xù)的攻擊行為 和上面的處理性能因素相比 及時(shí)性要求更高 它不僅要求入侵檢測(cè)系統(tǒng)的處理速度要盡可能地快 而且要求傳播 反應(yīng)檢測(cè)結(jié)果信息的時(shí)間盡可能少 反映及時(shí)性的幾個(gè)重要指標(biāo)是延遲時(shí)間 檢測(cè)時(shí)間 分析和關(guān)聯(lián)時(shí)間 響應(yīng)時(shí)間等 6 2 5處理性能 Performance 處理性能是指一個(gè)入侵檢測(cè)系統(tǒng)處理審計(jì)數(shù)據(jù)的速度 顯然 當(dāng)入侵檢測(cè)系統(tǒng)的處理性能較差時(shí) 它就不可能實(shí)現(xiàn)實(shí)時(shí)的入侵檢測(cè) 此外 一個(gè)完整的入侵檢測(cè)系統(tǒng)必須具備下列特點(diǎn) 1 經(jīng)濟(jì)性 為了保證系統(tǒng)安全策略的實(shí)施而引入的入侵檢測(cè)系統(tǒng)必須不妨礙系統(tǒng)的正常運(yùn)行 2 安全性 入侵檢測(cè)系統(tǒng)自身必須安全 如果入侵檢測(cè)系統(tǒng)自身的安全性得不到保障 則意味著信息的無(wú)效 更為嚴(yán)重的是 入侵者控制了入侵檢測(cè)系統(tǒng)即獲得了對(duì)系統(tǒng)的控制權(quán) 因?yàn)橐话闱闆r下 入侵檢測(cè)系統(tǒng)都是以特權(quán)狀態(tài)運(yùn)行的 3 可擴(kuò)展性 可擴(kuò)展性有兩方面的意義 一是機(jī)制與數(shù)據(jù)的分離 在現(xiàn)在機(jī)制不變的前提下能夠?qū)π碌墓暨M(jìn)行檢測(cè) 例如 使用特征碼來(lái)表示攻擊特性 二是體系結(jié)構(gòu)的可擴(kuò)展性 在有必要的時(shí)候可以在不對(duì)系統(tǒng)的整體結(jié)構(gòu)進(jìn)行修改的前提下加強(qiáng)檢測(cè)手段 以保證能夠檢測(cè)到新的攻擊 如AAFID系統(tǒng)的代謝機(jī)制 IDS系統(tǒng)最終是要為用戶服務(wù)的 基于用戶的角度 可以簡(jiǎn)單羅列出以下幾方面來(lái)評(píng)估IDS是否滿足用戶的需要 1 IDS產(chǎn)品標(biāo)識(shí) 2 IDS系統(tǒng)的文檔和技術(shù)支持 3 IDS系統(tǒng)功能 4 IDS的報(bào)告和審計(jì)能力 5 IDS系統(tǒng)的檢測(cè)和響應(yīng) 6 IDS的安全管理能力 7 產(chǎn)品安裝和服務(wù)支持 評(píng)估入侵檢測(cè)系統(tǒng)非常困難 涉及到操作系統(tǒng) 網(wǎng)絡(luò)環(huán)境 工具 軟件 硬件和數(shù)據(jù)庫(kù)等技術(shù)方面的問(wèn)題 IDS目前沒(méi)有工業(yè)標(biāo)準(zhǔn)可參考來(lái)評(píng)測(cè) 由于入侵檢測(cè)技術(shù)太新 為了跟上市場(chǎng)的增長(zhǎng)步伐 商業(yè)的IDS新產(chǎn)品周期更新非?？?市場(chǎng)化的IDS產(chǎn)品很少去說(shuō)明如何發(fā)現(xiàn)入侵者和日常運(yùn)行所需要的工作及維護(hù)量 IDS廠商考慮到商業(yè)利益不會(huì)公布檢測(cè)算