誤報(bào)率和漏報(bào)率是衡量一個(gè)網(wǎng)絡(luò)安全設(shè)備的重要技術(shù)指標(biāo)，如何正確檢測(cè)和計(jì)算這兩項(xiàng)指標(biāo)，沒(méi)有統(tǒng)一科學(xué)的方法，文章根據(jù)多年從事信息安全網(wǎng)絡(luò)安全設(shè)備積累的經(jīng)驗(yàn)，總結(jié)出關(guān)于網(wǎng)絡(luò)安全設(shè)備誤報(bào)率和漏報(bào)率的計(jì)算和檢測(cè)方法。

【關(guān)鍵詞】廣播電視事業(yè) 信息化 數(shù)字化和網(wǎng)絡(luò)化

1 誤報(bào)率

1.1 誤報(bào)率的定義和計(jì)算方法

誤報(bào)指在該網(wǎng)絡(luò)安全設(shè)備報(bào)警規(guī)則事件集合（記為：C）中，用某一A事件去觸發(fā)報(bào)警時(shí)，實(shí)際發(fā)生了B事件報(bào)警或未發(fā)生報(bào)警。誤報(bào)率指在C規(guī)則集中，由于算法或事件定義的原因而導(dǎo)致該網(wǎng)絡(luò)安全設(shè)備誤報(bào)產(chǎn)生的概率。

誤報(bào)率比較通用的計(jì)算方法是以設(shè)備規(guī)則集為出發(fā)點(diǎn)，對(duì)規(guī)則集的事件進(jìn)行加權(quán)處理，公式表示為C（N）=C1*a1+c2*a2......+Cn*an（Ci表示某事件，ai表示權(quán)值，N表示事件數(shù)），誤報(bào)事件B（M）=b1*w1+b2*w2......Bm*Wm（bj表示誤報(bào)事件，bj表示權(quán)值，M表示誤報(bào)事件數(shù)），因此：

誤報(bào)率=*100% （1-1）

但是目前行業(yè)沒(méi)有一個(gè)統(tǒng)一的權(quán)值標(biāo)準(zhǔn)，因此：

簡(jiǎn)化的誤報(bào)率= （1-2）

（M五保事件數(shù)，N事件總數(shù)）。

1.2 誤報(bào)率的測(cè)試方法

1.2.1 測(cè)試方法

因網(wǎng)絡(luò)安全設(shè)備事件規(guī)則集合較多，各種組合之間覆蓋到往往不現(xiàn)實(shí)，一般采用抽樣的方式，即隨機(jī)挑選事件庫(kù)中的部分事件（一般為100條），采用攻擊工具真實(shí)觸發(fā)這些事件，或者以抓包工具對(duì)捕獲的包進(jìn)行回放，分析出報(bào)警結(jié)果，從而得出該設(shè)備的誤報(bào)率。

1.2.2 測(cè)試工具

常見(jiàn)的測(cè)試工具包括思博倫ThreatEX、DSQLTools、x-scan、桂林老兵、IE文件服務(wù)器、DDOS、冰河等工具；同時(shí)可用tcpreplay、Sniffer、Wireshark等抓包工具，去http：//malware-traffic-analysis.net網(wǎng)站下載.pcap包進(jìn)行回放，特別可對(duì)最新惡意程序誤報(bào)進(jìn)行檢測(cè)。

1.2.3 測(cè)試環(huán)境

以網(wǎng)絡(luò)安全產(chǎn)品端口鏡像為例的拓?fù)淙鐖D1所示。

為了保障測(cè)試期間的準(zhǔn)確，測(cè)試期間該網(wǎng)絡(luò)盡量獨(dú)立部署。

1.2.4 測(cè)試步驟

——按照?qǐng)D1將設(shè)備全部部署好；

——在攻擊機(jī)上啟動(dòng)測(cè)試工具，或用tcpreplay –i 網(wǎng)卡 –M 流量 –l 次數(shù) 包名進(jìn)行發(fā)送；

