正在加载...
 
    IPS的新着眼点  

    最近总有些朋友跟我聊起IPS的发展的问题,IPS应该具备哪些功能,IPS今后技术发展方向,IPS能解决什么问题,IPS跟IDS如何区分定位......,最近我接触了不少IPS的用户,根据跟他们的接触交流,了解到他们的一些对IPS的实际期望,主要分为两部分:

        其一,是IPS的有效 控制。这也是IPS区别于IDS的最重要的一点,IDS追求大而全,即最大限度发现攻击行为,让用户最全面了解网络风险;而IPS作为网关设备,要追求精 确阻断,即少而精的入侵防御,不能因为误报阻断导致正常业务中断。另一方面,IPS更注重对网络应用的控制,譬如P2P下载、在线流媒体、聊天工具、股 票、网游等应用,不到要能够及时了解网络中哪些节点、哪些机器或者哪些人在做这方面的网路应用,而且还要可以对这些应用进行有效的控制,所以有效控制将是IPS的一个重要支柱点;

        其二,是IPS的有效呈现。我们不但希望IPS可以对网络应用进行有效控制,同时也希望通过IPS清晰了解自己的网络应用状况,譬如我的网络流量曲线,都 有谁、哪些IP什么时间在线聊天或者游戏或者炒股或者P2P了,我希望了解我的带宽占用中排在前10名的网络应用是什么,我希望得到上班时间内网络聊天排名前10位的IP等等,换句话说,就是要求IPS的日志查询灵活,报表内容丰富、各式多样方便

    入侵防御能力是IPS永恒的本能,但是有效控制和有效呈现将是IPS今后的发展趋势

    标签:网络安全 | 浏览数(1008) | 评论数(0) | 2007-09-21
    软件测试的更高境界——品质测试  

    一提到软件测试人们就自然地想到是软件的查错或是根据软件质量评价标准对软件产品进行逐项的测试与评价,在测试中发现软件的缺陷和质量特性的不足,尽快改进提高产品质量。这些是软件产品的质量测试的主要内涵,但是在逐步发展完善的社会主义市场经济中,这种传统方式的做法已经满足不了软件商品化测试的要求。软件的商品化测试的做法应有助于企业的软件产品最大限度满足用户的需求推向市场,增强竞争力,提高企业声誉。因此我们提倡采用国际上的“品质”的概念,进行软件商品化测试。
    “品质”顾名思义是品牌质量,它的内涵高于“质量”的含义,对于“品质”测试的方面多于质量检测。国际上产品品质的内涵是指:功能、特点、可靠性、外观和服务态度。而国际标准的软件产品质量特性包括:功能、可靠性、效率、易用性、可维护性、可移植性。
           采用国际上推出的产品的品质概念,我们的软件产品测试工作强调的是商品化,测试的内容主要包括:软件功能度、可靠性、效率、易用性、兼容性、可扩展性、用户手册、产品包装及服务质量等。要特别强调高品质外观(如用户手册编写、印刷和包装质量等)和优质的客户服务。实践证明这些都是提高商品化整体水平的重要因素。也只有按照这样的标准进行测试,出来的产品才是满足客户需求的、可用性强的、高品质的产品。

    标签:网络安全 | 浏览数(1700) | 评论数(0) | 2007-01-23
    2006存储中国峰会  

    今天参加了“2006存储中国峰会”,主要是想了解一下国家的相关政策、存储发展方向、存储市场情况、存储产品发展等方面信息,总体感觉各嘉宾的主题演讲还是比较精彩的,尤其是国务院信息化办公室司长赵小凡的演讲更是精彩,以下是断断续续记录下来的一些演讲的亮点或观点:

    >国务院信息化办公室的“34号文”已经在解密过程中,预计今年上半年即可发布

    >信息的重要性包括:1)信息资源作为生产要素、无形资产、社会财富,与能源、材料等物质资源同等重要;2)信息资源的是不可替代的;3)......没记下来

    >关于信息资源市场——信息资源可作为商品进行交换

    >在国内,政府是最大的信息资源拥有者,政府对信息资源的利用分为机构内部使用、机构间共享、对外共享(如电子政务等)

