IDS的评估标准

admin 2021年6月12日02:47:20评论152 views字数 768阅读2分33秒阅读模式

1.IDS的评估标准

目前市场上有许多入侵检测系统,这些产品在不同方面都有各自的特色。如何去评价这些产品,尚无形成规定的评估标准。

一般可以从以下几个侵检测系统:方面去评价一个入侵检测系统:

(1) 能保证自身的安全

和其他系统一样,入侵检测系统本身也往往存在安全漏洞。如果查询bugtraq的邮件列表,诸如AxentNetProwler,NFR,ISS Realsecure 等知名产品都有漏洞被发觉出来。若对入侵检测系统攻击成功,则直接导致其报警失灵,入侵者在其后所作的行为将无法被记录。因此入侵检测系统首先必须保证自己的安全性。

(2) 运行与维护系统的开销

较少的资源消耗,不影响受保护主机或网络的正常运行。

(3)入侵检测系统报警准确率

误报和漏报的情况尽量少。

(4)网络入侵检测系统负载能力以及可支持的网络类型

根据网络入侵检测系统所布署的网络环境不同要求也不同。如果在512K或2M专线上布署网络入侵检测系统,则不需要高速的入侵检测引擎,而在负荷较高的环境中,性能是一个非常重要的指标。网络入侵检测系统是非常消耗资源的,但很少有厂商公布自己的pps (packet per second)参数。

(5)是否支持IP碎片重组

由于 IP 碎片攻击是攻击者常用的方法,而在入侵检测中分析单个的数据包会导致许多误报和漏报,因此是否支持IP碎片的重组对于整个入侵检测系统检测的精确度有直接影响。IP碎片重组的评测标准有三个性能参数:能重组的最大IP分片数;能同时重组的IP包数;能进行重组的最大IP数据包的长度。

(6)是否支持TCP流重组


TCP 流重组是为了对完整的网络对话进行分析,它是网络入侵检测系统对应用层进行分析的基础。如检查邮件内容、附件,检查FTP传输的数据,禁止访问有害网站、判断非法HTTP请求等。


本文始发于微信公众号(LemonSec):IDS的评估标准

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年6月12日02:47:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   IDS的评估标准https://cn-sec.com/archives/301647.html

发表评论

匿名网友 填写信息