日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

在IDS被企業(yè)廣泛應(yīng)用的同時(shí)，評估IDS的性能又成了廣大企業(yè)和安全廠商關(guān)注的話題。評估IDS，可以使得企業(yè)用戶能夠更好地了解引進(jìn)IDS系統(tǒng)之后企業(yè)的安全程度是否達(dá)到了理想的效果，那么評估IDS的性能指標(biāo)是什么呢？

創(chuàng)新互聯(lián)于2013年開始，是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項(xiàng)目網(wǎng)站設(shè)計(jì)制作、成都做網(wǎng)站網(wǎng)站策劃，項(xiàng)目實(shí)施與項(xiàng)目整合能力。我們以讓每一個(gè)夢想脫穎而出為使命，1280元郊區(qū)做網(wǎng)站,已為上家服務(wù),為郊區(qū)各地企業(yè)和個(gè)人服務(wù),聯(lián)系電話:18982081108

測試評估IDS的性能指標(biāo)

在我們分析IDS的性能時(shí)，主要考慮檢測系統(tǒng)的有效性、效率和可用性。有效性研究檢測機(jī)制的檢測精確度和系統(tǒng)檢測結(jié)果的可信度，它是開發(fā)設(shè)計(jì)和應(yīng)用IDS的前提和目的，是測試評估IDS的主要指標(biāo)，效率則從檢測機(jī)制的處理數(shù)據(jù)的速度以及經(jīng)濟(jì)性的角度來考慮，也就是側(cè)重檢測機(jī)制性能價(jià)格比的改進(jìn)?？捎眯灾饕ㄏ到y(tǒng)的可擴(kuò)展性、用戶界面的可用性，部署配置方便程度等方面。有效性是開發(fā)設(shè)計(jì)和應(yīng)用IDS的前提和目的，因此也是測試評估IDS的主要指標(biāo)，但效率和可用性對IDS的性能也起很重要的作用。效率和可用性滲透于系統(tǒng)設(shè)計(jì)的各個(gè)方面之中。本節(jié)從檢測的有效性、效率以及可用性角度，對測試評估IDS的性能指標(biāo)進(jìn)行分析討論。

1 檢測率、虛警率及檢測可信度

檢測率是指被監(jiān)控系統(tǒng)在受到入侵攻擊時(shí)，檢測系統(tǒng)能夠正確報(bào)警的概率。虛警率是指檢測系統(tǒng)在檢測時(shí)出現(xiàn)虛警的概率。檢測可信度也就是檢測系統(tǒng)檢測結(jié)果的可信程度，這是測試評估IDS的最重要的指標(biāo)。

實(shí)際的IDS的實(shí)現(xiàn)總是在檢測率和虛警率之間徘徊，檢測率高了，虛警率就會提高；同樣虛警率降低了，檢測率也就會降低。一般地，IDS產(chǎn)品會在兩者中取一個(gè)折衷，并且能夠進(jìn)行調(diào)整，以適應(yīng)不同的網(wǎng)絡(luò)環(huán)境。美國的林肯實(shí)驗(yàn)室用接收器特性（ROC，Receiver Operating Characteristic）曲線來描述IDS的性能。該曲線準(zhǔn)確刻畫了IDS的檢測率與虛警率之間的變化關(guān)系。ROC廣泛用于輸入不確定的系統(tǒng)的評估。根據(jù)一個(gè)IDS在不同的條件（在允許范圍內(nèi)變化的閾值，例如異常檢測系統(tǒng)的報(bào)警門限等參數(shù)）下的虛警率和檢測率，分別把虛警率和檢測率作為橫坐標(biāo)和縱坐標(biāo)，就可做出對應(yīng)于該IDS的ROC曲線。ROC曲線與IDS的檢測門限具有對應(yīng)的關(guān)系

在測試評估IDS的具體實(shí)施過程中，除了要IDS的檢測率和虛警率之外，往往還會單獨(dú)考慮與這兩個(gè)指標(biāo)密切相關(guān)的一些因素，比如能檢測的入侵特征數(shù)量、IP碎片重組能力、TCP流重組能力。顯然，能檢測的入侵特征數(shù)量越多，檢測率也就越高。此外，由于攻擊者為了加大檢測的難度甚至繞過IDS的檢測，常常會發(fā)送一些特別設(shè)計(jì)的分組。為了提高IDS的檢測率降低IDS的虛警率，IDS常常需要采取一些相應(yīng)的措施，比如IP碎片能力、TCP流重組。因?yàn)榉治鰡蝹€(gè)的數(shù)據(jù)分組會導(dǎo)致許多誤報(bào)和漏報(bào)，所以IP碎片的重組可以提高檢測的精確度。IP碎片重組的評測標(biāo)準(zhǔn)有三個(gè)性能參數(shù)：能重組的最大IP分片數(shù)；能同時(shí)重組的IP分組數(shù)；能進(jìn)行重組的最大IP數(shù)據(jù)分組的長度，TCP流重組是為了對完整的網(wǎng)絡(luò)對話進(jìn)行分析，它是網(wǎng)絡(luò)IDS對應(yīng)用層進(jìn)行分析的基礎(chǔ)。如檢查郵件內(nèi)容。附件，檢查FTP傳輸?shù)臄?shù)據(jù)，禁止訪問有害網(wǎng)站，判斷非法HTTP請求等。這兩個(gè)能力都會直接影響IDS的檢測可信度。