                         ————国务院信息化办公室 赵小凡

    >NAS、虚拟存储、加密存储       ——IBM 候淼

    >快速存储(快速将DATA整合,上升为knowledge)、绿色存储(节约能源)    ——EMC 杜国强

    >已经有早期的为服务器服务转变为以存储为核心的应用

    >努力打造成熟的存储服务,方便犹如自来水、电           —— 富士通  周一平

    >存储一体化管理,存储、榕灾的目的不是备份而是恢复      ——Commvault 徐永兴

    <其他>

    比较佩服EMC 的杜国强的演讲,虽然普通话很不标准,但是他的逻辑思维很清晰,通俗易懂,各种数据、例子应用的非常好,100%说明了他想要阐明的观点,唯一感到不足的是他有一个让人感觉很不舒服的口头禅“所谓的”,什么“所谓的信息化办公室”、“所谓的IBM”......,一方面让所说对象觉得不受尊重,另一方面让听者觉得挺好的东西在他看来都是浪有虚名

    还有就是感觉主办方有一点听恶心的,就是中午饭自己解决,拿着一张兑换卷,必须等到下午5~6点才能兑换50元餐费,可谓“目的诚可贵,做法遭人嫌”

    标签:网络安全 | 浏览数(1630) | 评论数(2) | 2007-01-11
    IDS的另类需求  

    最近碰到的一个项目,对IDS提出了很“另类”的的需求,明确在招标要求中提出了以下2点:

     

    1、支持异常MAC地址检查功能

    2、支持监控和封禁网络中常见应用服务事件监控,例如收发邮件、数据库应用、网络聊天、流媒体、P2P软件、BT下载、网络游戏等;支持在不同时间应用的监控和封禁

    其实要只是标书应答也就算了,关键是要测试功能实现,这着实让我头疼了一番。

    开始的时候,测试方要求演示一下产品界面上的“MAC地址检查”功能相关菜单,我晕,真的是拿IDS当内网管理用了?我只好强调IDS的价值在于它的检测与报警能力,我们没有相关菜单,只能通过报警的方式检查MAC地址的异常状况,于是最后采用的测试用例是:修改MAC地址,察看IDS的是否能正确报警。测试结果OK

    至于“支持监控和封禁网络中常见应用服务事件监控”更是内网管理产品的功能了,我在想,对IDS提出这样的要求实属强人所难,IDS的控制都是通过发reset包来实现的,然而IDS往往是接在交换机的镜像口,基本不支持发包,所以说控制、阻断功能基本无法实用,最后协商采用防火墙联动的方式来实现。测试OK

    虽说这些需求对于IDS来说有些勉为其难,但是可以看出用户对终端防护方面的需求呼声,希望这对内网管理市场是一个好兆头。

    标签:网络安全 | 浏览数(1655) | 评论数(2) | 2006-12-20
    产品经理工作:如何制定新产品的销售计划  

    已经从PM出来半年多了,之所以要写这篇小文章,有两个原因,其一就是此时此刻出差在外,事办完了,还有些富裕时间;其二就是将以前的一些自己的做事方法记录下来,以便他日参考。言归正传......

    对于一个新产品,公司没有自己的历史数据,销售人员也很难把握的情况下,作为产品经理,该如何制定新产品的来年销售计划,也就是销售目标(任务)?在市场营销、产品管理、MBA等书籍中会有很多种分析方法,但是就个人认为有2种最简单,可操作性强的方法:

    一、顺推法
    所谓顺推,就是从大盘入手,逐步细分,最终得到自己的产品应该占有的份额。

    1、预测新产品的07年市场规模
    新产品没有自己的历史数据,但是可以从全国乃至全球的同类产品的市场份额中逐步分解,得到新产品的历史销售规模(有连续3年以上的数据最),根据历史增长率和业界增长率估算出07年的规模,譬如某类产品(如放垃圾邮件产品)全国销售的历史数据如2004年8000万、2005年1.23亿、2006年1.80亿,就是说大概有50%增长率,而IT也的年增长率大概在30%左右,则我们可以用平均值40%来计算该产品07年的销售规模,大约2.52亿。

    2、对同一领域的竞争产品进行分析

    从历年的各竞争厂家的格局(市场瓜分率),来将07年的份额进行分摊,然后确立自己的一个竞争目标(或者是参照厂商、或者是市场占有份额目,得到自己的产品应该在07年做到销售目标。还是上面的例子,假如该产品大概有20个竞争品牌,A占40%、B20%、C15%、其他25%,如果我们分析觉得自己的公司规模、产品质量、营销能力都跟C差不多,或者说要强一些,那么我们就应该将C作为我们的目标,我们的产品07年的份额达到10~15%,则新产品07年的销售额计划就出来了,2520~3780万。

