침입 탐지 시스템 평가: 1998년 DARPA 오프라인 침입 탐지 평가

침입 탐지 평가 테스트 베드가 개발되어 1000대 이상의 호스트에서 수백 명의 사용자가 있는 정부 사이트와 유사한 정상 트래픽을 생성하였습니다. 7주간의 훈련 데이터와 2주간의 테스트 데이터 동안 피해 UNIX 호스트에 대해 38가지 자동화 공격이 300건 이상 실행되었습니다. 여섯 개의 연구 그룹이 블라인드 평가에 참여했으며 프로브, 서비스 거부(DoS), 원격-로컬(R2L), 사용자-루트(U2R) 공격에 대한 결과가 분석되었습니다. 최고 시스템들은 훈련 데이터에 포함된 기존 공격을 적당한 탐지율(하루 10회의 오탐 기준 63%에서 93% 사이)로 탐지했습니다. 하지만 테스트 데이터에만 포함된 새로운 R2L 및 DoS 공격에 대한 탐지율은 훨씬 낮았습니다. 최고 시스템들도 원격 사용자가 루트 권한에 손상된 접근을 포함하는 이러한 새로운 공격 중 약 절반을 탐지하지 못했습니다. 이러한 결과는 기존 규칙 기반 접근법을 확장하기보다는 새로운 공격을 찾아내는 기술 개발에 연구를 집중해야 함을 시사합니다.