隨著入侵檢測系統(tǒng)的廣泛使用，如何評估IDS性能成為了主要問題。企業(yè)希望通過評估IDS性能來檢測自己的企業(yè)安全性，而安全產(chǎn)品廠商希望通過評估IDS性能來了解產(chǎn)品的不足和企業(yè)的需求，那么如何正確的評估IDS性能呢？其步驟又是什么呢？

測試評估IDS性能的標(biāo)準(zhǔn)

根據(jù)Porras等的研究，給出了評價IDS性能的三個因素：

·準(zhǔn)確性（Accuracy）：指IDS從各種行為中正確地識別入侵的能力，當(dāng)一個IDS的檢測不準(zhǔn)確時，就有可能把系統(tǒng)中的合法活動當(dāng)作入侵行為并標(biāo)識為異常（虛警現(xiàn)象）。

·處理性能（Performance）：指一個IDS處理數(shù)據(jù)源數(shù)據(jù)的速度。顯然，當(dāng)IDS的處理性能較差時，它就不可能實現(xiàn)實時的IDS，并有可能成為整個系統(tǒng)的瓶頸，進(jìn)而嚴(yán)重影響整個系統(tǒng)的性能。

·完備性（Completeness）：指IDS能夠檢測出所有攻擊行為的能力。如果存在一個攻擊行為，無法被IDS檢測出來，那么該JDS就不具有檢測完備性。也就是說，它把對系統(tǒng)的入侵活動當(dāng)作正常行為（漏報現(xiàn)象）。由于在一般情況下，攻擊類型、攻擊手段的變化很快，我們很難得到關(guān)于攻擊行為的所有知識，所以關(guān)于IDS的檢測完備性的評估相對比較困難。

在此基礎(chǔ)上，Debar等又增加了兩個性能評價測度：

·容錯性（Fault Tolerance）：由于IDS是檢測入侵的重要手段／所以它也就成為很多入侵者攻擊的首選目標(biāo)。IDS自身必須能夠抵御對它自身的攻擊，特別是拒絕服務(wù)（Denial-of-Service）攻擊。由于大多數(shù)的IDS是運行在極易遭受攻擊的操作系統(tǒng)和硬件平臺上，這就使得系統(tǒng)的容錯性變得特別重要，在測試評估IDS時必須考慮這一點。

·及時性（Timeliness）：及時性要求IDS必須盡快地分析數(shù)據(jù)并把分析結(jié)果傳播出去，以使系統(tǒng)安全管理者能夠在入侵攻擊尚未造成更大危害以前做出反應(yīng)，阻止入侵者進(jìn)一步的破壞活動，和上面的處理性能因素相比，及時性的要求更高。它不僅要求IDS的處理速度要盡可能地快，而且要求傳播、反應(yīng)檢測結(jié)果信息的時間盡可能少。

IDS測試評估的方法步驟

前面我們已經(jīng)討論了IDS測試評估的性能指標(biāo)，具體測試主要就是圍繞這些指標(biāo)來進(jìn)行。大部分的測試過程都遵循下面的基本測試步驟：

·創(chuàng)建、選擇一些測試工具或測試腳本。這些腳本和工具主要用來生成模擬的正常行為及入侵，也就是模擬IDS運行的實際環(huán)境。

·確定計算環(huán)境所要求的條件，比如背景計算機(jī)活動的級別。

·配置運行IDS。
 
·運行測試工具或測試腳本。
　　
·分析IDS的檢測結(jié)果。
 
美國加州大學(xué)的Nicholas J．Puketza等人把測試分為三類，分別與前面的性能指標(biāo)相對應(yīng)，即入侵識別測試（也可以說是IDS有效性測試）。資源消耗測試、強(qiáng)度測試。入侵識別測試測量IDS區(qū)分正常行為和入侵的能力，主要衡量的指標(biāo)是檢測率和虛警率。資源消耗測試（Resource Usage Tests）測量IDS占用系統(tǒng)資源的狀況，考慮的主要因素是硬盤占用空間、內(nèi)存消耗等。強(qiáng)度測試主要檢測IDS在強(qiáng)負(fù)荷運行狀況下檢測效果是否受影響，主要包括大負(fù)載、高密度數(shù)據(jù)流量情況下對檢測效果的檢測。

【編輯推薦】

1. 企業(yè)測試IDS的四條重要標(biāo)準(zhǔn)
2. 假想案例談?wù)揑PS系統(tǒng)部署
3. 如何克服IPS技術(shù)發(fā)展中的障礙
4. 如何實現(xiàn)IPS深度檢測和入侵抵抗
5. WAF vs IPS 誰更適合防護(hù)Web應(yīng)用？