thức chống lại cụ thể; và bằng chứng hay một dấu vết để lại ở địa điểm khác nhau.Các cuộc tấn công cũng có thể phụ thuộc vào phần cứng của hệ thống bị tấn công,trên các phiên bản của một
Trang 1MỤC LỤC
LỜI MỞ ĐẦU 3
DANH MỤC VIẾT TẮT 4
PHÂN CÔNG CÔNG VIỆC 5
CHƯƠNG I TỔNG QUAN VỀ ĐÁNH GIÁ HỆ THỐNG PHÁT HIỆN XÂM NHẬP 6
1.1 Giới thiệu 6
1.2 Đặc điểm của đánh giá hệ thống phát hiện xâm nhập 6
1.2.1 Độ bao phủ 6
1.2.2 Xác suất của báo động giả 8
1.2.3 Xác suất phát hiện 10
1.2.4 Khả năng chống tấn công trực tiếp tại IDS 11
1.2.5 Khả năng điều khiển lưu lượng băng thông cao 12
1.2.6 Khả năng tương quan sự kiện 12
1.2.7 Khả năng phát hiện các tấn công chưa bao giờ xảy ra 12
1.2.8 Khả năng định danh một tấn công 13
1.2.9 Khả năng phát hiện tấn công thành công 13
1.2.10 Công suất kiểm chứng cho NIDS 13
1.2.11 Các độ đo khác 14
1.3 Nỗ lực đánh giá IDS hiện có 14
1.3.1 Đại học California tại Davis (UCD) 16
1.3.2 Phòng thí nghiệm Lincoln MIT (MIT/LL) 16
1.3.3 Phòng thí nghiệm nghiên cứu không quân (AFRL) 17
1.3.4 MITRE 18
1.3.5 Neohapsis/ Network-Computing 18
1.3.6 Nhóm NSS 19
1.3.7 Network World Fusion 19
1.4 Những thách thức của Testing IDS 20
1.4.1 Những khó khăn trong việc thu thập Scripts tấn công và phần mềm Victim 20
1.4.2 Yêu cầu cho những đánh giá IDS dạng Signature Based và Anomaly Based 21
1.4.3. Những yêu cầu khác biệt cho những đánh giá IDS Network Based với Host Based 22
1.4.4 phương pháp tiếp cận tới việc sử dụng Background Traffic trong đánh giá IDS 22
1.5 Giải pháp nghiên cứu đánh giá IDS 23
Trang 21.5.1 Chia sẻ bộ dữ liệu 23
1.5.2 Về dấu vết tấn công 24
1.5.3 Dọn dẹp dữ liệu thực 24
1.5.4 Bộ dữ liệu báo động cảm biến 25
1.5.5 Sử dụng công nghệ mới 25
CHƯƠNG II KHÁI QUÁT VỀ FTESTER 26
2.1 Giới thiệu Ftester 26
2.2 Thành phần 26
2.3 Hoạt động 26
CHƯƠNG III ỨNG DỤNG CỦA FTESTER TRONG ĐÁNH GIÁ IDS CỤ THỂ 30
KẾT LUẬN 31
TÀI LIỆU THAM KHẢO 32
Trang 3LỜI MỞ ĐẦU
Ngày nay, công nghệ thông tin đã và đang phát triển một cách mạnh mẽ đemlại những lợi ích và ứng dụng vô cùng to lớn cho con người đặc biệt trong lĩnh vựcInternet và Thương Mại Điện Tử Mạng máy tính ra đời, mở rộng và phát triển khôngngừng tạo nên hệ thống mạng Internet toàn cầu Ngày càng có nhiều người nhận ra lợiích của việc nối mạng (để chia sẻ tài nguyên, có thể trao đổi và tìm kiếm thông tinhiệu quả, nhanh chóng, tiết kiệm thời gian và chi phí, ), Internet đã thực sự trở thànhmột phần không thể thiếu trong cuộc sống của con người
Tuy nhiên, việc truyền thông trên mạng phải qua rất nhiều trạm trung gian,nhiều nút với nhiều người sử dụng khác nhau và không ai dám chắc rằng thông tin khiđến tay người nhận không bị thay đổi hoặc không bị sao chép Chúng ta đã được nghenhiều về vấn đề thông tin bị đánh cắp gây những thiệt hại nghiêm trọng hay những kẻthường xuyên trộm thông tin của người khác, thậm chí ăn trộm mật khẩu và giả mạonhằm phá hoại việc giao dịch Thực tế cũng đã cho thấy số các vụ tấn công vào mạngngày càng tăng, các kỹ thuật tấn công ngày càng mới và đa dạng Chính vì thế mà vấn