——檢查誤報(bào)后，用公式1-2進(jìn)行計(jì)算誤報(bào)率。

2 漏報(bào)率

2.1 漏報(bào)率的定義和計(jì)算方法

漏報(bào)是指對(duì)于真實(shí)發(fā)生的網(wǎng)絡(luò)攻擊事件網(wǎng)絡(luò)安全設(shè)備沒(méi)有預(yù)警；漏報(bào)率是指對(duì)于真實(shí)存在的網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)安全設(shè)備存在漏報(bào)的概率。導(dǎo)致漏報(bào)的因素很多，主要包括特征庫(kù)未及時(shí)更新、網(wǎng)絡(luò)流量等。漏報(bào)率的計(jì)算，是以真實(shí)發(fā)生的網(wǎng)絡(luò)攻擊事件數(shù)量為基準(zhǔn)，計(jì)算網(wǎng)絡(luò)安全設(shè)備漏報(bào)的事件數(shù)量所占的比率。

2.2 漏報(bào)率的測(cè)試方法

2.2.1 測(cè)試方法

能否檢測(cè)最新的網(wǎng)絡(luò)攻擊事件是衡量一個(gè)網(wǎng)絡(luò)安全產(chǎn)品的研發(fā)和維護(hù)支持能力的重要指標(biāo)，因此可到http：//malware-traffic-analysis.net網(wǎng)站下載最新的.pcap包進(jìn)行回放測(cè)試；同時(shí)在不同的網(wǎng)絡(luò)流量背景下，用攻擊工具或抓包工具多次回放同一事件，分析網(wǎng)絡(luò)安全設(shè)備的報(bào)警數(shù)量，從而計(jì)算漏報(bào)率。

2.2.2 測(cè)試工具

網(wǎng)絡(luò)安全設(shè)備漏報(bào)率的測(cè)試工具包括：Unicode、發(fā)包工具SmartBits、嗅探抓包工具Sniffer等。

2.2.3 測(cè)試環(huán)境

測(cè)試環(huán)境跟誤報(bào)率測(cè)試基本相同，只是在交換機(jī)連接一臺(tái)網(wǎng)絡(luò)發(fā)包工具SmartBits（進(jìn)行不同流量下的測(cè)試）。

2.2.4 測(cè)試步驟

在測(cè)試期間分別使用最新包進(jìn)行發(fā)送和Smartbits進(jìn)行0，25%，50%，99%的網(wǎng)絡(luò)加壓，最后計(jì)算：

漏報(bào)率=

（N未檢測(cè)出的包，M總發(fā)包數(shù)）。

3 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全設(shè)備的關(guān)鍵在于發(fā)現(xiàn)入侵行為，然后根據(jù)事先的預(yù)警規(guī)則進(jìn)行及時(shí)、準(zhǔn)確的處理，使我們的信息系統(tǒng)更加安全。誤報(bào)率和漏報(bào)率的直接影響到網(wǎng)絡(luò)安全設(shè)備應(yīng)用的效果，科學(xué)認(rèn)識(shí)誤報(bào)率和漏報(bào)率的測(cè)試方法和流程，有助于我們提高檢測(cè)水平，同時(shí)也可對(duì)使用開(kāi)發(fā)單位進(jìn)行有效的指導(dǎo)。

參考文獻(xiàn)

[1]盛驟，謝式千，潘承毅.概率論和數(shù)理統(tǒng)計(jì)[M].北京：高等教育出版社，2000.

[2]陳慶章，趙小敏.TCP/IP網(wǎng)絡(luò)原理與技術(shù)[M].北京：高等教育出版社，2006.

[3]季永煒.ARP攻擊與實(shí)現(xiàn)原理解析.電腦知識(shí)與技術(shù)，2012.

作者簡(jiǎn)介

季永煒（1982-），男，浙江省諸暨縣人。大學(xué)本科學(xué)歷?，F(xiàn)為浙江省電子信息產(chǎn)品檢驗(yàn)所工程師。

作者單位

浙江省電子信息產(chǎn)品檢驗(yàn)所 軟件評(píng)測(cè)中心 浙江省杭州市 310007endprint