第13讲:第7章-入侵检测系统的标准与评估
《第13讲:第7章-入侵检测系统的标准与评估》由会员分享,可在线阅读,更多相关《第13讲:第7章-入侵检测系统的标准与评估(34页珍藏版)》请在文档大全上搜索。
1、0入侵检测技术分析第第13讲讲1入侵检测技术分析入侵检测技术分析 第七章第七章入侵检测系统的评估入侵检测系统的评估2课程安排课程安排n入侵检测概述入侵检测概述 2学时n 入侵方法及手段入侵方法及手段 3学时n 入侵检测系统入侵检测系统 3学时n 入侵检测流程入侵检测流程 6学时n 基于主机的入侵检测技术基于主机的入侵检测技术 4学时n 基于网络的入侵检测技术基于网络的入侵检测技术 4学时n 入侵检测系统的标准与评估入侵检测系统的标准与评估 4学时n Snort 分析分析 4学时n 入侵检测技术的发展趋势入侵检测技术的发展趋势 2学时 n 共32学时 3教材及参考书教材及参考书n 入侵检测技术曹
2、元大 人民邮电出版社n入侵检测技术薛静锋等 机械工业出版社 nSnort 2.0 入侵检测Brian Caswell等著 宋劲松等著 国防工业出版社 n 入侵检测实用手册Paul E. Proctor 中国电力出版社n http:/ 入侵检测标准化工作入侵检测标准化工作l CIDFl IDMEFl 入侵检测系统的设计考虑入侵检测系统的设计考虑5第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n入侵检测的标准化工作入侵检测的标准化工作n 入侵检测设计方面的考虑入侵检测设计方面的考虑n 评价入侵检测系统性能的标准评价入侵检测系统性能的标准n 网络入侵检测系统测试评估网络入侵检测系统测试评
3、估n 测试评估的内容测试评估的内容n 测试环境和测试软件测试环境和测试软件n 用户评估标准用户评估标准n 入侵检测评估方案入侵检测评估方案6第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估l 7.3 入侵检测系统的性能指标入侵检测系统的性能指标l评价入侵检测系统性能的标准评价入侵检测系统性能的标准l 根据根据PorrasPorras等研究等研究, ,给出评价入侵检测系统性给出评价入侵检测系统性能的能的3 3个因素个因素. .l 准确性准确性(Accuracy)(Accuracy)l 处理性能处理性能(Performance)(Performance)l 完备性完备性(Complete
4、ness)(Completeness)l 在此基础上在此基础上,Debar,Debar等又增加了如下两个性能评等又增加了如下两个性能评价测度价测度: :l 容错性容错性(Fault Tolerance)(Fault Tolerance)l 及时性及时性(Timeliness)(Timeliness)7第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n 7.3 入侵检测系统的性能指标入侵检测系统的性能指标l影响入侵检测系统性能的参数影响入侵检测系统性能的参数 有效性有效性: : 研究检测机制的检测精度和系统报警研究检测机制的检测精度和系统报警的可信度的可信度 效率效率: : 从检测机制
5、的处理数据的速度以及经济从检测机制的处理数据的速度以及经济性的角度来考虑性的角度来考虑l 本节从有效性的角度对检测系统的检测性能及本节从有效性的角度对检测系统的检测性能及影响性能的参数进行分析讨论影响性能的参数进行分析讨论. .l 下面利用贝叶斯理论来分析基于异常检测的入下面利用贝叶斯理论来分析基于异常检测的入侵检测系统的检测率、虚警率与报警可信度之侵检测系统的检测率、虚警率与报警可信度之间的关系。间的关系。8第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n 7.3 入侵检测系统的性能指标入侵检测系统的性能指标l影响入侵检测系统性能的参数影响入侵检测系统性能的参数在异常检测和误用检
