2 測試評估IDS性能的標準
根據(jù)Porras等的研究，給出了評價IDS性能的三個因素：

·準確性（Accuracy）：指IDS從各種行為中正確地識別入侵的能力，當一個IDS的檢測不準確時，就有可能把系統(tǒng)中的合法活動當作入侵行為并標識為異常（虛警現(xiàn)象）。
·處理性能（Performance）：指一個IDS處理數(shù)據(jù)源數(shù)據(jù)的速度。顯然，當IDS的處理性能較差時，它就不可能實現(xiàn)實時的IDS，并有可能成為整個系統(tǒng)的瓶頸，進而嚴重影響整個系統(tǒng)的性能。
·完備性（Completeness）：指IDS能夠檢測出所有攻擊行為的能力。如果存在一個攻擊行為，無法被IDS檢測出來，那么該JDS就不具有檢測完備性。也就是說，它把對系統(tǒng)的入侵活動當作正常行為（漏報現(xiàn)象）。由于在一般情況下，攻擊類型、攻擊手段的變化很快，我們很難得到關于攻擊行為的所有知識，所以關于IDS的檢測完備性的評估相對比較困難。

在此基礎上，Debar等又增加了兩個性能評價測度：

·容錯性（Fault Tolerance）：由于IDS是檢測入侵的重要手段／所以它也就成為很多入侵者攻擊的首選目標。IDS自身必須能夠抵御對它自身的攻擊，特別是拒絕服務（Denial-of-Service）攻擊。由于大多數(shù)的IDS是運行在極易遭受攻擊的操作系統(tǒng)和硬件平臺上，這就使得系統(tǒng)的容錯性變得特別重要，在測試評估IDS時必須考慮這一點。
·及時性（Timeliness）：及時性要求IDS必須盡快地分析數(shù)據(jù)并把分析結果傳播出去，以使系統(tǒng)安全管理者能夠在入侵攻擊尚未造成更大危害以前做出反應，阻止入侵者進一步的破壞活動，和上面的處理性能因素相比，及時性的要求更高。它不僅要求IDS的處理速度要盡可能地快，而且要求傳播、反應檢測結果信息的時間盡可能少。

3 IDS測試評估的方法步驟
前面我們已經(jīng)討論了IDS測試評估的性能指標，具體測試主要就是圍繞這些指標來進行。大部分的測試過程都遵循下面的基本測試步驟：

·創(chuàng)建、選擇一些測試工具或測試腳本。這些腳本和工具主要用來生成模擬的正常行為及入侵，也就是模擬IDS運行的實際環(huán)境。
·確定計算環(huán)境所要求的條件，比如背景計算機活動的級別。
·配置運行IDS。
·運行測試工具或測試腳本。
·分析IDS的檢測結果。

美國加州大學的Nicholas J．Puketza等人把測試分為三類，分別與前面的性能指標相對應，即入侵識別測試（也可以說是IDS有效性測試）。資源消耗測試、強度測試。入侵識別測試測量IDS區(qū)分正常行為和入侵的能力，主要衡量的指標是檢測率和虛警率。資源消耗測試（Resource Usage Tests）測量IDS占用系統(tǒng)資源的狀況，考慮的主要因素是硬盤占用空間、內(nèi)存消耗等。強度測試主要檢測IDS在強負荷運行狀況下檢測效果是否受影響，主要包括大負載、高密度數(shù)據(jù)流量情況下對檢測效果的檢測。