93、入侵检测系统特定领域预期用途评估方法解析

入侵检测系统特定领域预期用途评估方法解析

在网络安全领域，入侵检测系统（IDS）对于保障网络安全起着至关重要的作用。然而，目前的IDS往往难以满足ID分析师的期望，这主要是因为在设计阶段没有充分考虑分析师的独特需求。下面将详细介绍IDS评估方法以及相关的监测、分析和响应流程。

1. IDS维护工作

ID分析师的日常工作中，维护是重要的一部分。具体包括以下几个方面：
- 获取最新信息 ：分析师需要不断获取、更新和记录最新的攻击、漏洞和ID签名信息。这是一项耗时且需要单独完成的工作，而且由于缺乏清晰的知识转移方式，新手分析师往往需要重新经历整个过程。
- 紧跟环境变化 ：这涉及到IDS的重新配置以及每台机器的重要更新。由于协议响应的情境性，了解ID领域的相关信息至关重要。例如，某种行为在一个环境中可能是攻击，而在另一个环境中可能是正常活动。因此，保存先前的设置、恢复到先前的设置以及保存相关笔记都非常重要。
- 学习和转移专业知识 ：快速警报验证依赖于专家多年积累的经验，新手分析师需要依靠专家的帮助。如果有一个包含网络协议在特定环境中表现信息的数据库，新手分析师就可以自行学习环境知识。记录快速验证的片段可能会改善这一过程。

2. 监测分析师的网络

监测网络分为监测、分析和响应三个阶段，以下是监测阶段的详细内容：
- 监测的特点 ：监测是一个持续的过程，即使在进行其他活动时也会发生。由于ID分析师还有其他职责，如系统开发和测试，这会限制他们监测网络的时间和注意力。因此，最好能够一目了然地监测网络流量。监测的标准包括视觉表示和所需的努力。
- 视觉表示的要求
- 含时间变量的表示 ：时间是网络分析中最重要的属性，分析师一致认为时间是最关键的因素。通过查看随时间变化的网络流量，分析师可以识别难以检测的分布式和缓慢攻击。对时间属性的灵活控制可以让分析师从不同角度查看数据。
- 最大输入和输出数量 ：由于网络数据量巨大，IDS可视化的最大输入数量很重要。表示的数据密度对于分析师的工作也至关重要，需要在不影响可读性的前提下允许尽可能多的数据。一个空空间少、聚类少的表示是理想的，IDS需要提供自动或手动机制来区分聚类。
- 简单性和熟悉度 ：分析师更喜欢简单的二维显示，熟悉的表示方式有助于提高工作效率。
- 信息呈现 ：监测网络和分析警报需要不同的信息，不同类型的信息最好以不同的视觉表示呈现。允许用户控制或提供多种选择是处理这种情况的最佳方式。
- 努力和交互 ：监测通常是次要任务，有效的警报方法和交互可以让分析师在监测的同时专注于其他任务。

以下是监测阶段的相关标准总结表格：
| 标准 | 详细要求 |
| — | — |
| 视觉表示 | 含时间变量、最大输入输出数量合理、简单熟悉、适应不同信息呈现 |
| 努力 | 有效警报方法和交互，减少监测精力投入 |

mermaid流程图如下：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    A([开始监测]):::startend --> B(视觉表示):::process
    A --> C(努力):::process
    B --> B1(含时间变量):::process
    B --> B2(最大输入输出数量):::process
    B --> B3(简单熟悉):::process
    B --> B4(信息呈现):::process
    C --> C1(有效警报方法):::process
    C --> C2(交互):::process