đề an toàn được đặt lên hàng đầu khi nói đến việc truyền thông trên mạng
Có rất nhiều cách để thực hiện an toàn trên mạng như: phương pháp kiểm soátlối vào, ngăn cản sự xâm nhập trái phép vào hệ thống cũng như kiểm soát tất cả cácthông tin gửi ra bên ngoài hệ thống, hay sử dụng phương pháp mã hoá dữ liệu trướckhi truyền, ký trước khi truyền, Ngoài ra, công nghệ phát hiện và ngăn chặn xâmnhập cũng đang được ứng dụng rất hiệu quả Và đánh giá các hệ thống phát hiện xâmnhập xem đúng đắn hay chưa là một việc rất quan trọng Bởi vậy nhóm em đã chọn đề
tài “ Tìm hiểu tổng quan về đánh giá hệ thống phát hiện xâm nhập và tìm hiểu về
Ftester qua đó ứng dụng trong một hệ thống cụ thể ”.
Do kiến thức và thời gian còn hạn chế nên không tránh khỏi những thiếu sót vềmặt nội dung và hình thức, mong cô và các bạn tham khảo và bổ sung cho nhóm, đểnhóm hoàn thiện hơn báo cáo của mình
Chúng em xin trân thành cảm ơn!!!
Trang 5PHÂN CÔNG CÔNG VIỆC
phát hiện xâm nhập
trong đánh giá một hệ thống phát hiệnxâm nhập cụ thể
Trang 6CHƯƠNG I TỔNG QUAN VỀ ĐÁNH GIÁ HỆ THỐNG PHÁT
HIỆN XÂM NHẬP
1.1 Giới thiệu
Trong những năm qua việc sử dụng hệ thống phát hiện xâm nhập (IDS) trongthương mại đã phát triển mạnh mẽ, và IDS hiện đang là thiết bị tiêu chuẩn cho cácdoanh nghiêp mạng lớn Mặc dù có sự đầu tư khá lớn nhưng phương pháp có sẵn hiệnnay lại không toàn diện và nghiêm ngặt để có thể kiểm tra tính hiệu quả của hệ thốngnày Một số có thể đổ lỗi cho người tiêu dùng không đòi hỏi các biện pháp hiệu quảnhư vậy trước khi mua IDS Một số cũng có thể đổ lỗi cho các đơn vị nghiên cứu tàitrợ không đầu tư nhiều tiền hơn trong lĩnh vực này Nhưng phương pháp đo lường làmột ngoại lệ Tuy nhiên, định lượng đo hiệu năng IDS là không có sẵn vì có rất nhiềurào cản nghiên cứu cần phải vượt qua trước khi chúng ta có thể tạo ra các bài kiểm tranhư vậy Bài viết này nêu các phép đo định lượng mà chúng ta cần, những trở ngạicản trở sự tiến bộ để phát triển các phép đo, và ý tưởng của chúng tôi cho các nghiêncứu về phương pháp đo lường hiệu năng hệ thống phát hiện xâm nhập để vượt quanhững trở ngại này
1.2 Đặc điểm của đánh giá hệ thống phát hiện xâm nhập
Trong phần này chúng tôi liệt kê
hiện trên hệ thống phát hiện xâm nhập –
một bộ các phép đo mà có thể được thực IDS
1.2.1 Độ bao phủ
Số đo này xác định những tấn công mà một IDS có thể phát hiện dưới điều kiện
lý tưởng Đối với các hệ thống dựa trên chữ ký, điều này chỉ đơn giản là sẽ bao gồmviệc đếm số lượng chữ ký và lập bản đồ chúng vào một sơ đồ đặt tên tiêu chuẩn Đốivới các hệ thống phi chữ ký, người ta cần phải xác định tấn công bên ngoài tập các tấncông đã biết thông qua một phương pháp đặc biệt nào đó Mỗi cuộc tấn công đều cómột mục tiêu cụ thể (ví dụ như từ chối dịch vụ, thâm nhập, hoặc quét,…); phần mềmchống đặc biệt chạy trên các phiên bản của một hệ điều hành cụ thể hoặc một giao
