⽹络安全设备误报和漏报率的检测⽅法
2019-06-13
误报率和漏报率是衡量⼀个⽹络安全设备的重要技术指标,如何正确检测和计算这两项指标,没有统⼀科学的⽅法,⽂章根据多年从事信息安全⽹络安全设备积累的经验,总结出关于⽹络安全设备误报率和漏报率的计算和检测⽅法。 【关键词】⼴播电视事业信息化数字化和⽹络化
1 误报率
1.1 误报率的定义和计算⽅法
误报指在该⽹络安全设备报警规则事件集合(记为:C)中,⽤某⼀A事件去触发报警时,实际发⽣了B事件报警或未发⽣报警。误报率指在C规则集中,由于算法或事件定义的原因⽽导致该⽹络安全设备误报产⽣的概率。 误报率⽐较通⽤的计算⽅法是以设备规则集为出发点,对规则集的事件进⾏加权处理,公式表⽰为
C(N)=C1*a1++Cn*an(Ci表⽰某事件,ai表⽰权值,N表⽰事件数),误报事件
B(M)=b1*w1+Bm*Wm(bj表⽰误报事件,bj表⽰权值,M表⽰误报事件数),因此:
误报率=*100% (1-1)
电位器旋钮
但是⽬前⾏业没有⼀个统⼀的权值标准,因此:
简化的误报率= (1-2)
(M五保事件数,N事件总数)。
1.2.1 测试⽅法
因⽹络安全设备事件规则集合较多,各种组合之间覆盖到往往不现实,⼀般采⽤抽样的⽅式,即随机挑选事件库中的部分事件(⼀般为100条),采⽤攻击⼯具真实触发这些事件,或者以抓包⼯具对捕获的包进⾏回放,分析出报警结果,从⽽得出该设备的误报率。
1.2.2 测试⼯具
常见的测试⼯具包括思博伦ThreatEX、DSQLTools、x-scan、桂林⽼兵、IE⽂件服务器、DDOS、冰 河等⼯具;同时可⽤tcpreplay、Sniffer、Wireshark等抓包⼯具,去http://⽹站下载.pcap包进⾏回放,特别可对最新恶意程序误报进⾏检测。1.2.3 测试环境
以⽹络安全产品端⼝镜像为例的拓扑如图1所⽰。
为了保障测试期间的准确,测试期间该⽹络尽量独⽴部署。
1.2.4 测试步骤
――按照图1将设备全部部署好;
――在攻击机上启动测试⼯具,或⽤tcpreplay i ⽹卡 M 流量 l 次数包名进⾏发送;
――检查误报后,⽤公式1-2进⾏计算误报率。
2 漏报率
2.1 漏报率的定义和计算⽅法
漏报是指对于真实发⽣的⽹络攻击事件⽹络安全设备没有预警;漏报率是指对于真实存在的⽹络攻击,⽹络安全设备存在漏报的概率。导致漏报的因素很多,主要包括特征库未及时更新、⽹络流量等。
电玉粉
漏报率的计算,是以真实发⽣的⽹络攻击事件数量为基准,计算⽹络安全设备漏报的事件数量所占的⽐率。
2.2 漏报率的测试⽅法
2.2.1 测试⽅法
能否检测最新的⽹络攻击事件是衡量⼀个⽹络安全产品的研发和维护⽀持能⼒的重要指标,因此可到http://⽹站下载最新的.pcap包进⾏回放测试;同时在不同的⽹络流量背景下,⽤攻击⼯具或抓包⼯具多次回放同⼀事件,分析⽹络安全设备的报警数量,从⽽计算漏报率。
2.2.2 测试⼯具
⽹络安全设备漏报率的测试⼯具包括:Unicode、发包⼯具SmartBits、嗅探抓包⼯具Sniffer等。
2.2.3 测试环境
测试环境跟误报率测试基本相同,只是在交换机连接⼀台⽹络发包⼯具SmartBits(进⾏不同流量下的测试)。
2.2.4 测试步骤
在测试期间分别使⽤最新包进⾏发送和Smartbits进⾏0,25%,50%,99%的⽹络加压,最后计算:
交互式拼接屏漏报率=
(N未检测出的包,M总发包数)。
柔性自动化生产线3 结束语
⽹络安全设备的关键在于发现⼊侵⾏为,然后根据事先的预警规则进⾏及时、准确的处理,使我们的信息系统更加安全。误报率和漏报率的直接影响到⽹络安全设备应⽤的效果,科学认识误报率和漏报率的测试⽅法和流程,有助于我们提⾼检测⽔平,同时也可对使⽤开发单位进⾏有效的指导。
参考⽂献
[1]盛骤,谢式千,潘承毅.概率论和数理统计[M].北京:⾼等教育出版社,2000.
[2]陈庆章,赵⼩敏.TCP/IP⽹络原理与技术[M].北京:⾼等教育出版社,2006.
[3]季永炜.ARP攻击与实现原理解析.电脑知识与技术,2012.
作者简介
季永炜(1982-),男,浙江省诸暨县⼈。⼤学本科学历。现为浙江省电⼦信息产品检验所⼯程师。
作者单位
浙江省电⼦信息产品检验所软件评测中⼼浙江省杭州市 310007
暖气炉
注:本⽂为⽹友上传,不代表本站观点,与本站⽴场⽆关。
开放info共享平台
好⽂章需要你的⿎励
你需要服务吗?
提供⼀对⼀服务,获得独家原创范⽂
了解详情
期刊发表服务,轻松见刊
提供论⽂发表指导服务,1~3⽉即可见刊
了解详情
被举报⽂档标题:⽹络安全设备误报和漏报率的检测⽅法
被举报⽂档地址:
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议