计算机入侵检测系统性能指标在《计算机网络与信息安全》中

2023-10-18 理论教育版权反馈

【摘要】：（一）事件数量考察IDS系统的一个关键性指标是报警事件的多少。一般而言，事件越多，表明IDS系统处理的能力越强。目前的IDS系统都具有2000个以上的事件分析产生能力。对目前的IDS系统，数据加密已经是系统必备的功能。目前，大多数商用IDS系统都提供可定义事件，但很少提供事件的可定义性。积极响应是指IDS系统自动地对该网络行为进行干预，阻止其进一步的行为。IDS系统上报的各种事件，从本质

（一）事件数量

考察IDS系统的一个关键性指标是报警事件的多少。一般而言，事件越多，表明IDS系统处理的能力越强。目前的IDS系统都具有2000个以上的事件分析产生能力。但随着事件的推移，并非事件越多越好，因为过于陈旧的非法事件，在现实的网络和系统环境中已经不存在了，其攻击方法自然就没有任何意义，而且还会占用系统的处理时间和空间。因此，严格地说，应该是当前能够使用的非法事件越多越好。一般而言，这个数量应该与流行系统的漏洞数目相关。

（二）通信安全性

作为分布式结构的IDS系统，通信是其自身安全的关键因素。通信安全通过身份认证和数据加密两种方法来实现。

身份认证是要保证一个引擎，或者子控制中心只能由固定的上级进行控制，任何非法的控制行为将予以阻止，如图8-4所示。

pagenumber_ebook=172,pagenumber_book=166

图8-4　IDS控制中心与引擎的连接认证

图8-4中的实箭头连线为合法连接，被系统接受并进行控制；虚箭头连线为非法连接，被系统拒绝。一般而言，身份认证采用非对称加密算法，通过拥有对方的公钥，进行加密、解密完成身份认证。

经过双方两个回合的相互认证，完成了相互的唯一身份认证。在目前有的IDS产品中，为了防止密钥文件被复制，系统定期由用户人工进行密钥的更新或由用户选择加密算法，这一切都是为了提高系统的身份认证的安全可靠性。

数据的加密传输一般使用对称加密算法，在完成身份认证后，利用相对简单的加密算法进行大量的数据交换，这里的关键在于密钥的保密性。一般系统都是使用动态密钥，并且在一段时间内自动进行密钥更换。对目前的IDS系统，数据加密已经是系统必备的功能。

（三）事件定义

根据IDS系统产生事件的方式，可以分为程序执行和解释执行两种方式。程序执行方式是把匹配规则写入程序中，每一个事件或一类事件对应一个子程序，每次增加或修改事件，都需要增加和修改程序。解释执行方式是先把事件通过逻辑表达式体现出来，然后程序读入并解释执行这些逻辑规则，判断出网络数据中的事件，当增加或修改事件时，只要修改事件定义文件即可。

显然，因为解释执行方式不修改程序就可以增加修改网络事件，能够满足变化快速的IDS的需求，同时由于不需要随时修改程序，大大提高了系统的可靠性。但由于统一的表达方式难以解决，同时解释执行方式必须具有高速和精练的匹配算法，因此大多数商用系统采用的是部分用户定义事件，系统主体仍然是程序执行方式，事件升级通过DLL动态连接库等方式完成。

事件的可定义性或可定义事件是IDS的一个主要特性。目前，大多数商用IDS系统都提供可定义事件，但很少提供事件的可定义性。

可定义事件可以让用户自己定义某些事件，如RealSecure允许用户自己定义一些HTTP的某些事件，但内部的大多数事件并不是自行定义的。而事件的可定义性允许用户定义系统的所有事件，也就是系统的事件是用描述语言定义的，目前只有Snort和启明星辰的IDS系统支持这种技术。

显而易见，有可定义事件的系统，比没有可定义事件的系统灵活，而事件可定义性比可定义事件性能更好。

（四）事件响应

当IDS系统产生了一个事件后，不仅仅是报告显示该事件，还可以进行一系列操作对该事件进行实时处理。按照处理方法的不同，一般分为基本（被动）响应和积极（主动）响应两种。

