隨著入侵檢測(cè)系統(tǒng)的廣泛使用，如何評(píng)估IDS性能成為了主要問題。企業(yè)希望通過評(píng)估IDS性能來檢測(cè)自己的企業(yè)安全性，而安全產(chǎn)品廠商希望通過評(píng)估IDS性能來了解產(chǎn)品的不足和企業(yè)的需求，那么如何正確的評(píng)估IDS性能呢？其步驟又是什么呢？

測(cè)試評(píng)估IDS性能的標(biāo)準(zhǔn)

根據(jù)Porras等的研究，給出了評(píng)價(jià)IDS性能的三個(gè)因素：

·準(zhǔn)確性（Accuracy）：指IDS從各種行為中正確地識(shí)別入侵的能力，當(dāng)一個(gè)IDS的檢測(cè)不準(zhǔn)確時(shí)，就有可能把系統(tǒng)中的合法活動(dòng)當(dāng)作入侵行為并標(biāo)識(shí)為異常（虛警現(xiàn)象）。

·處理性能（Performance）：指一個(gè)IDS處理數(shù)據(jù)源數(shù)據(jù)的速度。顯然，當(dāng)IDS的處理性能較差時(shí)，它就不可能實(shí)現(xiàn)實(shí)時(shí)的IDS，并有可能成為整個(gè)系統(tǒng)的瓶頸，進(jìn)而嚴(yán)重影響整個(gè)系統(tǒng)的性能。

·完備性（Completeness）：指IDS能夠檢測(cè)出所有攻擊行為的能力。如果存在一個(gè)攻擊行為，無法被IDS檢測(cè)出來，那么該JDS就不具有檢測(cè)完備性。也就是說，它把對(duì)系統(tǒng)的入侵活動(dòng)當(dāng)作正常行為（漏報(bào)現(xiàn)象）。由于在一般情況下，攻擊類型、攻擊手段的變化很快，我們很難得到關(guān)于攻擊行為的所有知識(shí)，所以關(guān)于IDS的檢測(cè)完備性的評(píng)估相對(duì)比較困難。

在此基礎(chǔ)上，Debar等又增加了兩個(gè)性能評(píng)價(jià)測(cè)度：

·容錯(cuò)性（Fault Tolerance）：由于IDS是檢測(cè)入侵的重要手段／所以它也就成為很多入侵者攻擊的首選目標(biāo)。IDS自身必須能夠抵御對(duì)它自身的攻擊，特別是拒絕服務(wù)（Denial-of-Service）攻擊。由于大多數(shù)的IDS是運(yùn)行在極易遭受攻擊的操作系統(tǒng)和硬件平臺(tái)上，這就使得系統(tǒng)的容錯(cuò)性變得特別重要，在測(cè)試評(píng)估IDS時(shí)必須考慮這一點(diǎn)。

·及時(shí)性（Timeliness）：及時(shí)性要求IDS必須盡快地分析數(shù)據(jù)并把分析結(jié)果傳播出去，以使系統(tǒng)安全管理者能夠在入侵攻擊尚未造成更大危害以前做出反應(yīng)，阻止入侵者進(jìn)一步的破壞活動(dòng)，和上面的處理性能因素相比，及時(shí)性的要求更高。它不僅要求IDS的處理速度要盡可能地快，而且要求傳播、反應(yīng)檢測(cè)結(jié)果信息的時(shí)間盡可能少。

IDS測(cè)試評(píng)估的方法步驟

前面我們已經(jīng)討論了IDS測(cè)試評(píng)估的性能指標(biāo)，具體測(cè)試主要就是圍繞這些指標(biāo)來進(jìn)行。大部分的測(cè)試過程都遵循下面的基本測(cè)試步驟：

·創(chuàng)建、選擇一些測(cè)試工具或測(cè)試腳本。這些腳本和工具主要用來生成模擬的正常行為及入侵，也就是模擬IDS運(yùn)行的實(shí)際環(huán)境。

·確定計(jì)算環(huán)境所要求的條件，比如背景計(jì)算機(jī)活動(dòng)的級(jí)別。

·配置運(yùn)行IDS。
 
·運(yùn)行測(cè)試工具或測(cè)試腳本。
　　
·分析IDS的檢測(cè)結(jié)果。
 
美國(guó)加州大學(xué)的Nicholas J．Puketza等人把測(cè)試分為三類，分別與前面的性能指標(biāo)相對(duì)應(yīng)，即入侵識(shí)別測(cè)試（也可以說是IDS有效性測(cè)試）。資源消耗測(cè)試、強(qiáng)度測(cè)試。入侵識(shí)別測(cè)試測(cè)量IDS區(qū)分正常行為和入侵的能力，主要衡量的指標(biāo)是檢測(cè)率和虛警率。資源消耗測(cè)試（Resource Usage Tests）測(cè)量IDS占用系統(tǒng)資源的狀況，考慮的主要因素是硬盤占用空間、內(nèi)存消耗等。強(qiáng)度測(cè)試主要檢測(cè)IDS在強(qiáng)負(fù)荷運(yùn)行狀況下檢測(cè)效果是否受影響，主要包括大負(fù)載、高密度數(shù)據(jù)流量情況下對(duì)檢測(cè)效果的檢測(cè)。

【編輯推薦】

1. 企業(yè)測(cè)試IDS的四條重要標(biāo)準(zhǔn)
2. 假想案例談?wù)揑PS系統(tǒng)部署
3. 如何克服IPS技術(shù)發(fā)展中的障礙
4. 如何實(shí)現(xiàn)IPS深度檢測(cè)和入侵抵抗
5. WAF vs IPS 誰更適合防護(hù)Web應(yīng)用？