Trang 7thức chống lại cụ thể; và bằng chứng hay một dấu vết để lại ở địa điểm khác nhau.Các cuộc tấn công cũng có thể phụ thuộc vào phần cứng của hệ thống bị tấn công,trên các phiên bản của một giao thức được sử dụng, hoặc trên các phương thức hoạtđộng được sử dụng Các nhà nghiên cứu nhấn mạnh một loạt các tính năng khác nhautrong nghiên cứu đo lường của họ bao gồm: mục tiêu tấn công; các kiểu dữ liệu nạnnhân mà phải được thu thập để có được bằng chứng của cuộc tấn công; các cuộc tấncông sử dụng kỹ thuật trốn tàng hình IDS và sự kết hợp của các tính năng này Kếtquả là một số nhà nghiên cứu thừa nhận rằng mỗi cuộc tấn công có nhiều mục tiêu vàphương thức hoạt động, trong khi những người khác xác định mỗi cuộc tấn công cócấu hình mục tiêu và phương thức hoạt động rất cụ thể Chênh lệch này có liên quanđến mức chính xác của độ chi tiết để quan sát các cuộc tấn công làm cho nó khó khăntrong việc đếm số lượng các cuộc tấn công mà một IDS phát hiện và khó khăn để sosánh độ bao phủ của IDS Vấn đề này được làm dịu bớt phần nào nhờ danh sáchCommon Vulnerabilities and Exposures (CVE), đó là một danh sách chứa hầu như tất
cả các lỗ hổng được biết đến Tuy nhiên, cách tiếp cận CVE không giải quyết vấn đềnày khi mà các cuộc tấn công phức tạp được sử dụng để khai thác các lỗ hổng tương
tự bằng cách sử dụng phương pháp tiếp cận khác nhau để tránh hệ thống IDS Để giảiquyết vấn đề này, các nhóm tiêu chuẩn CVE đã bắt đầu một dự án đặt tên cho cáccuộc tấn công, nhưng công việc này vẫn đang trong giai đoạn nghiên cứu
Một vấn đề khác với việc đánh giá độ bao phủ của các cuộc tấn công đó là xácđịnh tầm quan trọng của các kiểu tấn công khác nhau Các trang web khác nhau có thểgán giá trị chi phí quản lý thay đổi rộng hơn và tầm quan trọng trong việc phát hiệncác kiểu tấn công khác nhau Các nhà quản lý của các trang web thương mại điện tử
có thể không quan tâm đến việc phát hiện và phân tích một tia quét hoặc giám sát cáccuộc tấn công mà được sử dụng để xác định máy chủ và các nguồn tài nguyên khác
Trang 8của họ và thường không thể được ngăn chặn Tuy nhiên, quản lý thương mại điện tử
có thể rất quan tâm trong việc phát hiện sự phân tán của tấn công từ chối dịch vụ(DDoS), và trong việc phát hiện thành công thỏa hiệp máy chủ hoặc ẩn trang web.Điều nhấn mạnh ở đây là khác với các phương pháp tiếp cận của đa số đánh giáthương mại bao gồm dò và giám sát các cuộc tấn công Các trang web quân sự có thểtập trung nhiều sự chú ý đến một nỗ lực giám sát các cuộc tấn công trong một thựcnghiệm để xác định tiền thân của các mối đe dọa nghiêm trọng hơn