2 IDS本身的抗攻擊能力

和其他系統(tǒng)一樣，IDS本身也往往存在安全漏洞。若對IDS攻擊成功，則直接導(dǎo)致其報(bào)警失靈，入侵者在其后所作的行為將無法被記錄。因此IDS首先必須保證自己的安全性。IDS本身的抗攻擊能力也就是IDS的可靠性，用于衡量IDS對那些經(jīng)過特別設(shè)計(jì)直接以IDS為攻擊目標(biāo)的攻擊的抵抗能力。它主要體現(xiàn)在兩個(gè)方面：一是程序本身在各種網(wǎng)絡(luò)環(huán)境下能夠正常工作；二是程序各個(gè)模塊之間的通信能夠不被破壞，不可仿冒。此外要特別考慮抵御拒絕服務(wù)攻擊的能力。如果IDS本身不能正常運(yùn)行，也就失去了它的保護(hù)意義。而如果系統(tǒng)各模塊間的通信遭到破壞，那系統(tǒng)的報(bào)警之類的檢測結(jié)果也就值得懷疑，應(yīng)該有一個(gè)良好的通信機(jī)制保證模塊間通信的安全并能在出問題時(shí)能夠迅速恢復(fù)。

3 其他性能指標(biāo)

延遲時(shí)間。檢測延遲指的是在攻擊發(fā)生至IDS檢測到入侵之間的延遲時(shí)間。延遲時(shí)間的長短直接關(guān)系著入侵攻擊破壞的程度。

資源的占用情況。即系統(tǒng)在達(dá)到某種檢測有效性時(shí)對資源的需求情況。通常，在同等檢測有效性的前提下，對資源的要求越低，IDS的性能越好，檢測入侵的能力也就越強(qiáng)。

負(fù)荷能力。IDS有其設(shè)計(jì)的負(fù)荷能力，在超出負(fù)荷能力的情況下，性能會出現(xiàn)不同程度的下降。比如，在正常情況下IDS可檢測到某攻擊但在負(fù)荷大的情況下可能就檢測不出該攻擊?？疾鞕z測系統(tǒng)的負(fù)荷能力就是觀察不同大小的網(wǎng)絡(luò)流量、不同強(qiáng)度的CPU內(nèi)存等系統(tǒng)資源的使用對IDS的關(guān)鍵指標(biāo)（比如檢測率、虛警率）的影響。

日志、報(bào)善、報(bào)告以及響應(yīng)能力。日志能力是指檢測系統(tǒng)保存日志的能力、按照特定要求選取日志內(nèi)容的能力。報(bào)警能力是指在檢測到入侵后，向特全部件、人員發(fā)送報(bào)警信號的能力以及在報(bào)警中附加信息的能力。報(bào)告能力是指產(chǎn)生入侵行為報(bào)告、提供查詢報(bào)告、創(chuàng)建和保存報(bào)告的能力。響應(yīng)能力是指在檢測到入侵后進(jìn)一步處理的能力，這包括阻斷入侵、跟蹤入侵者、記錄入侵證據(jù)等。

系統(tǒng)的可用性。主要是指系統(tǒng)安裝、配置、管理、使用的方便程度，系統(tǒng)界面的友好程度，攻擊規(guī)則庫維護(hù)的簡易程度等方面。

總之，IDS是個(gè)比較復(fù)雜的系統(tǒng)，對IDS進(jìn)行測試和評估不僅和IDS本身有關(guān)，還與應(yīng)用IDS的環(huán)境有關(guān)。測試過程中涉及到操作環(huán)境、網(wǎng)絡(luò)環(huán)境、工具、軟件、硬件等方面。我們既要考慮入侵檢測的效果如何，也要考慮應(yīng)用該系統(tǒng)后它對實(shí)際系統(tǒng)的影響，有時(shí)要折衷考慮這兩種因素。

網(wǎng)頁名稱：測試評估IDS的性能指標(biāo)
轉(zhuǎn)載源于：http://www.5511xx.com/article/cdegjdd.html