    3、目标的可行性分析

    从公司整体实力,产品差异化,等方面分析一下这个目标的可行性,然后还要给出具体实现目标的方法手段。


    二、逆推法
    所谓逆推法,就是从各个单元分析,最终汇总得到新产品销售额。这里边还可以具体分成2种操作方法:

    1、销售估算法
        即逐一走访或者电话调查公司直属的销售人员和代理商,让他们自己对该产品的来年销售额进行估算,然后汇总得到公司全年的销售计划。这种方法操作起来比较难,尤其是跟销售人员打交道,爱理不理的态度很让人难受,这就得考验产品经理的个人魅力了,但是这却是一种比较实际的行之有效的计划额,因为销售人员一般都会量力而估,不会有太多的水分。

    2、需求估算法
    就是从产品需求方面进行分析,最终得到新产品的销售计划。还是以垃圾邮件产品为例,我么可以这么来考虑,全国大概有多少邮件服务器?(这个从每年的中国互联网用户分析报告中都有),每个省、地区有多少?并根据该地区的经济水平和IT化水平估算出购买防垃圾邮件产品的比率会有多少?目前大概会有多少是已经购买了该类产品?......等等,从各方面详细分析后,我们也能汇总得到全国该类产品的销售总额。

    后边的分析方法就跟顺推法一样即可。

    标签:网络安全 | 浏览数(2518) | 评论数(3) | 2006-11-10
    IDS的检测率是否需要追求100%?  

    没有绝对的安全,这是由安全的相对性所决定的,那么IDS作为网络安全的一个工具,我们应该如何正确看待它的检测能力呢?曾经碰到一些用户,他们认为IDS的检测率达到100%是最好的,而且那这个当作一个关键指标来衡量一个IDS产品的好坏,这就往往使得检测率测试成为IDS竞标测试中除了性能测试之外的一个重中之重。但是从专业角度考虑,我们有必要要求IDS的检测率达到100%吗?答案显然是否定的。

    IDS本身就是一个检测类产品,它的检测源就是网络中传输的数据报文,且不说网络中的数据量之大,导致IDS分析延迟,就是承载这些网络流量的设备(包括交换机、路由器、HUB之类的)也会出现丢包现象,所以要求IDS保持的100%检测率是不现实的。假如有些产品的宣传资料上声称其检测率100%,那也只能理解为在某个时点进行的某些攻击测试时全部检测成功,不代表该产品在任何时候的检测率都是100%,所以我认为将检测率作为一个硬性指标来衡量IDS产品的好坏不可取,那么我们应该如何选择一款好的IDS产品呢?个人认为以下几点考虑到了即可:

    1、IDS产品的性能指标

    2、IDS安装、使用的难易程度(是否易用?)

    3、IDS的报表分析能力

    4、IDS厂家的研发实力(考察IDS产品的持续更新维护能力)

    5、IDS的特征库更新频率(考察厂家对攻击、漏洞的研究能力和经验积累)

    6、IDS的售后服务能力

    只要以上这几点都能经受考验,那用户就可以放心使用它的产品了。

    标签:网络安全,PK历程 | 浏览数(2158) | 评论数(4) | 2006-08-24
    我看IDS中的异常流量监测  

    IDS (入侵检测系统)可以发现各种入侵事件,但是海量的报警信息,加上IDS 的报警消息的描述过于专业化,使得非“行家”看不懂,很多IDS 管理员对报警“麻木”以待,一些严重的攻击事件也就“瞒天过海”,这也是“IDS 无用论”产生的重要因素。所以 在解决了IDS报警细、全、准的同时,推出宏观的入侵监测模块——异常流量监测系统就显得非常重要了,以图形化的方式呈现整个网络的流量,用户只需关注流量异常的节点就可以发现重大规模的网络攻击事件,如自动化攻击的蠕虫、恶意代码 等。

    大规模网络攻击一般表现前兆期、爆发期、稳定期以及消亡期四个阶段,特别是自动化攻击的蠕虫、恶意代码,如果能够在爆发期以前就能够及时发现、预警,对于后期的治理和降低损失是非常有利的。自动化蠕虫、恶意代码等在爆发前需要做大量的探测,扩大其可利用传染、控制途径,因此特定的网络流量时间走势和流量分布会发生明显的变化,就能够在第一时间迅速发现网络流量的异常,并做出及时而准确的流量异常报警和安全响应。