Ngoài ra, hầu hết các trang web không thể phát hiện các cuộc tấn công tìmkiếm lỗ hổng thất bại và chúng không còn tồn tại trên một trang web Các cuộc tấncông có thể thất bại vì hoạt động của hệ thống này đã được vá và không còn dễ bị tấncông; vì hệ thống với các hệ điều hành yêu cầu không tồn tại, hoặc vì một tường lửahoặc các khối thiết bị bảo vệ tấn công quan trọng khác Một số trang web cụ thể cóthể giám sát chỉ là một vài trong số hàng ngàn lỗi bảo mật được biết đến hiện naytrong CVE, và chúng sẽ thay đổi tương ứng với các hệ thống được thay thế, vá lỗhổng, và cấu hình lại và như lỗ hổng mới được phát hiện
1.2.2 Xác suất của báo động giả
Số đo này xác định tỷ lệ dương tính với phát hiện sai được tạo ra bởi một IDS ởmột môi trường mang đến trong một khung thời gian cụ thể Một báo động giả hay sai
là một cảnh báo gây ra bởi lưu lượng tin bình thường không độc hại Một số nguyênnhân cho Network IDS (NIDS) có chữ ký yếu rằng: cảnh báo trên tất cả các lưu lượngtruy cập đến một số hiệu cổng cao được sử dụng bởi một backdoor; tìm kiếm cho sựxuất hiện của một từ phổ biến chẳng hạn như "help" trong 100 byte đầu tiên củaSNMP hoặc các kết nối TCP khác; hoặc phát hiện hành vi vi phạm phổ biến của giaothức TCP Chúng cũng có thể được gây ra bởi mạng lưới giám sát bình thường và bảo
vệ lưu lượng tin tạo ra bởi công cụ quản lý mạng Khó khăn ở đây là việc đo lườngcác báo động sai vì một IDS có thể có tỷ lệ dương tính với báo động giả khác
Trang 9nhau trong mỗi môi trường mạng và ở đây lại không có những điều như một "tiêuchuẩn mạng" Ngoài ra, rất khó để xác định các khía cạnh của lưu lượng mạng hoặchoạt động máy chủ sẽ gây ra các báo động giả Kết quả là, có thể rất khó khăn để đảmbảo rằng chúng tôi có thể tạo ra số lượng và kiểu của các báo động sai trong một kiểmthử IDS giống như được tìm thấy trong các mạng thực sự Cuối cùng, IDS có thể đượccấu hình và điều chỉnh theo nhiều cách khác nhau để làm giảm tỷ lệ dương tính giả.Điều này làm khó khăn trong việc xác định cấu hình của một IDS cho nên được sửdụng cho một kiểm thử dương tính giả đặc biệt.
Một đường cong ROC là một tổng hợp các xác suất của các báo động giả và xácsuất của các phép đo phát hiện Chúng tôi đề cập đến nó vì tầm quan trọng của nótrong cộng đồng thử nghiệm IDS Đường cong này tóm tắt các mối quan hệ giữa haitrong số những đặc điểm IDS quan trọng nhất đó là: dương tính sai và xác suất pháthiện Trong hình 1, chúng tôi hiển thị đường cong hoạt động đặc trưng thu được(ROC) tạo ra bởi hai hệ thống trong một thử nghiệm IDS
Hình 1 Đường cong ROC- Độ chính xác tỷ lệ phần trăm các tấn công bị phát hiện
với tỷ lệ phần trăm báo động sai
Trang 10Trục x cho thấy tỷ lệ báo động sai được tạo ra trong một bài kiểm tra và trục ycho thấy tỷ lệ phần trăm của các cuộc tấn công phát hiện được tại bất kỳ tỷ lệ phầntrăm báo động giả Lưu ý rằng một IDS có thể hoạt động ở bất kỳ điểm nào trênđường cong Trong ví dụ này, hệ thống 1 có thể được điều chỉnh đến một loạt cácđiểm hoạt động, trong khi hệ thống 2 sẽ là khó khăn để cấu hình vì nó chỉ có mộtđiểm hoạt động thực tế.
