1.IDS的评估标准
目前市场上有许多入侵检测系统,这些产品在不同方面都有各自的特色。如何去评价这些产品,尚无形成规定的评估标准。
一般可以从以下几个侵检测系统:方面去评价一个入侵检测系统:
(1) 能保证自身的安全
和其他系统一样,入侵检测系统本身也往往存在安全漏洞。如果查询bugtraq的邮件列表,诸如AxentNetProwler,NFR,ISS Realsecure 等知名产品都有漏洞被发觉出来。若对入侵检测系统攻击成功,则直接导致其报警失灵,入侵者在其后所作的行为将无法被记录。因此入侵检测系统首先必须保证自己的安全性。
(2) 运行与维护系统的开销
较少的资源消耗,不影响受保护主机或网络的正常运行。
(3)入侵检测系统报警准确率
误报和漏报的情况尽量少。
(4)网络入侵检测系统负载能力以及可支持的网络类型
根据网络入侵检测系统所布署的网络环境不同要求也不同。如果在512K或2M专线上布署网络入侵检测系统,则不需要高速的入侵检测引擎,而在负荷较高的环境中,性能是一个非常重要的指标。网络入侵检测系统是非常消耗资源的,但很少有厂商公布自己的pps (packet per second)参数。
(5)是否支持IP碎片重组
由于 IP 碎片攻击是攻击者常用的方法,而在入侵检测中分析单个的数据包会导致许多误报和漏报,因此是否支持IP碎片的重组对于整个入侵检测系统检测的精确度有直接影响。IP碎片重组的评测标准有三个性能参数:能重组的最大IP分片数;能同时重组的IP包数;能进行重组的最大IP数据包的长度。
(6)是否支持TCP流重组
TCP 流重组是为了对完整的网络对话进行分析,它是网络入侵检测系统对应用层进行分析的基础。如检查邮件内容、附件,检查FTP传输的数据,禁止访问有害网站、判断非法HTTP请求等。
本文始发于微信公众号(LemonSec):IDS的评估标准
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论