6、测中都会产生误报。误报包括在异常检测和误用检测中都会产生误报。误报包括虚警虚警(False Positive)(False Positive)和漏警和漏警(False Negative)(False Negative)。在异常检测中,由于不能保证入侵活动与异常活动在异常检测中,由于不能保证入侵活动与异常活动完全相符,因此会出现是异常却非入侵的情况或者完全相符,因此会出现是异常却非入侵的情况或者出现入侵却非异常的情况,前者会产生虚警,后者出现入侵却非异常的情况,前者会产生虚警,后者会产生漏警。会产生漏警。在误用检测中,由于可能出现入侵特征定义的不准在误用检测中,由于可能出现入侵特征定义的不准确和
7、不全面,因此会出现将正常模式当成入侵模式确和不全面,因此会出现将正常模式当成入侵模式的情况或者出现不能识别入侵模式的情况,前者会的情况或者出现不能识别入侵模式的情况,前者会产生虚警,后者会产生漏警。产生虚警,后者会产生漏警。9第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n 7.3 入侵检测系统的性能指标入侵检测系统的性能指标l影响入侵检测系统性能的参数影响入侵检测系统性能的参数入侵检测可以看作一个简单的二值假设检验问题。入侵检测可以看作一个简单的二值假设检验问题。为便于分析为便于分析, ,给出相关定义和符号。给出相关定义和符号。 假设假设I I和和I I分别表示入侵行为和目标系统
8、的正常分别表示入侵行为和目标系统的正常行为,行为,A A表示检测系统发出警报,表示检测系统发出警报,A A表示检测系统表示检测系统没有警报。没有警报。u 检测率:指目标系统受到入侵攻击时,检测系统能检测率:指目标系统受到入侵攻击时,检测系统能够正确报警的概率,可表示为够正确报警的概率,可表示为P P(A|IA|I)。)。u 虚警率:检测系统在检测时出现虚警的概率,用虚警率:检测系统在检测时出现虚警的概率,用P(A|P(A|I)I)表示。表示。u漏检率:检测系统在检测时出现漏警的概率,用漏检率:检测系统在检测时出现漏警的概率,用P(P(A|I)A|I)表示。表示。10第第7章章入侵检测系统的标准
9、与评估入侵检测系统的标准与评估n 7.3 入侵检测系统的性能指标入侵检测系统的性能指标l影响入侵检测系统性能的参数影响入侵检测系统性能的参数P(P(A|A|I)I)则指目标系统正常的情况下,检测系统则指目标系统正常的情况下,检测系统不报警的概率。不报警的概率。 显然有:显然有: P(P(A|I)=1- P(A|I) A|I)=1- P(A|I) , P(P(A|A|I)=1- P(A|I)=1- P(A|I)I)l 在实际应用中,主要关注一个入侵检测系统的报在实际应用中,主要关注一个入侵检测系统的报警结果能否正确地反映目标系统的安全状态。警结果能否正确地反映目标系统的安全状态。 P( I |A
10、)P( I |A)给出了检测系统报警信息的可信度,即给出了检测系统报警信息的可信度,即检测系统报警时,目标系统正受到入侵攻击的概率。检测系统报警时,目标系统正受到入侵攻击的概率。 P(P( I | I |A)A)则给出了检测系统没有报警时,目则给出了检测系统没有报警时,目标系处于安全状态的可信度。标系处于安全状态的可信度。我们期望系统的这两个参数的值越大越好。我们期望系统的这两个参数的值越大越好。11第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n 7.3 入侵检测系统的性能指标入侵检测系统的性能指标l影响入侵检测系统性能的参数影响入侵检测系统性能的参数根据贝叶斯定理给出这二个参数
11、的计算公式:根据贝叶斯定理给出这二个参数的计算公式: )|()()|()()/()()|(IAPIPIAPIPIAPIPAIP)|()()|()()|()()|(IAPIPIAPIPIAPIPAIP12第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n7.3 入侵检测系统的性能指标入侵检测系统的性能指标l影响入侵检测系统性能的参数影响入侵检测系统性能的参数先验概率先验概率P(I)P(I)可利用实验环境和实际环境得到。可利用实验环境和实际环境得到。因为入侵行为出现的概率一般很小,即因为入侵行为出现的概率一般很小,即u l 所以所以P(I |A) P(I |A) 的值主要取决于虚警率的影
