測試評估 IDS 性能的標準

根據Porras等的研究，給出了評價IDS性能的三個因素:

• 準確性(Accuracy):指IDS從各種行為中正確地識別入侵的能力，當一個IDS的檢測不準確時，就有可能把系統中的合法活動當作入侵行為并標識為異常(虛警現象)。

• 處理性能(Performance):指一個IDS處理數據源數據的速度。顯然，當IDS的處理性能較差時，它就不可能實現實時的IDS，并有可能成為整個系統的瓶頸，進而嚴重影響整個系統的性能。

• 完備性(Completeness):指IDS能夠檢測出所有攻擊行為的能力。如果存在一個攻擊行為，無法被IDS檢測出來，那么該IDS就不具有檢測完備性。也就是說，它把對系統的入侵活動當作正常行為(漏報現象)。由于在一般情況下，攻擊類型、攻擊手段的變化很快，我們很難得到關于攻擊行為的所有知識，所以關于IDS的檢測完備性的評估相對比較困難。

在此基礎上，Debar等又增加了兩個性能評價測度:

• 容錯性(Fault Tolerance):由于IDS是檢測入侵的重要手段/所以它也就成為很多入侵者攻擊的首選目標。IDS自身必須能夠抵御對它自身的攻擊，特別是拒絕服務(Denial-of-Service)攻擊。由于大多數的IDS是運行在極易遭受攻擊的操作系統和硬件平臺上，這就使得系統的容錯性變得特別重要，在測試評估IDS時必須考慮這一點。

• 及時性(Timeliness):及時性要求IDS必須盡快地分析數據并把分析結果傳播出去，以使系統安全管理者能夠在入侵攻擊尚未造成更大危害以前做出反應，阻止入侵者進一步的破壞活動，和上面的處理性能因素相比，及時性的要求更高。它不僅要求IDS的處理速度要盡可能地快，而且要求傳播、反應檢測結果信息的時間盡可能少。

回答所涉及的環境：聯想天逸510S、Windows 10。