第讲第7章-入侵检测系统的标准与评估PPT文档格式.ppt
- 文档编号:15041539
- 上传时间:2022-10-27
- 格式:PPT
- 页数:34
- 大小:578.50KB
第讲第7章-入侵检测系统的标准与评估PPT文档格式.ppt
《第讲第7章-入侵检测系统的标准与评估PPT文档格式.ppt》由会员分享,可在线阅读,更多相关《第讲第7章-入侵检测系统的标准与评估PPT文档格式.ppt(34页珍藏版)》请在冰豆网上搜索。
8第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n7.3入侵检测系统的性能指标入侵检测系统的性能指标l影响入侵检测系统性能的参数影响入侵检测系统性能的参数在异常检测和误用检测中都会产生误报。
误报包括在异常检测和误用检测中都会产生误报。
误报包括虚警虚警(FalsePositive)(FalsePositive)和漏警和漏警(FalseNegative)(FalseNegative)。
在异常检测中,由于不能保证入侵活动与异常活动在异常检测中,由于不能保证入侵活动与异常活动完全相符,因此会出现是异常却非入侵的情况或者完全相符,因此会出现是异常却非入侵的情况或者出现入侵却非异常的情况,前者会产生虚警,后者出现入侵却非异常的情况,前者会产生虚警,后者会产生漏警。
会产生漏警。
在误用检测中,由于可能出现入侵特征定义的不准在误用检测中,由于可能出现入侵特征定义的不准确和不全面,因此会出现将正常模式当成入侵模式确和不全面,因此会出现将正常模式当成入侵模式的情况或者出现不能识别入侵模式的情况,前者会的情况或者出现不能识别入侵模式的情况,前者会产生虚警,后者会产生漏警。
产生虚警,后者会产生漏警。
9第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n7.3入侵检测系统的性能指标入侵检测系统的性能指标l影响入侵检测系统性能的参数影响入侵检测系统性能的参数入侵检测可以看作一个简单的二值假设检验问题。
入侵检测可以看作一个简单的二值假设检验问题。
为便于分析为便于分析,给出相关定义和符号。
给出相关定义和符号。
假设假设II和和II分别表示入侵行为和目标系统的正常分别表示入侵行为和目标系统的正常行为,行为,AA表示检测系统发出警报,表示检测系统发出警报,AA表示检测系统表示检测系统没有警报。
没有警报。
u检测率:
指目标系统受到入侵攻击时,检测系统检测率:
指目标系统受到入侵攻击时,检测系统能够正确报警的概率,可表示为能够正确报警的概率,可表示为PP(A|IA|I)。
)。
u虚警率:
检测系统在检测时出现虚警的概率,用虚警率:
检测系统在检测时出现虚警的概率,用P(A|P(A|I)I)表示。
表示。
u漏检率:
检测系统在检测时出现漏警的概率,用漏检率:
检测系统在检测时出现漏警的概率,用PP(A|I)A|I)表示。
10第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n7.3入侵检测系统的性能指标入侵检测系统的性能指标l影响入侵检测系统性能的参数影响入侵检测系统性能的参数P(P(A|A|I)I)则指目标系统正常的情况下,检测系统则指目标系统正常的情况下,检测系统不报警的概率。
不报警的概率。
显然有:
P(P(A|I)=1-P(A|I)A|I)=1-P(A|I),P(P(A|A|I)=1-P(A|I)=1-P(A|I)I)l在实际应用中,主要关注一个入侵检测系统的报在实际应用中,主要关注一个入侵检测系统的报警结果能否正确地反映目标系统的安全状态。
警结果能否正确地反映目标系统的安全状态。
P(I|A)P(I|A)给出了检测系统报警信息的可信度,即给出了检测系统报警信息的可信度,即检测系统报警时,目标系统正受到入侵攻击的概率。
检测系统报警时,目标系统正受到入侵攻击的概率。
P(P(I|I|A)A)则给出了检测系统没有报警时,目则给出了检测系统没有报警时,目标系处于安全状态的可信度。
标系处于安全状态的可信度。
我们期望系统的这两个参数的值越大越好。
11第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n7.3入侵检测系统的性能指标入侵检测系统的性能指标l影响入侵检测系统性能的参数影响入侵检测系统性能的参数根据贝叶斯定理给出这二个参数的计算公式:
根据贝叶斯定理给出这二个参数的计算公式:
12第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n7.3入侵检测系统的性能指标入侵检测系统的性能指标l影响入侵检测系统性能的参数影响入侵检测系统性能的参数先验概率先验概率P(I)P(I)可利用实验环境和实际环境得到。
