在IDS被企業(yè)廣泛應(yīng)用的同時(shí)，評(píng)估IDS的性能又成了廣大企業(yè)和安全廠(chǎng)商關(guān)注的話(huà)題。評(píng)估IDS，可以使得企業(yè)用戶(hù)能夠更好地了解引進(jìn)IDS系統(tǒng)之后企業(yè)的安全程度是否達(dá)到了理想的效果，那么評(píng)估IDS的性能指標(biāo)是什么呢？

測(cè)試評(píng)估IDS的性能指標(biāo)

在我們分析IDS的性能時(shí)，主要考慮檢測(cè)系統(tǒng)的有效性、效率和可用性。有效性研究檢測(cè)機(jī)制的檢測(cè)精確度和系統(tǒng)檢測(cè)結(jié)果的可信度，它是開(kāi)發(fā)設(shè)計(jì)和應(yīng)用IDS的前提和目的，是測(cè)試評(píng)估IDS的主要指標(biāo)，效率則從檢測(cè)機(jī)制的處理數(shù)據(jù)的速度以及經(jīng)濟(jì)性的角度來(lái)考慮，也就是側(cè)重檢測(cè)機(jī)制性能價(jià)格比的改進(jìn)。可用性主要包括系統(tǒng)的可擴(kuò)展性、用戶(hù)界面的可用性，部署配置方便程度等方面。有效性是開(kāi)發(fā)設(shè)計(jì)和應(yīng)用IDS的前提和目的，因此也是測(cè)試評(píng)估IDS的主要指標(biāo)，但效率和可用性對(duì)IDS的性能也起很重要的作用。效率和可用性滲透于系統(tǒng)設(shè)計(jì)的各個(gè)方面之中。本節(jié)從檢測(cè)的有效性、效率以及可用性角度，對(duì)測(cè)試評(píng)估IDS的性能指標(biāo)進(jìn)行分析討論。

1 檢測(cè)率、虛警率及檢測(cè)可信度

檢測(cè)率是指被監(jiān)控系統(tǒng)在受到入侵攻擊時(shí)，檢測(cè)系統(tǒng)能夠正確報(bào)警的概率。虛警率是指檢測(cè)系統(tǒng)在檢測(cè)時(shí)出現(xiàn)虛警的概率。檢測(cè)可信度也就是檢測(cè)系統(tǒng)檢測(cè)結(jié)果的可信程度，這是測(cè)試評(píng)估IDS的最重要的指標(biāo)。

實(shí)際的IDS的實(shí)現(xiàn)總是在檢測(cè)率和虛警率之間徘徊，檢測(cè)率高了，虛警率就會(huì)提高；同樣虛警率降低了，檢測(cè)率也就會(huì)降低。一般地，IDS產(chǎn)品會(huì)在兩者中取一個(gè)折衷，并且能夠進(jìn)行調(diào)整，以適應(yīng)不同的網(wǎng)絡(luò)環(huán)境。美國(guó)的林肯實(shí)驗(yàn)室用接收器特性（ROC，Receiver Operating Characteristic）曲線(xiàn)來(lái)描述IDS的性能。該曲線(xiàn)準(zhǔn)確刻畫(huà)了IDS的檢測(cè)率與虛警率之間的變化關(guān)系。ROC廣泛用于輸入不確定的系統(tǒng)的評(píng)估。根據(jù)一個(gè)IDS在不同的條件（在允許范圍內(nèi)變化的閾值，例如異常檢測(cè)系統(tǒng)的報(bào)警門(mén)限等參數(shù)）下的虛警率和檢測(cè)率，分別把虛警率和檢測(cè)率作為橫坐標(biāo)和縱坐標(biāo)，就可做出對(duì)應(yīng)于該IDS的ROC曲線(xiàn)。ROC曲線(xiàn)與IDS的檢測(cè)門(mén)限具有對(duì)應(yīng)的關(guān)系

在測(cè)試評(píng)估IDS的具體實(shí)施過(guò)程中，除了要IDS的檢測(cè)率和虛警率之外，往往還會(huì)單獨(dú)考慮與這兩個(gè)指標(biāo)密切相關(guān)的一些因素，比如能檢測(cè)的入侵特征數(shù)量、IP碎片重組能力、TCP流重組能力。顯然，能檢測(cè)的入侵特征數(shù)量越多，檢測(cè)率也就越高。此外，由于攻擊者為了加大檢測(cè)的難度甚至繞過(guò)IDS的檢測(cè)，常常會(huì)發(fā)送一些特別設(shè)計(jì)的分組。為了提高IDS的檢測(cè)率降低IDS的虛警率，IDS常常需要采取一些相應(yīng)的措施，比如IP碎片能力、TCP流重組。因?yàn)榉治鰡蝹€(gè)的數(shù)據(jù)分組會(huì)導(dǎo)致許多誤報(bào)和漏報(bào)，所以IP碎片的重組可以提高檢測(cè)的精確度。IP碎片重組的評(píng)測(cè)標(biāo)準(zhǔn)有三個(gè)性能參數(shù)：能重組的最大IP分片數(shù)；能同時(shí)重組的IP分組數(shù)；能進(jìn)行重組的最大IP數(shù)據(jù)分組的長(zhǎng)度，TCP流重組是為了對(duì)完整的網(wǎng)絡(luò)對(duì)話(huà)進(jìn)行分析，它是網(wǎng)絡(luò)IDS對(duì)應(yīng)用層進(jìn)行分析的基礎(chǔ)。如檢查郵件內(nèi)容。附件，檢查FTP傳輸?shù)臄?shù)據(jù)，禁止訪(fǎng)問(wèn)有害網(wǎng)站，判斷非法HTTP請(qǐng)求等。這兩個(gè)能力都會(huì)直接影響IDS的檢測(cè)可信度。