    异常流量监测系统通过旁路侦听的方式对网络数据流进行采集、分析和识别,实时监视网络系统的运行状态,并记录网络中的实时流量信息,发现网络流量的异常变化,并可以对带有具体特征的恶意流量进行有效提取和连续性监测,对于用户把握具体的攻击事件产生的异常流量的威胁程度或地址分布具有独特的价值。网络流量的变化过程的相关信息自动进行存储,通过分析可以形成详细的分析报表。

    例如,一般的网络带宽占用都比较均匀,假如通过流量监测系统发现某一IP 的流量突然剧增,则可能是该主机在进行网络扫描,或者该主机正在对外大量传播网络蠕虫,这样管理员即可针对性的对该主机进行检查,以避免恶意扫描攻击或者大规模蠕虫传播等事件的发生。

    异常流量监测系统可以通过使用单独的硬件化流量引擎来进行流量监测,也可以作为网络入侵检测系统的附加模块进行结合使用,是对网络入侵检测系统的有效补充,也是入侵管理中一个重要组成部分。

    对异常流量监测系统的管理控制是可以和网络入侵检测系统的管理控制中心进行同台管理。针对流量监测所需要的连续性观测是通过单独的流量监测中心来完成,提供了多样化的流量显示方式,并产生异常流量的报警信息和异常流量查看。

     

    标签:网络安全 | 浏览数(2031) | 评论数(0) | 2006-05-10
    软件测试的关键点  

    如果说过去在中国软件处于起步阶段,各软件软件企业为了尽快打入市场抢占一席之地,而让一些没有经过完备测试的产品推向市场的话,那么在中国软件产业已经处于相当规模的今天,我们应该更注重于产品的质量。因此软件测试工作因其益发重要的作用而受到企业领导的重视。
    目前在国内,测试还是新的话题,很多公司都还持怀疑态度,他们一般都知道测试对软件整体的重要性,但在软件频频出现质量问题上,且加之CMM的影响,很多软件企业不知所措。在软件BUG已不再陌生的今天, 如何建立一个良好有效的流程和管理系统已显得更加重要。
    我在过去从事测试工作过程中,也曾遇到了不少问题,有管理上的,有流程上的,还有技术与实现上的。如何出色的完成测试工作,我根据自己的体会总结出以下几点:
    1. 良好的测试流程
     测试不仅仅是测试部门的事情,测试部门是软件项目执行的并行部门,且与其它部门(项目开发组、技术支持组、销售部门等)关系密切。在测试部门执行项目的同时,这些相关的部门的流程的好与不好直接影响到本部门的工作。所以要重视部门之间的关系和配合,这是做好测试工作的基本前提。
    2. 文档的重要性
    没有文档的项目是一个不成功的项目。同样,没有文档的测试是一个不成功的测试。这是我一年多来的总结要点。无论是开发还是测试,文档相当重要,一个功能的计划、设计、实现,在这个过程中的思想和说明必须有写入文档。测试计划、案例、报告都应以文档形式或数据库记录形式存在。用以修订,补充和备案。好处在于它不仅可供相关人员阅读和提出意见和建议,更重要的是它是一个知识的积累过程和改进过程。  
    3. 选择合适有效的测试方法
    其实我们也一直在努力做这项工作,好的测试方法可以减少很多费用开支和保证进度,高效且全面的测试方法是我们追求目标。但是,在现实中往往很难如愿。原因在于有很多因素在困扰着我们,项目的类型,项目的进度,产品的质量标准等等。
    4. 选择或开发测试工具
    合适的测试工具可以帮助我们更快更准确高效地执行测试任务,目前我们用的测试工具除了自行开发的工具外,主要是 Rational 公司的 Robot 系列产品和 WinRunner 7.0。两者都有各自的优缺点。  
    鉴于目前自动化测试技术还未成熟,我们所采用的测试方法是手工测试和借助测试工具相结合的做法。几乎100%的功能测试和80%的性能、压力、稳定性测试由人工完成,20%的性能、压力、稳定性测试借助一些测试工具来完成,如Smardbit、IXIA、Snnifer、Synflood、Webstress等。这样测试很耗时间、人力,但却是我们公司目前最可行的测试方法。
    5、详细的测试结果分析
    一个好的测试项目最终都在测试报告中体现。能够发现更多的BUG,使软件产品的质量尽可能得到提高,是每个测试工程师的愿望,但如果能将测试结果进行统计分类,加上科学的原因分析,这无疑是我们最求得更高境界,这样可以大大减少开发人员的修改工作量,从软件产品的开发、维护成本角度来说,这给企业创造了价值。
    6. 建立健全的缺陷追踪系统
    如何管理和处理错误或缺陷是比较烦锁的问题,这不但需要一套完善的BUG管理系统,而且也需要从管理者的角度来考虑,设计出比较合理的BUG传递流程,才能够更加及时,准确,全面地管理和处理所有缺陷。
    7. 建立通畅的产品信息反馈流程
        测试工作做的再细也不可能确保软件产品不存在问题,我们应该将投放市场的使用作为产品Beta测试的一个重要环节,建立一个全方位的、畅通无阻的产品信息调查和产品信息反馈网络,使得我们能够及时、准确了解产品在应用中发现的问题,为开发人员提供可靠的修改依据。
    最后,我想说的是测试是一件很烦锁的事情,要做好不容易,需要有足够的耐心和细心,我们的最终目标是要保证产品的质量,满足用户需求。相信我们每个测试工程师都喜欢这份工作,不管是现在还是未来,因为我们相信,软件会越做越好,测试岗位会越来越受重视。

