網絡安全設備誤報和漏報率的檢測方法

誤報率和漏報率是衡量一個網絡安全設備的重要技術指標，如何正確檢測和計算這兩項指標，沒有統(tǒng)一科學的方法，文章根據(jù)多年從事信息安全網絡安全設備積累的經驗，總結出關于網絡安全設備誤報率和漏報率的計算和檢測方法。

【關鍵詞】廣播電視事業(yè) 信息化 數(shù)字化和網絡化

1 誤報率

1.1 誤報率的定義和計算方法

誤報指在該網絡安全設備報警規(guī)則事件集合（記為：C）中，用某一A事件去觸發(fā)報警時，實際發(fā)生了B事件報警或未發(fā)生報警。誤報率指在C規(guī)則集中，由于算法或事件定義的原因而導致該網絡安全設備誤報產生的概率。

誤報率比較通用的計算方法是以設備規(guī)則集為出發(fā)點，對規(guī)則集的事件進行加權處理，公式表示為C（N）=C1*a1+c2*a2......+Cn*an（Ci表示某事件，ai表示權值，N表示事件數(shù)），誤報事件B（M）=b1*w1+b2*w2......Bm*Wm（bj表示誤報事件，bj表示權值，M表示誤報事件數(shù)），因此：

誤報率=*100% （1-1）

但是目前行業(yè)沒有一個統(tǒng)一的權值標準，因此：

簡化的誤報率= （1-2）

（M五保事件數(shù)，N事件總數(shù)）。

1.2 誤報率的測試方法

1.2.1 測試方法

因網絡安全設備事件規(guī)則集合較多，各種組合之間覆蓋到往往不現(xiàn)實，一般采用抽樣的方式，即隨機挑選事件庫中的部分事件（一般為100條），采用攻擊工具真實觸發(fā)這些事件，或者以抓包工具對捕獲的包進行回放，分析出報警結果，從而得出該設備的誤報率。

1.2.2 測試工具

常見的測試工具包括思博倫ThreatEX、DSQLTools、x-scan、桂林老兵、IE文件服務器、DDOS、冰河等工具；同時可用tcpreplay、Sniffer、Wireshark等抓包工具，去http：//malware-traffic-analysis.net網站下載.pcap包進行回放，特別可對最新惡意程序誤報進行檢測。

1.2.3 測試環(huán)境

以網絡安全產品端口鏡像為例的拓撲如圖1所示。

為了保障測試期間的準確，測試期間該網絡盡量獨立部署。

1.2.4 測試步驟

——按照圖1將設備全部部署好；

——在攻擊機上啟動測試工具，或用tcpreplay –i 網卡 –M 流量 –l 次數(shù) 包名進行發(fā)送；

——檢查誤報后，用公式1-2進行計算誤報率。

2 漏報率

2.1 漏報率的定義和計算方法

漏報是指對于真實發(fā)生的網絡攻擊事件網絡安全設備沒有預警；漏報率是指對于真實存在的網絡攻擊，網絡安全設備存在漏報的概率。導致漏報的因素很多，主要包括特征庫未及時更新、網絡流量等。漏報率的計算，是以真實發(fā)生的網絡攻擊事件數(shù)量為基準，計算網絡安全設備漏報的事件數(shù)量所占的比率。

2.2 漏報率的測試方法

2.2.1 測試方法

能否檢測最新的網絡攻擊事件是衡量一個網絡安全產品的研發(fā)和維護支持能力的重要指標，因此可到http：//malware-traffic-analysis.net網站下載最新的.pcap包進行回放測試；同時在不同的網絡流量背景下，用攻擊工具或抓包工具多次回放同一事件，分析網絡安全設備的報警數(shù)量，從而計算漏報率。

2.2.2 測試工具

網絡安全設備漏報率的測試工具包括：Unicode、發(fā)包工具SmartBits、嗅探抓包工具Sniffer等。

2.2.3 測試環(huán)境

測試環(huán)境跟誤報率測試基本相同，只是在交換機連接一臺網絡發(fā)包工具SmartBits（進行不同流量下的測試）。

2.2.4 測試步驟

在測試期間分別使用最新包進行發(fā)送和Smartbits進行0，25%，50%，99%的網絡加壓，最后計算：

漏報率=

（N未檢測出的包，M總發(fā)包數(shù)）。

3 結束語

網絡安全設備的關鍵在于發(fā)現(xiàn)入侵行為，然后根據(jù)事先的預警規(guī)則進行及時、準確的處理，使我們的信息系統(tǒng)更加安全。誤報率和漏報率的直接影響到網絡安全設備應用的效果，科學認識誤報率和漏報率的測試方法和流程，有助于我們提高檢測水平，同時也可對使用開發(fā)單位進行有效的指導。

參考文獻

[1]盛驟，謝式千，潘承毅.概率論和數(shù)理統(tǒng)計[M].北京：高等教育出版社，2000.

[2]陳慶章，趙小敏.TCP/IP網絡原理與技術[M].北京：高等教育出版社，2006.

[3]季永煒.ARP攻擊與實現(xiàn)原理解析.電腦知識與技術，2012.

作者簡介

季永煒（1982-），男，浙江省諸暨縣人。大學本科學歷。現(xiàn)為浙江省電子信息產品檢驗所工程師。

作者單位

浙江省電子信息產品檢驗所 軟件評測中心 浙江省杭州市 310007endprint