網(wǎng)絡(luò)入侵檢測系統(tǒng)的評估方法研究.pdf

1、入侵檢測系統(tǒng)評估是入侵檢測系統(tǒng)研究領(lǐng)域的一個基本問題。本文在改進(jìn)網(wǎng)絡(luò)入侵檢測系統(tǒng)的系統(tǒng)能力評估方法、探索新的攻擊測試案例生成方法、提高背景流量生成方法的真實性和提高評估評分的準(zhǔn)確姓和擴(kuò)展性等方面進(jìn)行了深入和系統(tǒng)的探討，本文工作的主要成果表現(xiàn)在以下幾個方面：
　　 (1)提出了一種基于時空約束的入侵檢測系統(tǒng)系統(tǒng)能力評估方法?；跁r空約束的評估方法把承載攻擊的報文序列作為描述IDS檢測能力的基礎(chǔ)，通過時空約束及其對應(yīng)的內(nèi)容約束對ID

2、S的檢測能力空間進(jìn)行等價劃分，完善了基于分辨率方法提出的系統(tǒng)能力測度體系，提高了入侵檢測系統(tǒng)評估結(jié)果的公平性、合理性和準(zhǔn)確性。論文同時提出了兩個層次的評估方法：基于時空約束的系統(tǒng)能力覆蓋率評估方法和基于時空約束的系統(tǒng)能力正確性評估方法。覆蓋率評估是正確性評估在不考慮IDS設(shè)計實現(xiàn)的條件下進(jìn)行的輕量級過程，這兩個評估方法可以滿足在不同的測試需求和條件下的測試過程。
　　 (2)提出一種基于時空約束模板的攻擊測試案例構(gòu)造方法。論文提

3、出的攻擊案例生成方法結(jié)合軟件測試方法生成測試案例序列，可以更準(zhǔn)確和公平地評估入侵檢測系統(tǒng)系統(tǒng)能力，同時可以滿足從報文到流以及到聚合流的模擬，有更好的擴(kuò)展性。
　　 (3)提出了建立在基于流的結(jié)構(gòu)化模型基礎(chǔ)上的一種網(wǎng)絡(luò)流量模擬方法。這種方法既可以滿足Gbit級別IDS評估的流量規(guī)模需求，又能高度逼真地模擬真實流的持續(xù)行為和到達(dá)模型。論文通過理論分析了網(wǎng)絡(luò)并發(fā)流的構(gòu)造模型，在此基礎(chǔ)提出了層次結(jié)構(gòu)化的流模擬模型，并給出了該方法用于測試

4、所需的最短測試時間的計算方法。模擬結(jié)果證明該方法不僅在性能上相對于傳統(tǒng)方法有明顯優(yōu)勢，同時保持了和真實流行為的良好近似，可以更準(zhǔn)確評估IDS系統(tǒng)在實際環(huán)境下的性能。本文的流量模擬方法不僅可以模擬正常的高速流量，還可以模擬蠕蟲、路由循環(huán)等異常流量的行為。
　　 (4)提出了一種基于同步點的入侵檢測系統(tǒng)評估評分方法。論文通過對傳統(tǒng)評分方法的分析，提出了評分方法的判定窗口滿足準(zhǔn)確性和擴(kuò)展性需求必須的性質(zhì)，并基于IDS對報文的處理是FI

5、FO隊列的特性，定義了基于同步點的評分方法。由于同步點方法利用報文的相對順序為判定依據(jù)，判定結(jié)果不受報文速率的影響，無論千兆或萬兆網(wǎng)絡(luò)環(huán)境下都可以適用，滿足了評分方法的擴(kuò)展性需求。同時同步點的最小測量單位為報文，可以實現(xiàn)高精度的判定窗口，使誤報和真實警報在判定窗口內(nèi)沖突的概率幾乎為0。基于同步點的評分方法相對于目前的考慮誤報和不考慮誤報的評分方法可以提供更準(zhǔn)確的評分結(jié)果，使IDS評估的結(jié)論有更高的可信度。
　　 (5)針對目前I