可利用实验环境和实际环境得到。
因为入侵行为出现的概率一般很小,即因为入侵行为出现的概率一般很小,即ul所以所以P(I|A)P(I|A)的值主要取决于虚警率的影响。
假的值主要取决于虚警率的影响。
假定某一时间段内受到入侵攻击的概率定某一时间段内受到入侵攻击的概率P(I)=0.00001P(I)=0.00001,图中给出了检测系统的报警信息,图中给出了检测系统的报警信息可信度与系统检测虚警率、检测率之间的关系。
可信度与系统检测虚警率、检测率之间的关系。
给定检测率,可信度随虚警率的增加而减小。
给定虚警率的条件下,可信度将随着检测率的增给定虚警率的条件下,可信度将随着检测率的增大而增大。
大而增大。
P(A|I)=1P(A|I)=1且且P(A|P(A|I)=0I)=0时,检测结果最可信,但时,检测结果最可信,但这仅是理想情况。
这仅是理想情况。
13第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n可信度、虚警率、检测率之间的关系图可信度、虚警率、检测率之间的关系图14第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n7.3入侵检测系统的性能指标入侵检测系统的性能指标l评价检测算法性能的测度评价检测算法性能的测度通常可以用检测率随虚警率的变化曲线来评价检通常可以用检测率随虚警率的变化曲线来评价检测系统的性能测系统的性能,这个曲线称为接收器特性这个曲线称为接收器特性(ROC-(ROC-ReceiverOperationCharacteristic)ReceiverOperationCharacteristic)曲线。
曲线。
下图对应着采用不同检测算法的入侵检测系统下图对应着采用不同检测算法的入侵检测系统AA、BB、CC,所做的,所做的ROCROC曲线簇。
曲线簇。
uAA代表最坏情况,相当于对入侵行为没有识别能代表最坏情况,相当于对入侵行为没有识别能力力u系统系统CC始终优于系统始终优于系统BBu检测系统的性能图中检测系统的性能图中y=xy=x可以作为系统的性能基可以作为系统的性能基准,所有的入侵检测系统性能都应好于它所代表的准,所有的入侵检测系统性能都应好于它所代表的系统。
系统。
15第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n7.3入侵检测系统的性能指标入侵检测系统的性能指标l评价检测算法性能的测度评价检测算法性能的测度图中有三个坐标点需要关注:
图中有三个坐标点需要关注:
u(00,00)点表示一个检测系统的报警门限过高,)点表示一个检测系统的报警门限过高,检测不出入侵情况检测不出入侵情况u(11,11)点则表示检测系统的报警门限为)点则表示检测系统的报警门限为00时,时,检测系统把被监控系统的所有行为都视为入侵活检测系统把被监控系统的所有行为都视为入侵活动的情况。
动的情况。
u(00,11)点则代表了一个完美的检测系统,能)点则代表了一个完美的检测系统,能在没有虚警的情况下,检测出所有的入侵活动,在没有虚警的情况下,检测出所有的入侵活动,这是理想的情况。
这是理想的情况。
16第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估表示不同检测性能的表示不同检测性能的ROC曲线簇曲线簇017第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n7.4网络入侵检测系统测试评估网络入侵检测系统测试评估l测试评估入侵检测系统很困难测试评估入侵检测系统很困难涉及操作系统、网络环境、工具、软件、硬件涉及操作系统、网络环境、工具、软件、硬件和数据库等技术方面问题和数据库等技术方面问题IDSIDS目前没有工业标准可参考来评测目前没有工业标准可参考来评测IDSIDS厂商不会公布检测算法厂商不会公布检测算法只能依靠黑箱测试只能依靠黑箱测试lIDSIDS的评估者主要来自开发者、第三方、入侵的评估者主要来自开发者、第三方、入侵者和最终用户者和最终用户l入侵和最终用户的测试是在实际应用环境下进入侵和最终用户的测试是在实际应用环境下进行的行的,评估效果更关键。
,评估效果更关键。
18第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n7.4网络入侵检测系统测试评估网络入侵检测系统测试评估l一般情况下,一般情况下,IDSIDS测试环境的组成有测试平台控测试环境的组成有测试平台控制器、正常合法使用用户、攻击者、服务器和制器、正常合法使用用户、攻击
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第讲第 入侵 检测 系统 标准 评估