在IDS被企業(yè)廣泛應用的同時，評估IDS的性能又成了廣大企業(yè)和安全廠商關注的話題。評估IDS，可以使得企業(yè)用戶能夠更好地了解引進IDS系統(tǒng)之后企業(yè)的安全程度是否達到了理想的效果，那么評估IDS的性能指標是什么呢？

測試評估IDS的性能指標

在我們分析IDS的性能時，主要考慮檢測系統(tǒng)的有效性、效率和可用性。有效性研究檢測機制的檢測精確度和系統(tǒng)檢測結果的可信度，它是開發(fā)設計和應用IDS的前提和目的，是測試評估IDS的主要指標，效率則從檢測機制的處理數據的速度以及經濟性的角度來考慮，也就是側重檢測機制性能價格比的改進。可用性主要包括系統(tǒng)的可擴展性、用戶界面的可用性，部署配置方便程度等方面。有效性是開發(fā)設計和應用IDS的前提和目的，因此也是測試評估IDS的主要指標，但效率和可用性對IDS的性能也起很重要的作用。效率和可用性滲透于系統(tǒng)設計的各個方面之中。本節(jié)從檢測的有效性、效率以及可用性角度，對測試評估IDS的性能指標進行分析討論。

1 檢測率、虛警率及檢測可信度

檢測率是指被監(jiān)控系統(tǒng)在受到入侵攻擊時，檢測系統(tǒng)能夠正確報警的概率。虛警率是指檢測系統(tǒng)在檢測時出現(xiàn)虛警的概率。檢測可信度也就是檢測系統(tǒng)檢測結果的可信程度，這是測試評估IDS的最重要的指標。

實際的IDS的實現(xiàn)總是在檢測率和虛警率之間徘徊，檢測率高了，虛警率就會提高；同樣虛警率降低了，檢測率也就會降低。一般地，IDS產品會在兩者中取一個折衷，并且能夠進行調整，以適應不同的網絡環(huán)境。美國的林肯實驗室用接收器特性（ROC，Receiver Operating Characteristic）曲線來描述IDS的性能。該曲線準確刻畫了IDS的檢測率與虛警率之間的變化關系。ROC廣泛用于輸入不確定的系統(tǒng)的評估。根據一個IDS在不同的條件（在允許范圍內變化的閾值，例如異常檢測系統(tǒng)的報警門限等參數）下的虛警率和檢測率，分別把虛警率和檢測率作為橫坐標和縱坐標，就可做出對應于該IDS的ROC曲線。ROC曲線與IDS的檢測門限具有對應的關系

在測試評估IDS的具體實施過程中，除了要IDS的檢測率和虛警率之外，往往還會單獨考慮與這兩個指標密切相關的一些因素，比如能檢測的入侵特征數量、IP碎片重組能力、TCP流重組能力。顯然，能檢測的入侵特征數量越多，檢測率也就越高。此外，由于攻擊者為了加大檢測的難度甚至繞過IDS的檢測，常常會發(fā)送一些特別設計的分組。為了提高IDS的檢測率降低IDS的虛警率，IDS常常需要采取一些相應的措施，比如IP碎片能力、TCP流重組。因為分析單個的數據分組會導致許多誤報和漏報，所以IP碎片的重組可以提高檢測的精確度。IP碎片重組的評測標準有三個性能參數：能重組的最大IP分片數；能同時重組的IP分組數；能進行重組的最大IP數據分組的長度，TCP流重組是為了對完整的網絡對話進行分析，它是網絡IDS對應用層進行分析的基礎。如檢查郵件內容。附件，檢查FTP傳輸的數據，禁止訪問有害網站，判斷非法HTTP請求等。這兩個能力都會直接影響IDS的檢測可信度。

2 IDS本身的抗攻擊能力

和其他系統(tǒng)一樣，IDS本身也往往存在安全漏洞。若對IDS攻擊成功，則直接導致其報警失靈，入侵者在其后所作的行為將無法被記錄。因此IDS首先必須保證自己的安全性。IDS本身的抗攻擊能力也就是IDS的可靠性，用于衡量IDS對那些經過特別設計直接以IDS為攻擊目標的攻擊的抵抗能力。它主要體現(xiàn)在兩個方面：一是程序本身在各種網絡環(huán)境下能夠正常工作；二是程序各個模塊之間的通信能夠不被破壞，不可仿冒。此外要特別考慮抵御拒絕服務攻擊的能力。如果IDS本身不能正常運行，也就失去了它的保護意義。而如果系統(tǒng)各模塊間的通信遭到破壞，那系統(tǒng)的報警之類的檢測結果也就值得懷疑，應該有一個良好的通信機制保證模塊間通信的安全并能在出問題時能夠迅速恢復。

3 其他性能指標

延遲時間。檢測延遲指的是在攻擊發(fā)生至IDS檢測到入侵之間的延遲時間。延遲時間的長短直接關系著入侵攻擊破壞的程度。

資源的占用情況。即系統(tǒng)在達到某種檢測有效性時對資源的需求情況。通常，在同等檢測有效性的前提下，對資源的要求越低，IDS的性能越好，檢測入侵的能力也就越強。

負荷能力。IDS有其設計的負荷能力，在超出負荷能力的情況下，性能會出現(xiàn)不同程度的下降。比如，在正常情況下IDS可檢測到某攻擊但在負荷大的情況下可能就檢測不出該攻擊。考察檢測系統(tǒng)的負荷能力就是觀察不同大小的網絡流量、不同強度的CPU內存等系統(tǒng)資源的使用對IDS的關鍵指標（比如檢測率、虛警率）的影響。

日志、報善、報告以及響應能力。日志能力是指檢測系統(tǒng)保存日志的能力、按照特定要求選取日志內容的能力。報警能力是指在檢測到入侵后，向特全部件、人員發(fā)送報警信號的能力以及在報警中附加信息的能力。報告能力是指產生入侵行為報告、提供查詢報告、創(chuàng)建和保存報告的能力。響應能力是指在檢測到入侵后進一步處理的能力，這包括阻斷入侵、跟蹤入侵者、記錄入侵證據等。

系統(tǒng)的可用性。主要是指系統(tǒng)安裝、配置、管理、使用的方便程度，系統(tǒng)界面的友好程度，攻擊規(guī)則庫維護的簡易程度等方面。

總之，IDS是個比較復雜的系統(tǒng)，對IDS進行測試和評估不僅和IDS本身有關，還與應用IDS的環(huán)境有關。測試過程中涉及到操作環(huán)境、網絡環(huán)境、工具、軟件、硬件等方面。我們既要考慮入侵檢測的效果如何，也要考慮應用該系統(tǒng)后它對實際系統(tǒng)的影響，有時要折衷考慮這兩種因素。

【編輯推薦】

1. 如何實現(xiàn)IPS系統(tǒng)深度檢測
2. 假想案例談論IPS系統(tǒng)部署
3. 如何克服IPS技術發(fā)展中的障礙
4. 從攻擊規(guī)避檢測技術看IPS的安全有效性
5. 企業(yè)測試IDS的四條重要標準