    标签:网络安全 | 浏览数(2261) | 评论数(1) | 2006-05-09
    Cisco3550配置说明  

     目前对于Cisco设备的使用,网上的介绍材料因应有尽有,但是对Vlan和镜像方面的介绍总感觉不是特别满意,不是啰里啰唆,内容太多,晕倒新手,就是过于简略,也会让初学者无所收获——看完了无从下手,于是本人根据自己的配置过程,一步一步,手把手方式的介绍Cisco3550Vlan和镜像的配置过程,只要按照这些步骤操作,绝对没有问题
    一、        Vlan配置
    VLAN号1, 1002到1005是自动生成的不能被去掉。
    案例:设置Vlan2,包含端口2~6。
     
    1Vlan配置
    Step1: 进入Privilege-d Exec模式
    Switch>enable                         
     
    Step2: 进入Global Configura-tion 模式(进入配置状态)
    Switch# conf terminal                        
    Enter configuration commands, one per line. End with CNTL/Z.
     
    Step3:创建Vlan,ID号为2
    Switch(config)#vlan 2
     
    Step4:命名Vlan2为PKF
    Switch(config-vlan)#name PKF
     
    Step5:退出Global Configura-tion 模式
    Switch(config)#end
     
    2、将端口分配给Vlan
    Step6:进入Global Configura-tion 模式
    Switch# conf terminal
     
    Step7:进入要分配的端口2
    Switch(config)#interface gigabitEthernet 0/2
     
    Step8:定义二层口
    Switch(config-if)#switchport mode access
     
    Step9:把端口2分配给某一VLAN2
    Switch(config-if)#switchport access vlan 2
     
    Step10:退出Global Configura-tion 模式
    Switch(config-if)#end
     
    Step11:循环6~10,分别将端口3~6分配给Vlan2
     
    Step12:查看Vlan配置结果
    Switch#show vlan
     
    VLAN Name                             Status    Ports
    ---- -------------------------------- --------- -------------------------------
    1    default                          active    Gi0/7, Gi0/8, Gi0/9, Gi0/10
                                                    Gi0/11, Gi0/12
    2    PKF                              active    Gi0/2, Gi0/3, Gi0/4, Gi0/5
                                                    Gi0/6
    1002 fddi-default                     act/unsup
    1003 token-ring-default               act/unsup
    1004 fddinet-default                  act/unsup
    1005 trnet-default                    act/unsup
     
    VLAN Type SAID       MTU   Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
    ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
    1    enet 100001     1500 -      -      -        -    -        0      0
    2    enet 100002     1500 -      -      -        -    -        0      0
    1002 fddi 101002     1500 -      -      -        -    -        0      0
    1003 tr    101003     1500 -      -      -        -    srb      0      0
    1004 fdnet 101004     1500 -      -      1        ieee -        0      0
    1005 trnet 101005     1500 -      -      1        ibm -        0      0
     
