湖南大学 07-08学 年第二学期
第7.2.1节 IDS的评价标准
从技术的角度看，一个好的入侵检测系统，应该具有以 下特点： ➢ 检测效率高 ➢ 资源占用率小 ➢ 开放性 ➢ 完备性 ➢ 安全性
湖南大学 07-08学 年第二学期
第7.2.2节 通用入侵检测框架CIDF
美国国防部高级研究计划署提出的建议是通用入侵检测框架（CIDF）.它主 要包括四部分工作：IDS的体系结构、通信体制、描述语言和应用编程接口 API。
❖ 其次，对服务器系统进行加固，提高安全防护水平。 对系统的安全加固是个长期的工作，用户需要随时进
行漏洞检查，做湖到南随大时学发0现7-随08时学填补。
年第二学期
❖ 第三，选用优秀的入侵检测系统(Intrusion Detection System，IDS)。在安全防护系统中，若 不良来访者被允许访问，它会对企业网做出令网 络管理者无法控制的事情，如果系统配备了IDS， 这种破坏性行为将被抑制。我们知道，网络总是 要提供服务的，对于一些常用的服务如浏览和Email收发等，防火墙只做到允许或者拒绝各种各 样访问者访问这些服务，无法判定具有攻击行为
用户提供远程管理功能，只是需要注意把这个 功能和IDS的另一个功能(即远程告警)区分开。 事实上，IDS还应该能够支持各种各样的远程告 警方式，像打电话、发邮件等等。不过这种交
流是单向的，用户只能被动地得到信息，而不 能主动控制湖远南程大的学网0络7-0引8学擎。
年第二学期
❖ 三、抗欺骗能力
IDS的目的是抵制入侵者，然而 入侵者会想方设法逃避它。逃避IDS的方 ห้องสมุดไป่ตู้很多，总结起来可以分成两大类: 让IDS 漏报和让IDS误报。
还没有充分利用这个利器更好地保护企业网。作为大多数 技术人员来说，介绍IDS的资料相对较少，而市场上类似的 产品却多如牛毛，如何正确选择适合各自企业应用的产品，
是每个人都关心的话题。本文将从使用者的角度介绍选择 IDS的几个关键技术点，希望能为用户的选购给予帮助。
❖ 需要提醒用户注意的是，在IDS方面做得出色的产品一定很 实用，但并不能说它就是一个优秀的安全产品，因为除此
湖南大学 07-08学 年第二学期
企业需要什么样的IDS？——测试IDS的几 个关键指标
❖ 通常，对企业网安全性的要求越高，需要采取的防范 措施就越严密。那么，对于现实中的企业网，必不可 少的防护措施有哪些？
❖ 首先，我们需要选用防火墙作为防御非法入侵的大门， 通过规则定义，我们告诉防火墙和路由器: 符合某些条 件的信息可以被放行，不符合某些条件的信息需要被 拒绝。同时，我们还可以使用PKI加密认证和VPN通道 技术，让“合法”的信息到达目的地。
第七章 对入侵检测系统的评价及发展方向
7.1 概述
入侵检测是一种比较新的网络安全策略。 入侵检测系统在识别入侵和攻击时具有一定的智能，这
主要体现在入侵特征的提取和汇总、响应的合并与融合、 在检测到入侵后能够主动采取响应措施等方面，所以说， 入侵检测系统是一种主动防御技术。 入侵检测作为传统计算机安全机制的补充，它的开发应 用增大了网络与系统安全的保护纵深，成为目前动态安 全工具的主要研究和开发方向。
对入侵检测进行测试和评估，具有以下作用： (1)有助于更好的显现入侵检测系统的特征。 (2)对入侵检测系统的各项性能进行评估。 (3)利用测试和评估结果，可作出一些预测。 (4)根据测试和评估结果，对入侵检测系统进行改善。
美国加州大学的Nicholas J. Puketza等人把测试分为三类：入侵识别测试 （也可说是入侵检测系统有效性测试）、资源消耗测试、强度测试。
测试评估入侵检测系统的具体性能指标主要有： 1．检测率、误报率及检测可信度 2．入侵检测系统本身的抗攻击能力 3．其他性能指标
湖南大学 07-08学 年第二学期
第7.3.2节测试评估的相关问题及其现状
测试评估所利用的相关数据 模拟隐蔽化的攻击 测试评估入侵检测系统的环境配置与框架 测试评估入侵检测系统的步骤 测试评估入侵检测系统中存在的问题
的访问是否会摧毁防火墙。这就好像门卫难以判
定每个来访者是办事者还是偷窃者一样。如果墙 角(或其他什么位置)安装了微型摄像机，能够监 视来访者的一举一动，保安人员便可以根据来访
者的行为及时发现不法分子，及时报警，确保办 公与居住人员的安全。
湖南大学 07-08学
年第二学期
❖ IDS在国内已经出现一段时间了，它是网络安全防护体系的 重要组成部分。目前，它在国内的应用还不够广泛，人们
之外，它还应该附带很多附属功能，即让用户感觉简单、 好用。作为一个真正的IDS产品，其主要功能应包括以下几 个方面。
❖
* 检测入侵。
* 远程管理。
* 抗欺骗能力。
* 自身湖安南全大性学。07-08学
年第二学期
。
下面，我们将分别对这4个方面进行 分析
❖ 一、检测入侵
❖ IDS最主要的功能是检测非法入侵。能够智能地报告 入侵者的非法行为是检验IDS性能优劣的首要条件。 用户安装上IDS后，在缺省情况下，应该对各个服务 可能遇到的攻击进行告警检测。我们可以选择一些 破坏性比较大的攻击，比如远程溢出攻击(只要攻击 成功，即可全面控制计算机系统)，用它对IDS进行 一下测试。面对这种攻击，如果IDS产品没有反应， 那么附加功能再多，也是一个检测非法入侵能力低 下的产品。
CIDF根据IDS系统的通用的需求以及现有的IDS系统的结构，将入侵检测系统 分为四个基本组件：事件产生器、事件分析器、响应单元和事件数据库。
从功能的角度，这种划分体现了入侵检测系统所必须具有的体系结构：数据 获取、数据分析、行为响应和数据管理。
湖南大学 07-08学 年第二学期
7.3 对IDS的测试与评估
湖南大学 07-08学 年第二学期
❖ 二、远程管理
IDS的机制是监视网络上的流量，如果所要监 视的网络不止一个Hub或交换机，就要在每个 Hub或交换机上安装网络引擎。这样我们就需 要一个控制台和日志分析程序来管理和分析多
个网络引擎及它们产生的告警。用户有时希望 坐在办公室中实时查看和管理机房里的IDS，作 为产品提供商，应该满足用户的这种需求，为