Тестирования исследовательских прототипов

В 1998 г. по заданию DARPA лаборатория Линкольна Массачусетского технологического института провела оценку различных СОВ. Во время этой оценки исследователи использовали данные сенсоров в виде записанного сетевого трафика, записи аудита Solaris BSM, а также данные состояния файловых систем, чтобы идентифицировать вторжение, которые были проведены для тестовой сети во время сбора данных. Тестовый трафик состоял из смеси реального и моделирующего фонового трафиков, а атаки были направлены на реальные машины тестовой сети. Тренировочные данные содержали множество атак, которые были идентифицированы в сопутствующих документах.

Анализ полученных оценок 1998 г. показал множество серьезных недостатков в оцениваемых СОВ. Поэтому оценивание было проворено в 1999 г. после этого было принято решение о сохранении тренировочных данных и свободном доступе к ним со стороны исследователей. В настоящее время эти тренировочные данные доступны для всех желающих. Это дает возможность исследователям практически оценить важнейшие характеристики, связанные с обнаружением, а именно: вероятности ошибок ложного срабатывания и ошибок пропуска.

Общее число типов атак, включенных в тестовые данные 1998 г. составило 32. эти атаки, с точки зрения атакующего, можно подразделить на четыре категории:

• — атаки отказа в обслуживании;
• — атаки перехода от удаленного использования к локальному;
• — атаки получения пользователями прав супер производителя.
• — атаки сканирования или проб.

В тренировочных записях, которые были дополнены и спроектированы в 1999 г., содержится реальные записи аудита и записи сетевого трафика в формате tcpdump, которые представляют собой записи шести недель тренировочных данных.

Положительный опыт представления исходных данных для исследователей и разработчиков систем обнаружения вторжений был продолжен. В настоящее время существует несколько подобных общедоступных баз данных тестовых файлов.