    Remote SPAN VLANs
    ------------------------------------------------------------------------------
     
     
    Primary Secondary Type              Ports
    ------- --------- ----------------- ------------------------------------------
     
    3、删除Vlan
    Step1:进入Global Configura-tion 模式
    Switch#conf terminal
     
    Step2:删除Vlan2
    Switch(config)#no vlan 2
     
    Step3:退出Global Configura-tion 模式
    Switch(config)#end
     
    Step4:查看Vlan配置结果
    Switch#show vlan
     
    VLAN Name                             Status    Ports
    ---- -------------------------------- --------- -------------------------------
    1    default                          active    Gi0/7, Gi0/8, Gi0/9, Gi0/10
                                                    Gi0/11, Gi0/12
    1002 fddi-default                     act/unsup
    1003 token-ring-default               act/unsup
    1004 fddinet-default                  act/unsup
    1005 trnet-default                    act/unsup
     
    VLAN Type SAID       MTU   Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
    ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
    1    enet 100001     1500 -      -      -        -    -        0      0
    1002 fddi 101002     1500 -      -      -        -    -        0      0
    1003 tr    101003     1500 -      -      -        -    srb      0      0
    1004 fdnet 101004     1500 -      -      1        ieee -        0      0
    1005 trnet 101005     1500 -      -      1        ibm -        0      0
     
    Remote SPAN VLANs
    ------------------------------------------------------------------------------
     
     
    Primary Secondary Type              Ports
    ------- --------- ----------------- ------------------------------------------
     
    二、镜像口配置
    Cisco3550可以配置2个镜像口
     
    案例:将端口2~5镜像到端口6
     
    1、镜像口配置
     
    Step1: 进入Privilege-d Exec模式
    Switch>enable                         
     
    Step2: 进入Global Configura-tion 模式
    Switch#conf  t                         
    Enter configuration commands, one per line. End with CNTL/Z.
     
    Step3: 配置镜像源,可以是端口也可以是Vlan
    Switch(config)#monitor session 1 source interface gigabitEthernet 0/2 - 5 rx
     
    Step4: 配置镜像目的端口
    Switch(config)#monitor session 1 destination interface gigabitEthernet 0/6
     
    Step5: 退出Global Configura-tion模式
    Switch(config)#end
     
    Step6:保存配置
    Switch#wr
     
    Step7:查看配置结果
    Switch#show monitor
    Session 1
    ---------
    Type              : Local Session
    Source Ports      :
        RX Only       : Gi0/2-5
    Destination Ports : Gi0/6
        Encapsulation : Native
              Ingress : Disabled
     
    2、删除镜像端口
     
    Step1:进入Global Configura-tion 模式
    Switch#conf t
    Enter configuration commands, one per line. End with CNTL/Z.
     
    Step2:删除镜像端口
    Switch(config)#no monitor session 1
     
    Step3:退出Global Configura-tion 模式
    Switch(config)#end
     
    Step4:保存配置
    Switch#wr
     
    Step5:查看结果
    Switch#show monitor
     No SPAN configuration is present in the system.

    标签:网络安全 | 浏览数(2530) | 评论数(0) | 2006-04-29
    IDS误报漏报率的计算和检测方法  

    误报率和漏报率是衡量IDS产品性能的两个关键指标,但是目前针对IDS的误报率和漏报率的计算方式和测试方法没有一个统一的标准,各厂家在宣传数据更是五花八门,根本不具可比性,下面是本人基于多年从事IDS行业的经验积累,总结的一些关于IDS误报率和漏报率的计算和检测方法,跟大家分享。
    1.       误报率
    1.1.误报率的定义及计算方法
    误报是IDS对事件的报警不准确,即在实际触发A事件的时候IDS报警的是B事件;误报率是指由于IDS的算法或者事件定义问题导致的对某攻击事件产生误报的概率。
     
    误报率的计算方法很多,各种算法之间最大的不同都在分母的取值上,但是衡量具体某一款IDS产品的误报率,最科学的方法就是:以IDS的规则库(事件库)中的所有事件的权值[1]总和(称为总权值)为基准,所有存在误报的事件的权值之和(称为误报权值)所占的比率。
     