1.基本响应

基本响应是IDS所产生的响应，只是为了更好地通知安全人员，并不对该网络行为进行自动的阻断行为。积极响应是指IDS系统自动地对该网络行为进行干预，阻止其进一步的行为。基本响应主要有下面几种：事件上报、事件日志、E-mail通知、手机短信息、呼机信息、Windows消息、Snmp发送、会话重现、语音报警等。(www.chuimin.cn)

总之，系统应该采用更多、更直接、更快速、更有效的方式把监测到的网络非法事件通知管理人员。

2.积极响应

积极响应也称主动响应，是指IDS系统在事件发生后自动地阻止该事件，使该事件无法继续进行。目前所有的IDS系统也都具有此项功能，只不过功能上有强弱差别。积极响应的形式有：TCP阻断、源阻断、防火墙联动等。

（五）自身安全

作为安全设备，其本身的安全性，也是一个主要的考虑因素：作为一个网络设备，尤其目前IDS系统都是在一个流行操作系统上运行的应用软件，其系统本身的安全性能就格外重要。一般而言，自身安全指的是探测引擎的安全性，因为引擎是直接接在被探测网络上的，而控制中心可以在内部网络中。

隐蔽性：作为一个安全的网络设备，IDS不希望被网络上的其他系统发现，尤其不能让其他网络系统所访问。因此，最基本的要求是对探测引擎的系统进行安全设置，关闭所有可能的端口，阻止一切可能的侵入。第二是修改系统的设置，阻止一切没有必要的网络行为，如Ping回答报文、TCP拒绝连接报文等正常的回应行为。第三是关闭所有网络行为，进行无IP地址抓包，使网络上根本不存在一个IDS的网络地址，这样针对IDS软件所在系统的直接攻击行为将不存在。

定制操作系统：目前商用的网络IDS系统一般运行于Linux和NT下，在NT下无法定制操作系统，但在Linux下，由于Linux的开放性，可以对Linux进行特殊的修改和配置，成为专用的操作系统，这样不仅可以提高IDS系统的安全性，也可以提高系统的速度和可靠性。例如，IDS系统一般有两个网络接口：一个用于抓包，一个用于通信。对通信的网络接口而言，有可能受到来自内部网络的攻击。仅仅依靠安全设置，无法彻底关闭如ICMP报文、TCP的RST报文等正常的应答报文，必须经过Linux的内核重新编译配置，才能满足安全的需求。

（六）终端安全

控制中心虽然处于网络安全地区，但也可能受到非法网络行为的攻击，尤其是各种数据和控制运行方式全部由控制中心制定，因此，应该保证控制中心足够安全。

目前，对控制中心的安全保证措施主要是访问控制的能力，有多个用户、多个级别的控制中心，不同的用户应该有不同的权限，保证控制中心的安全性。但一般而言，系统不会分过多的用户级别，以免操作过于烦琐，但至少应该有两个操作级别：查看级别和设置级别。

（七）事件分析

事件分析也是目前IDS领域的一个重要研究课题，目前还没有突破性的成果。IDS系统上报的各种事件，从本质上说都是一个个的可疑动作。非法行为的确定是比较复杂的，可疑动作一般不能直接确定非法行为，但一个非法行为一定包含在众多的可疑动作之间，如何分析和找到真正的非法行为者，是非常困难的。应该考虑以下几个特性：

（1）不是每个事件都是入侵事件。有些网络的正常应用（特别是内网环境）也会符合事件特征。

（2）不是每个事件都会产生攻击效果，攻击的成功依赖于目标系统环境。

（3）有些事件只是一种攻击尝试。

（4）分析事件可以帮助管理员监测网络中的违法访问、攻击和企图攻击行为。

（5）通过对事件的分析进行修补漏洞，预防黑客对网络上主机的非法访问和攻击，以帮助管理员更好地维护网络的稳定运行。

目前的分析方法主要是基于统计的事件分析方法，统计事件发生的频率和不同事件间的数量关系。例如，一次口令失败是一个正常事件，不需要上报控制中心，但连续的十次口令失败，且其源、目的地址都是一样的，则可以肯定是一次口令猜测攻击行为。再如，Finge，命令后很快使用Telnet命令登录，且两个事件的地址及用户名完全一样，则很肯定是一个攻击行为：先用Finger探测用户名称，然后用Telnet命令试图登录该用户。

计算机入侵检测系统性能指标在《计算机网络与信息安全》中

相关推荐