Theo định nghĩa, đường cong ROC cho thấy xác suất trên trục x và trục y,nhưng đôi khi các đơn vị đo lường cho lưu lượng bình thường là rất khó khăn để xácđịnh Kết quả là, các nhà nghiên cứu đã sử dụng các báo động sai theo mỗi đơn vị thờigian trên trục x Một đơn vị đo là rất cần thiết để xác định số lượng tối đa báo độngsai có thể xảy ra trong một khoảng thời gian nhất định Đơn vị đo lường này phụthuộc rất nhiều vào cách mà tính năng được tách xuất trong một IDS từ các dữ liệuđầu vào sử dụng và rất khó để xác định cho hệ thống phát hiện xâm nhập thương mại
và hệ thống hộp đen khác Đối với mục đích đánh giá, nó có lẽ là tốt hơn để vẽ tỷ lệphát hiện so với báo động giả ở mỗi đơn vị thời gian Những đường cong này khôngthực sự là đường cong ROC, nhưng chúng truyền đạt thông tin quan trọng khi phân
tích và so sánh IDS Trong hình1, cả hai hệ thống là dựa trên NIDS, và các đơn vị đo
là tổng số các gói tin truyền qua mạng Các phân tích cho rằng, lúc tồi tệ nhất, mộtIDS có thể phát hành một cảnh báo cho mỗi gói tin, và số lượng tối đa cảnh báo làtổng số các gói tin truyền đi
1.2.3 Xác suất phát hiện
Số đo này xác định tỷ lệ của các cuộc tấn công phát hiện được một cách chínhxác bởi một IDS ở một môi trường mang lại trong một khung thời gian cụ thể Khókhăn trong việc đo lường tỷ lệ phát hiện là sự thành công của một IDS phần lớn phụthuộc vào các thiết lập của các cuộc tấn công được sử dụng trong các lần đánh giá.Ngoài ra, khả năng phát hiện thay đổi theo tỷ lệ dương tính giả, và một IDS có thể
Trang 11được cấu hình hoặc điều chỉnh để ưu tiên cho một trong hai khả năng phát hiện cáccuộc tấn công hoặc để giảm thiểu tình trạng dương tính với báo động giả.
Hơn nữa, một NIDS có thể tránh bằng phiên bản tàng hình của các cuộc tấncông Một NIDS có thể phát hiện một cuộc tấn công khi nó được đưa ra một cách đơngiản dễ hiểu Kỹ thuật sử dụng để giúp các cuộc tấn công tàng hình bao gồm các góiphân mảnh, sử dụng các loại khác nhau của dữ liệu mã hóa, sử dụng cờ TCP bấtthường, mã hóa các gói tin tấn công, tấn công lan rộng qua nhiều phiên mạng, và cáccuộc tấn công phát động từ nhiều nguồn khác
1.2.4 Khả năng chống tấn công trực tiếp tại IDS
Việc đo đạc này chứng tỏ khả năng một IDS chịu đựng một nỗ lực của một kẻtấn công làm gián đoạn các hoạt động chính xác của IDS như thế nào Các cuộc tấncông chống lại một IDS có thể gồm hình thức:
• Gửi một lượng lớn lưu lượng không tấn công với khối lượng vượt quá khảnăng xử lý của IDS Với quá nhiều lưu lượng truy cập đến tiến trình, mộtIDS có thể giảm các gói dữ liệu và không thể phát hiện các cuộc tấn công
• Gửi cho IDS gói không tấn công với mánh khóe đặc biệt để kích hoạt nhiềuchữ ký trong IDS, do đó áp đảo người điều hành của IDS với dương tínhgiả hoặc báo động giả sự cố hoặc hiển thị các công cụ cảnh báo