    范例:
    某IDS的事件总是为N,某事件的权值为Mn,则总权值C(N)=M1+M2+M3+……+Mn
    存在误报的事件数为X,这些误报事件的权值为Yx,则误报权值C(X)=Y1+Y2+Y3+……Yx
       误报率=C(X)/C (N)*100%
     
    但是目前国内外的都没有事件权值的相关标准,基本没有IDS厂家对事件做权值分配,就没有事件权值,所以目前比较常见的IDS误报率的计算方法是:
     
    误报率=存在误报的事件数(X)/ 事件库总量(N)*100%
     
    1.2.误报率的测试方法
    1.2.1.            测试方法
    一般对IDS的误报率的测试都采用抽查的方式,即随机挑选事件库中的一部分事件(一般为30~50条事件),采用攻击工具真实触发这些事件,或者用捕包工具对事先捕获的事件数据进行回放,分析IDS的报警结果,从而得到IDS的误报率。
    1.2.2.            测试工具
    常见的测试工具包括:攻击工具(Blade、Fragroute、Synflood、UDPflood、DDos、whisker、Unicode等)、扫描工具(X-Scan、SQL-Scanner、PortScan等)、后门程序(Ackcmd、广外女生、冰河、网络红娘、网络公牛等)、嗅探捕包工具(Sniffer、IRIS等)。
    1.2.3.            测试环境
    注:
    1、  为了保障测试结果的准确性,要求本环境是一个独立的网络环境,没有任何其他数据;
    2、  受测IDS接在交换机的镜像端口上。
    1.2.4.            测试步骤
    1、  按照上图将各测试设备连接好(保障IDS可以接收到交换机上的全部数据)
    2、  安装调试好IDS产品(确认IDS可以正常报警)
    3、  在攻击机上启动测试工具,进行攻击,或模仿攻击(攻击数据包回放)
    4、  在IDS控制中心检查报警情况
    5、  计算误报率:误报率=误报事件数/攻击事件总数*100%
    2.       漏报率
    2.1.漏报率的定义及计算方法
    漏报是指对于真实发生的网络攻击事件IDS没有预警;漏报率是指对于真实存在的网络攻击,IDS存在漏报的概率。导致IDS漏报的因素有很多,主要包括IDS的特征事件库更新频率、网络流量等。
     
    漏报率的计算,是以真实发生的网络攻击事件数量为基准,计算IDS漏报的事件数量所占的比率。
    范例:
     
    网络中发生的真实的攻击事件数量为M,IDS漏报的事件数量为N,则
     
    漏报率=N/M*100%
     
     
    2.2.漏报率的测试方法
    2.2.1.            测试方法
    能否检测最新的网络攻击事件是衡量一个IDS的研发和支持能力的重要指标,但是这个指标很难以量化,所以检测IDS的漏报率的常见方法是在不同的网络流量背景下,用攻击工具或者抓包工具回放的方式多次触发同一个事件,分析IDS的报警数量,从而计算IDS的漏报率[2]
    2.2.2.            测试工具
    IDS漏报率的测试工具包括:攻击工具(主要指触发单条IDS事件的工具,如Unicode)、发包工具(如IXIA、Smartbit等)、嗅探捕包工具(Sniffer、IRIS等)。
    2.2.3.            测试环境
    注:
    1、  为了保障测试结果的准确性,要求本环境是一个独立的网络环境,没有任何其他数据;
    2、  受测IDS接在交换机的镜像端口上。
    2.2.4.            测试步骤
    1、  按照上图将各测试设备连接好(保障IDS可以接收到交换机上的全部数据)
    2、  安装调试好IDS产品(确认IDS可以正常报警)
    3、  分别在加载0、25%、50%、75%、99%的背景流量下,在攻击机上启动测试工具,进行M(通常为100)次攻击。
    4、  在IDS控制中心检查报警数量,设为N
    5、  计算漏报率:漏报率=N/M*100% (每种背景流量下做三次测试,取平均值)

    [1]权值:是指某条事件的权重值,目前国内外都没有统一的标准,权值由厂家自行定义,事件的权值主要跟该事件的危险级别、是否陈旧事件、产生的频率、攻击手段的复杂程度、受影响系统是否已提供补丁或修复方案等相关。
    [2] 这也是当前测试IDS性能(即不同背景流量下的抓包率)的常见方法。

    标签:网络安全 | 浏览数(1750) | 评论数(0) | 2006-04-22

      Powered by Haiwit