On Benchmarking Intrusion Detection Systems in Virtualized Environments SPEC RG IDS Benchmarking Working Group

1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12 Intrusion Detection in Virtualized Environments . . . . . . . . . . . . . . . . . .22.1 VMM-Based Intrusion Detection Systems . . . . . . . . . . . . . . . . . .22.2 Intrusion Detection Techniques . . . . . . . . . . . . . . . . . . . . . . . .4Misuse-based Intrusion Detection . . . . . . . . . . . . . . . . . . . . . . .4Anomaly-based Intrusion Detection . . . . . . . . . . . . . . . . . . . . .53 Requirements and Challenges for Benchmarking VMM-based IDSes . . . . . . . .73.1 Workloads . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7Benign Workloads . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7Malicious Workloads . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103.2 Metrics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .144 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17References . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18i