2 IDS本身的抗攻擊能力

和其他系統(tǒng)一樣，IDS本身也往往存在安全漏洞。若對(duì)IDS攻擊成功，則直接導(dǎo)致其報(bào)警失靈，入侵者在其后所作的行為將無(wú)法被記錄。因此IDS首先必須保證自己的安全性。IDS本身的抗攻擊能力也就是IDS的可靠性，用于衡量IDS對(duì)那些經(jīng)過(guò)特別設(shè)計(jì)直接以IDS為攻擊目標(biāo)的攻擊的抵抗能力。它主要體現(xiàn)在兩個(gè)方面：一是程序本身在各種網(wǎng)絡(luò)環(huán)境下能夠正常工作；二是程序各個(gè)模塊之間的通信能夠不被破壞，不可仿冒。此外要特別考慮抵御拒絕服務(wù)攻擊的能力。如果IDS本身不能正常運(yùn)行，也就失去了它的保護(hù)意義。而如果系統(tǒng)各模塊間的通信遭到破壞，那系統(tǒng)的報(bào)警之類(lèi)的檢測(cè)結(jié)果也就值得懷疑，應(yīng)該有一個(gè)良好的通信機(jī)制保證模塊間通信的安全并能在出問(wèn)題時(shí)能夠迅速恢復(fù)。

3 其他性能指標(biāo)

延遲時(shí)間。檢測(cè)延遲指的是在攻擊發(fā)生至IDS檢測(cè)到入侵之間的延遲時(shí)間。延遲時(shí)間的長(zhǎng)短直接關(guān)系著入侵攻擊破壞的程度。

資源的占用情況。即系統(tǒng)在達(dá)到某種檢測(cè)有效性時(shí)對(duì)資源的需求情況。通常，在同等檢測(cè)有效性的前提下，對(duì)資源的要求越低，IDS的性能越好，檢測(cè)入侵的能力也就越強(qiáng)。

負(fù)荷能力。IDS有其設(shè)計(jì)的負(fù)荷能力，在超出負(fù)荷能力的情況下，性能會(huì)出現(xiàn)不同程度的下降。比如，在正常情況下IDS可檢測(cè)到某攻擊但在負(fù)荷大的情況下可能就檢測(cè)不出該攻擊。考察檢測(cè)系統(tǒng)的負(fù)荷能力就是觀(guān)察不同大小的網(wǎng)絡(luò)流量、不同強(qiáng)度的CPU內(nèi)存等系統(tǒng)資源的使用對(duì)IDS的關(guān)鍵指標(biāo)（比如檢測(cè)率、虛警率）的影響。

日志、報(bào)善、報(bào)告以及響應(yīng)能力。日志能力是指檢測(cè)系統(tǒng)保存日志的能力、按照特定要求選取日志內(nèi)容的能力。報(bào)警能力是指在檢測(cè)到入侵后，向特全部件、人員發(fā)送報(bào)警信號(hào)的能力以及在報(bào)警中附加信息的能力。報(bào)告能力是指產(chǎn)生入侵行為報(bào)告、提供查詢(xún)報(bào)告、創(chuàng)建和保存報(bào)告的能力。響應(yīng)能力是指在檢測(cè)到入侵后進(jìn)一步處理的能力，這包括阻斷入侵、跟蹤入侵者、記錄入侵證據(jù)等。

系統(tǒng)的可用性。主要是指系統(tǒng)安裝、配置、管理、使用的方便程度，系統(tǒng)界面的友好程度，攻擊規(guī)則庫(kù)維護(hù)的簡(jiǎn)易程度等方面。

總之，IDS是個(gè)比較復(fù)雜的系統(tǒng)，對(duì)IDS進(jìn)行測(cè)試和評(píng)估不僅和IDS本身有關(guān)，還與應(yīng)用IDS的環(huán)境有關(guān)。測(cè)試過(guò)程中涉及到操作環(huán)境、網(wǎng)絡(luò)環(huán)境、工具、軟件、硬件等方面。我們既要考慮入侵檢測(cè)的效果如何，也要考慮應(yīng)用該系統(tǒng)后它對(duì)實(shí)際系統(tǒng)的影響，有時(shí)要折衷考慮這兩種因素。

【編輯推薦】

1. 如何實(shí)現(xiàn)IPS系統(tǒng)深度檢測(cè)
2. 假想案例談?wù)揑PS系統(tǒng)部署
3. 如何克服IPS技術(shù)發(fā)展中的障礙
4. 從攻擊規(guī)避檢測(cè)技術(shù)看IPS的安全有效性
5. 企業(yè)測(cè)試IDS的四條重要標(biāo)準(zhǔn)