《入侵检测系统测试评估的方法研究》由会员分享,可在线阅读,更多相关《入侵检测系统测试评估的方法研究(50页珍藏版)》请在金锄头文库上搜索。
1、湖北工业大学 硕士学位论文 入侵检测系统测试评估的方法研究 姓名:刘桥 申请学位级别:硕士 专业:计算机应用技术 指导教师:陈卓 20100501 湖 北 工 业 大 学 硕 士 学 位 论 文 I 摘 要 在信息安全领域, 入侵检测系统(IDS)的重要性越来越受到大家的重视, 对入侵 检测技术的研究也因此而更加深入,这使得入侵检测系统的研发呈现出百花齐放 的局面。随着 IDS 产品的大量应用,使得针对 IDS 产品的可靠性、稳定性等方面 的性能指标的检测变得十分迫切,所以,设计通用的测试、评估方法和平台, 实 现对多种 IDS 公平的检测, 已成为当前研究与发展的重要方向。 为解决上述问题,
2、提出了一套对入侵检测系统进行测试和评估的方案。该方案 的特点之一是设计了一个测试评估框架,该测试框架的原理是通过模拟网络流量、 自动生成网络攻击数据,分析测试结果,最后生成评估报告。 另外还提出了一个对入侵检测系统进行测试评估的三维指标。该指标模型综合 考虑了入侵检测的测评因素,从系统功能维,系统性能维,系统可管理维这三个 大的方面来定量地全面考察和评估 IDS 的表现。 然后采用基于熵权系数模糊综合评判策略给各指标设定权值,使得最后的评分 更加准确。实用这样的评估方法能够避免现有的几种评估算法只针对某几项指标 对 IDS 进行评价的弊端,而能够实现对 IDS 进行整体的综合评价。 最后使用文
3、中提出的入侵检测系统测评方案对现行三种典型的入侵检测系: BlackICE PC Protection(Black-ICE PCP)、 Snort、 eTrust Intrusion Detection(eTrust ID) 做出测试评估实验,以证明方案的可行性。 关键词:关键词:测试评估框架,三维指标,评价体系,熵权系数 湖 北 工 业 大 学 硕 士 学 位 论 文 II Abstract With the deeper research of intrusion detection technique, It thus becomes an important research and
4、development field to design a general test and evaluation method and platform and to implement kinds of IDS detection. This paper proposed an evaluation framework of Intrusion Detection System (IDS). Virtual machine technique was used in this evaluation framework, besides; it presented a 3D model of
5、 evaluation model which was included two-level fuzzy factors. At last, fuzzy comprehensive evaluation strategy based on entropy weight coefficient was used in a 3D model of evaluation indexes, which can used to set weight for each of its index factors of this evaluation system. This paper reports on
6、 an evaluation framework of IDS and emphasizes on how to construct a test platform, which applies virtual machine technique to construct various virtual networks to solve the problem that too much hardware should be invested in constructing the traditional test platform. We propose a four-level atta
7、ck framework that can produce attack data automatically and effectively. Finally, we give a 3D-model that not only is used for analyzing and evaluating but also provides the more comprehensive evaluation results. Based on the 3D-model, we set weight to each index with entropy weight coefficient fuzz
8、y comprehensive evaluation strategy that makes the ultimate evaluation more accurate. Keywords: evaluation framework, attack structure, evaluation system, entropy weight coefficient 学位论文原创性声明和使用授权说明 原创性声明原创性声明 本人郑重声明:所呈交的学位论文,是本人在导师指导下,独立进行研究工作所取 得的研究成果。除文中已经标明引用的内容外,本论文不包含任何其他个人或集体已经 发表或撰写过的研究成果。对本