• Đưa vào các IDS một số lượng lớn các gói tin tấn công nhằm mục đíchđánh lạc hướng người điều hành của IDS trong khi những kẻ tấn công chủmưu một tấn công thực sự ẩn dưới các " smokescreen " được tạo ra bởi vô
số các cuộc tấn công khác
• Đưa vào các gói IDS chứa dữ liệu mà khai thác một lỗ hổng bên trong cácthuật toán xử lý IDS Các cuộc tấn công như vậy sẽ chỉ thành công nếu IDSchứa một lỗi mã hóa được biết đến mà có thể bị khai thác bởi một kẻ tấn
Trang 12công thông minh May mắn thay, một vài IDS đã có thể được biết đến tràn
bộ đệm hoặc lỗ hổng khác
1.2.5 Khả năng điều khiển lưu lượng băng thông cao
Độ đo này thể hiện IDS sẽ hoạt động tốt như thế nào khi trình bày với một khốilượng lớn lưu lượng tin Hầu hết các hệ thống phát hiện xâm nhập mạng sẽ bắt đầugiảm các gói tin giống như tăng độ rộng băng thông truyền lưu lượng tin, do đó gây raIDS bỏ lỡ một tỷ lệ phần trăm của các cuộc tấn công Tại một ngưỡng nhất định, hầuhết các IDS sẽ dừng phát hiện bất kỳ cuộc tấn công nào Độ đo này gần như giống hệtvới "sức đề kháng để từ chối dịch vụ đo lường "khi kẻ tấn công gửi một lượng lớn cácphi vụ tấn công lưu lượng truy cập đến các IDS Sự khác biệt duy nhất là độ đo nàytính toán khả năng của IDS để điều khiển khối lượng lưu lượng cụ thể thông thường
1.2.6 Khả năng tương quan sự kiện
Việc đo đạc này chứng tỏ một IDS tương quan sự kiện tấn công như thế nào.Những sự kiện có thể được thu thập từ IDS, router, tường lửa, các file ứng dụng, hoặcnhiều loại thiết bị khác Một trong những mục tiêu chính của sự tương quan này làxác định tổ chức các cuộc tấn công xâm nhập Hiện nay, IDS chỉ hạn chế khả năng ởviệc đo đạc này
1.2.7 Khả năng phát hiện các tấn công chưa bao giờ xảy ra.
Việc đo đạc này chứng tỏ một IDS có thể phát hiện các cuộc tấn công mà chưaxảy ra trước đây như thế nào Đối với hệ thống thương mại, nói chung là không hữuích để thực hiện việc đo đạc này từ khi công nghệ dựa trên chữ ký của họ chỉ có thểphát hiện các cuộc tấn công mà đã xảy ra trước đó (với một vài trường hợp ngoại lệ).Tuy nhiên, hệ thống nghiên cứu dựa trên phát hiện bất thường hoặc phương pháp
Trang 13tiếp cận dựa trên đặc điểm có thể phù hợp cho loại đo lường này Thông thường các
hệ thống phát hiện các cuộc tấn công đó không bao giờ phát hiện được trước sảnphẩm dương tính giả hơn sớm so với những hệ thống mà không có tính năng này
1.2.8 Khả năng định danh một tấn công
Việc đo đạc này chứng tỏ một IDS có thể định danh các cuộc tấn công mà nó
đã phát hiện như thế nào, bằng cách dán nhãn từng tấn công với một tên chung hoặctên dễ bị tổn thương hoặc gán cho các cuộc tấn công vào một danh mục