3. 分析阶段

当生成警报后，ID分析师需要执行入侵后检测任务，包括警报验证、警报聚合、警报关联、入侵响应和取证。以下是分析阶段的具体内容：
- 快速警报验证 ：这是分析的第一步，通常需要专家经验。自动错误检查可以帮助新手分析师进行快速验证，包含环境信息的数据库可以帮助新手学习环境知识。
- 详细警报验证/分析警报
- 视觉表示 ：与监测阶段的视觉表示类似，但增加了多视图。常见的可视化方式有平行坐标、散点图、链接与节点、概览+细节和树状图等。多视图似乎可以提高分析师的性能，主要重点在于导航/交互活动和所需的努力。
- 多视图的优势 ：多视图可以提供更好的数据感知和关系理解，提供从不同角度感知数据的机会。由于没有一种可视化技术对理解网络信息是最好的，多视图提供了使用最适合情况的表示的更好机会。
- 导航/交互和用户控制 ：分析师应该能够控制可视化的属性、操作数据、分组和过滤数据。访问详细信息和重新可视化的体验决定了交互的质量。
- 获取详细信息 ：从概览中无缝访问详细信息对于分析至关重要，一些IDS配备了概览+细节视图、鱼眼视图或多视图来满足这一需求。基本的导航技术如缩放、平移、旋转、重置、标题等仍然是主要的交互方法。
- 重新可视化 ：由于数据聚类或数据量过大，可视化数据可能变得不可读。系统应该提供重新可视化的方法，例如在对聚类数据进行分组后。分组、过滤、数据操作和搜索等功能可能会很有用。
- 减少分析努力的功能 ：可视化其他日志、可视化多个日志/攻击、探索相关数据和注释机制可以减少分析所需的努力。

以下是分析阶段的主要活动总结表格：
| 活动 | 详细内容 |
| — | — |
| 快速警报验证 | 依靠专家经验，自动错误检查和环境数据库辅助 |
| 详细警报验证 | 多视图视觉表示、导航/交互、获取详细信息、重新可视化 |
| 减少分析努力 | 可视化其他日志、多日志攻击、探索相关数据、注释机制 |

mermaid流程图如下：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    A([收到警报]):::startend --> B(快速警报验证):::process
    A --> C(详细警报验证):::process
    B --> B1(专家经验):::process
    B --> B2(自动错误检查):::process
    B --> B3(环境数据库):::process
    C --> C1(多视图视觉表示):::process
    C --> C2(导航/交互):::process
    C --> C3(获取详细信息):::process
    C --> C4(重新可视化):::process
    C --> C5(减少分析努力功能):::process

4. 诊断攻击

作为分析的第三步，分析师需要诊断攻击，然后聚合逻辑相关的警报并进行排名。
- 聚合逻辑相关警报 ：警报关联是必要的，因为它可以减少警报的总数。目标是重新配置IDS，使每个攻击只有一个警报。可视化警报聚合可以降低压力水平。
- 按严重程度对攻击进行排名 ：分析师对攻击进行排名，以便有序地处理攻击。警报的严重程度可以通过相关性得分来确定，该得分通过将警报目标的已知拓扑与事件类型的漏洞要求进行比较来生成。自动化这个过程可以让分析师处理其他事务。
- 咨询ID社区 ：有时，分析师需要从ID社区获得帮助来诊断或验证警报。这是ID分析师工作中经常被忽视和误解的方面，专家和新手在遇到紧急情况或难题时都会求助于ID社区。

综上所述，入侵检测系统的评估和使用需要综合考虑多个方面，包括维护工作、监测、分析和响应等阶段。通过合理的设计和功能配置，可以提高IDS的性能，更好地满足ID分析师的需求，从而保障网络安全。