9、文的研究做出贡献的个人和集体,均已在文中以明确方 式标明。本声明的法律结果由本人承担。 学位论文作者签名: 日期: 年 月 日 学位论文版权使用授权书学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定,即:学校有权保留 并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。本人授 权湖北工业大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,可以采 用影印、缩印或扫描等复制手段保存和汇编本学位论文。 学位论文作者签名: 指导教师签名: 日期: 年 月 日 日期: 年 月 日 湖 北 工 业 大 学 硕 士 学 位 论 文 1 第 1 章 绪
10、论 1.1 研究背景 为了解决网络信息安全问题,各种安全机制、策略和工具被研究和应用,许多 的安全技术得到了发展并被集成到安全设备中,为计算机网络提供信息安全保障。 先进的安全技术是信息安全的根本保障,用户对自身面临的威胁进行风险评估, 决定其需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术。 目前比较成熟的技术有防火墙技术、加密技术、鉴别技术、数字签名技术等,在 这些技术当中,基于访问控制的防火墙技术发展最快、应用最广。防火墙设置在 不同网络或网络安全域即公共网和企业内部网之间,是不同网络或安全域之间的 可控制的出入口,能根据企业的安全政策控制允许、拒绝、监测出入网络的信息 流
11、。它是提供信息安全服务,实现网络和信息安全的基础设施1。 然而没有一个安全设备能解决信息系统的所有安全问题,防火墙同样如此,在 使用了防火墙的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以 归结为以下几点: 1防火墙可以隐蔽内部网络结构,限制外部网络到内部网络的访问。可是对 于内部网络之间的访问,防火墙往往是无能为力的。所以,对于内部网络到内部 网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。 2安全工具的使用受到人为因素的影响。一个安全工具能不能实现期望的效 果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就 会产生不安全因素2。 针对具体的应
12、用环境和专门的应用需求是很难判断设置的正 确性。 3系统的后门是传统安全工具难于考虑到的地方。防火墙很难考虑到这类安 全问题,多数情况下,这类入侵行为可以堂而皇之经过防火墙而很难被察觉。 4很多程序可能存在 BUG。甚至连安全工具本身也可能存在安全的漏洞。系 统的 BUG 经常被黑客利用,而且这种攻击通常不会产生日志几乎无据可查。比如 说现在很多程序都存在内存溢出的 BUG,现有的安全工具对于利用这些 BUG 的 攻击几乎无法防范。 入侵检测技术可以较好的解决以上的问题8。入侵检测系统是根据网络攻击行 为而进行设计的,它可以发现己知的入侵行为,并及时提醒网络管理人员调整系 湖 北 工 业 大
13、学 硕 士 学 位 论 文 2 统策略以加强系统的安全性。它能够检测来自外部网络和内部网络的多种攻击, 在检测到攻击时可以发出报警信息,弥补了防火墙的不足。入侵检测系统作为防 火墙后的第二道闸门,因其动态检测、主动防御的特点,而越来越受到人们的更 多关注,是构建网络立体安全防御体系中的重要环节。 入侵检测系统(IDS - Intrusion Detection System)已经成为安全体系的重要组成 部分,它的用户越来越多3,4。大量的不同类型的入侵检测系统如何进行测评和比 较的问题现在日益突显, 如何能保证 IDS 发现入侵行为,如何正确并有效地操作 IDS 并按照自己的意图来进行工作,I
14、DS 的工作状况是否正常,IDS 是否遭受攻击 并被攻破。对 IDS 是否达到了最初的设计目标,怎么样才能提高 IDS 的性能和效 率。这就需要对 IDS 进行权威和公正的测试和评估。这样对各种 IDS 进行的评估 可以使 IDS 技术发展的现状和系统存在的不足得到了解,从而了解到哪些关键的 技术将适合作为研究的重点。 1.2 国内外研究现状 随着入侵检测系统在维护计算机安全方面发挥的作用日益突出,对其进行评 价的技术也显得尤为重要。如何测试和评估这些系统是目前国内外有许多入侵检 测评测机构研究的重点5。 1.2.1 国外的测评情况 目前,IDS 的测试只有依靠黑箱法测试,即构建测试所需的网络
15、环境,模拟真 实的网络背景流量,产生攻击数据,记录 IDS 系统对各种攻击的反应信息,然后 分析测试结果。 国外学者对 IDS 的测试评估已经做了一些工作, Puketza 等人在 1994 年开创了 对 IDS 评估系统研究的先河,在他们开发的软件平台上可以实现自动化的攻击仿 真1。 1998 年 Debar 等在 IDS 实验测试系统的研究中,指出在评估环境中仿真正常 网络流量是一件非常复杂而且耗时的工作7-9。 Lippmann 在 1998、1999 进行的两次 IDS 离线评估,是迄今为止最权威的 IDS 评估。他们在精心设计的测试网络中,对正常网络流量进行了仿真实施了进行了 大量的
16、攻击,并将记录下的流量系统日志和主机上文件系统映象等数据交由参加 评估的 IDS 进行了离线分析。最后根据各 IDS 提交的检测结果做出评估报告。同 1998 年相比,1999 年的评估有了很大改善。比如在测试网络中加入了运行 湖 北 工 业 大 学 硕 士 学 位 论 文 3 WindowsNT 和 Windows98 的主机,并增加了很多新的攻击方法和来自内部的攻击 方式9,10。 总体来说,1999 年 DARPA 对 IDS 进行的离线评估是基本达到了目的的。 系统 根据参评 IDS 的检测结果对 IDS 打分,并着重分析了产生漏报与误报的原因,攻 击数据集扩充了很多新的攻击类型,里面 58 种攻击类型的 200 种实例10 ,包括 针对操作系统的攻击和内部攻击。但是评估依旧有着需要改进的地方,在评估过 程中根据统计的结果使用模拟的数据流取代实际的网络流量,然而分析真实网络流 量所采取的统计方法却并未公开,而模拟流量是否会对评估结果造成