1.2.9 Khả năng phát hiện tấn công thành công.
Việc đo đạc này chứng tỏ nếu IDS có thể xác định thành công các cuộc tấncông từ các trang web từ xa mà cung cấp cho các kẻ tấn công đặc quyền cấp cao hơntrong tấn công hệ thống Trong môi trường mạng hiện tại, nhiều cuộc tấn công đặcquyền từ xa thất bại và không gây hại cho các hệ thống bị tấn công Đối với các cuộctấn công tương tự, một số IDS có thể phát hiện bằng chứng về thiệt hại (cho dù cáccuộc tấn công đã thành công) và một số IDS phát hiện chỉ có chữ ký của các hànhđộng tấn công (không có chỉ định các cuộc tấn công thành công hay không) Khả năngxác định cuộc tấn công thành công là điều cần thiết cho việc phân tích mối tươngquan cuộc tấn công và các kịch bản tấn công; nó cũng đơn giản hoá rất nhiều côngviệc của một nhà phân tích bằng cách phân biệt giữa việc thành công các cuộc tấncông quan trọng và các cuộc tấn công thất bại thường ít gây hại Đo khả năng này đòihỏi các thông tin về các cuộc tấn công thất bại cũng như các cuộc tấn công thànhcông
1.2.10 Công suất kiểm chứng cho NIDS
Trang 14NIDS đòi hỏi nhận thức giao thức cấp cao hơn so với các thiết bị mạng khácchẳng hạn như chuyển mạch và định tuyến; nó có khả năng kiểm tra vào mức độ sâuhơn các gói dữ liệu mạng Vì vậy, điều quan trọng là đo lường khả năng của mộtNIDS để nắm bắt, xử lý và thực hiện tại cùng mức độ chính xác dưới một mạng nàođó
1.2.11 Các độ đo khác
Ngoài các độ đo trên còn có các phép đo khác, chẳng hạn như dễ sử dụng, dễbảo trì, triển khai vấn đề, yêu cầu nguồn lực sẵn có và chất lượng hỗ trợ, vv Nhữngphép đo này không liên quan trực tiếp đến việc thực hiện IDS nhưng có thể quantrọng hơn trong nhiều tình huống thương mại
1.3 Nỗ lực đánh giá IDS hiện có
Các nỗ lực đánh giá IDS khác nhau đáng kể về chiều sâu, phạm vi, phươngpháp, và độ tập trung của họ Bảng 1 tóm tắt các đặc điểm của một số nỗ lực đánh giátại các nước phát triển hơn, liệt kê theo thứ tự thời gian Bảng này cho thấy rằngnhững đánh giá có độ phức tạp tăng lên vượt thời gian, bao gồm nhiều IDS và nhiềuloại tấn công hơn, như tấn công tàng hình và từ chối dịch vụ (DoS) Đánh giá các hệthống thương mại đã bao gồm các phép đo hiệu suất theo tải trọng lưu lượng cao
Trang 15Bảng 1 Đặc điểm của các đánh giá IDS
Trang 16Đưới đây cung cấp thông tin chi tiết liên quan đến tất cả các đánh giá thể hiện
trong Bảng 1
1.3.1 Đại học California tại Davis (UCD)
Những nỗ lực nghiên cứu ban đầu ở Đại học California tại Davis dẫn đếnviệc nền tảng thử nghiệm IDS đầu tiên tự động phát động các cuộc tấn công bằngcách sử dụng tương tác telnet, FTP,và phiên rlogin Một mạng lưới các hệ thốngphát hiện xâm nhập được gọi là Network Security Monitor (NSM) trong đó sửdụng kết hợp từ khoá để phát hiện các cuộc tấn công trong lưu lượng mạng Cácđánh giá được sử dụng một vài cuộc tấn công bao gồm cả đoán mật khẩu, truyền tảimột tập tin mật khẩu cho một máy chủ từ xa, và khai thác một lỗ hổng trongchương trình mô-đun tải để có được tình trạng sử dụng mạnh trên một máy Unix.NSM bỏ lỡ một số các cuộc tấn công cho đến khi từ khóa bổ sung thêm được thêmvào
1.3.2 Phòng thí nghiệm Lincoln MIT (MIT/LL)
MIT / LL đã thực hiện các thử nghiệm IDS định lượng rộng lớn nhất cho đếnnay Tài trợ bởi Cơ quan Nghiên cứu Dự án Bộ Quốc phòng Mỹ (DARPA) MIT /
LL tiến hành thử nghiệm IDS quy mô lớn, nghiên cứu vào năm 1998 và 1999 Các
nỗ lực đánh giá năm 1999 tạo ra background traffic trực tiếp tương tự như trên mộtcăn cứ không quân có chứa hàng trăm người sử dụng trên hàng ngàn máy chủ Hơn
200 trường hợp của 58 loại tấn công (bao gồm cả các cuộc tấn công tàng hình)được cài vào trong bảy tuần tạo dữ liệu và hai tuần kiểm thử dữ liệu Khác với đánhgiá năm 1998 của họ, đánh giá năm 1999 được thiết kế chủ yếu để đánh giá khảnăng của hệ thống nhằm phát hiện các cuộc tấn công mới mà không cần đào tạo lầnđầu tiên về các trường hợp tấn công Các cuộc tấn công tự động được đưa ra chống