入侵检测系统特定领域预期用途评估方法解析

5. 响应阶段

一旦确定警报为实际攻击，ID分析师需要对攻击做出响应，常见的响应程序包括立即响应、长期解决方案和报告攻击。
- 立即响应攻击
- 手动响应 ：通常第一步是拔掉或关闭网络连接。如果有系统的手动终止方法，可能会节省几分钟的攻击进展时间。对于拒绝服务（DoS）和拒绝信息（DoI）攻击，自动终止可能会导致更多问题，手动控制的响应方法虽然成本更高，但更有效。
- 自动响应 ：自动响应的目的是阻止正在进行的攻击和遏制传播的攻击。目前可用的技术包括终止违规连接或会话、重启目标系统、记录会话以收集证据和进行进一步调查、实施数据包过滤规则和通知等。虽然手动控制的立即响应更可靠，但这些技术在ID分析师不在场时可能会派上用场。
- 长期解决方案
- 修补漏洞 ：分析师需要找出入侵是如何发生的，可能会进行网络漏洞评估和对生成的警报进行推理。完成后，需要为漏洞制作补丁，一个能够协助分析师评估漏洞的功能是理想的。
- 重新配置IDS签名 ：配置IDS签名是最具挑战性的任务之一。增加IDS签名可能会产生更多的误报，而限制IDS签名可能会产生更多的漏报。由于IDS签名的增加、入侵尝试的增加和高误报率，ID分析师经常更新IDS签名。注释机制，如保存以前的设置、恢复到以前的设置和标记注释等功能，有助于完成这项任务。
- 恢复 ：攻击造成损害后，需要进行恢复。主要任务是使用备份重新安装受影响的机器，这意味着ID分析师需要制作备份。如果有简单快捷的备份创建方法，将节省一些精力和时间。
- 报告攻击 ：作为响应阶段的最后一部分，需要进行报告。通常，经理、法律顾问、ID社区和未来的ID分析师会收到报告。不同的群体需要不同的材料，经理需要关于影响、损害、恢复方法和成本的简报；法律顾问需要足够在法庭上使用的入侵证据；ID社区需要关于攻击的简要技术信息；所有这些信息加上漏洞和响应方法需要保存以供未来参考。能够将选定的数据转换为饼图、条形图和折线图有助于向经理解释影响、损害和成本。注释机制可以保存网络活动（可能作为视频）、IDS设置和相关笔记，为未来提供重要的信息来源。

以下是响应阶段的主要内容总结表格：
| 响应类型 | 详细内容 |
| — | — |
| 立即响应 | 手动（拔掉或关闭）、自动（多种技术） |
| 长期解决方案 | 修补漏洞、重新配置IDS签名、恢复（备份重装） |
| 报告攻击 | 向不同群体提供不同材料，注释机制辅助 |

mermaid流程图如下：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    A([确定攻击]):::startend --> B(立即响应):::process
    A --> C(长期解决方案):::process
    A --> D(报告攻击):::process
    B --> B1(手动响应):::process
    B --> B2(自动响应):::process
    C --> C1(修补漏洞):::process
    C --> C2(重新配置IDS签名):::process
    C --> C3(恢复):::process
    D --> D1(向经理报告):::process
    D --> D2(向法律顾问报告):::process
    D --> D3(向ID社区报告):::process
    D --> D4(保存信息供未来参考):::process

6. 评估方法总结与展望

评估方法的主要优势在于其标准是根据ID分析师的首要需求进行校准的，这种预先设定将标准缩小到预期用户的首要优先级，还能通过防止失误来降低评估风险。不过，为了获得这些首要需求，该方法需要一些前期努力来分析主要任务、相应活动和标准，这可能比其他评估方法成本更高。

该评估方法的目标是了解IDS针对已验证需求的潜在优势和局限性。依靠已有的研究，此方法解决了一些最重要或最常面临的ID任务以及评估这些任务的标准。有必要对这种评估方法进行纵向和实证研究。网络环境和数据集的独特性会决定网络活动，也就是说，根据不同的环境和数据集，IDS可能存在未使用的功能，在这种情况下，这些未使用的功能不应纳入评估。因此，需要对评估方法进行纵向研究以增强或削弱置信水平，还应进行实证研究，比较该评估方法与其他评估方法的有效性，以及分析前期努力（分析关键活动）与有效性之间的相关性。

总之，入侵检测系统的评估和使用是一个复杂且关键的过程，需要综合考虑多个方面，不断优化和改进评估方法，以更好地保障网络安全，满足ID分析师的实际需求。