网络安全设备误报和漏报率的检测方法

误报率和漏报率是衡量一个网络安全设备的重要技术指标，如何正确检测和计算这两项指标，没有统一科学的方法，文章根据多年从事信息安全网络安全设备积累的经验，总结出关于网络安全设备误报率和漏报率的计算和检测方法。

【关键词】广播电视事业 信息化 数字化和网络化

1 误报率

1.1 误报率的定义和计算方法

误报指在该网络安全设备报警规则事件集合（记为：C）中，用某一A事件去触发报警时，实际发生了B事件报警或未发生报警。误报率指在C规则集中，由于算法或事件定义的原因而导致该网络安全设备误报产生的概率。

误报率比较通用的计算方法是以设备规则集为出发点，对规则集的事件进行加权处理，公式表示为C（N）=C1*a1+c2*a2......+Cn*an（Ci表示某事件，ai表示权值，N表示事件数），误报事件B（M）=b1*w1+b2*w2......Bm*Wm（bj表示误报事件，bj表示权值，M表示误报事件数），因此：

误报率=*100% （1-1）

但是目前行业没有一个统一的权值标准，因此：

简化的误报率= （1-2）

（M五保事件数，N事件总数）。

1.2 误报率的测试方法

1.2.1 测试方法

因网络安全设备事件规则集合较多，各种组合之间覆盖到往往不现实，一般采用抽样的方式，即随机挑选事件库中的部分事件（一般为100条），采用攻击工具真实触发这些事件，或者以抓包工具对捕获的包进行回放，分析出报警结果，从而得出该设备的误报率。

1.2.2 测试工具

常见的测试工具包括思博伦ThreatEX、DSQLTools、x-scan、桂林老兵、IE文件服务器、DDOS、冰河等工具；同时可用tcpreplay、Sniffer、Wireshark等抓包工具，去http：//网站下载.pcap包进行回放，特别可对最新恶意程序误报进行检测。

1.2.3 测试环境

以网络安全产品端口镜像为例的拓扑如图1所示。

为了保障测试期间的准确，测试期间该网络尽量独立部署。

1.2.4 测试步骤

――按照图1将设备全部部署好；

――在攻击机上启动测试工具，或用tcpreplay i 网卡 M 流量 l 次数 包名进行发送；

――检查误报后，用公式1-2进行计算误报率。

2 漏报率

2.1 漏报率的定义和计算方法

漏报是指对于真实发生的网络攻击事件网络安全设备没有预警；漏报率是指对于真实存在的网络攻击，网络安全设备存在漏报的概率。导致漏报的因素很多，主要包括特征库未及时更新、网络流量等。漏报率的计算，是以真实发生的网络攻击事件数量为基准，计算网络安全设备漏报的事件数量所占的比率。

2.2 漏报率的测试方法

2.2.1 测试方法

能否检测最新的网络攻击事件是衡量一个网络安全产品的研发和维护支持能力的重要指标，因此可到http：//网站下载最新的.pcap包进行回放测试；同时在不同的网络流量背景下，用攻击工具或抓包工具多次回放同一事件，分析网络安全设备的报警数量，从而计算漏报率。

2.2.2 测试工具

网络安全设备漏报率的测试工具包括：Unicode、发包工具SmartBits、嗅探抓包工具Sniffer等。

2.2.3 测试环境

测试环境跟误报率测试基本相同，只是在交换机连接一台网络发包工具SmartBits（进行不同流量下的测试）。

2.2.4 测试步骤

在测试期间分别使用最新包进行发送和Smartbits进行0，25%，50%，99%的网络加压，最后计算：

漏报率=

（N未检测出的包，M总发包数）。

3 结束语

网络安全设备的关键在于发现入侵行为，然后根据事先的预警规则进行及时、准确的处理，使我们的信息系统更加安全。误报率和漏报率的直接影响到网络安全设备应用的效果，科学认识误报率和漏报率的测试方法和流程，有助于我们提高检测水平，同时也可对使用开发单位进行有效的指导。

参考文献

[1]盛骤，谢式千，潘承毅.概率论和数理统计[M].北京：高等教育出版社，2000.

[2]陈庆章，赵小敏.TCP/IP网络原理与技术[M].北京：高等教育出版社，2006.

[3]季永炜.ARP攻击与实现原理解析.电脑知识与技术，2012.

作者简介

季永炜（1982-），男，浙江省诸暨县人。大学本科学历。现为浙江省电子信息产品检验所工程师。

作者单位

浙江省电子信息产品检验所 软件评测中心 浙江省杭州市 310007