入侵检测系统（IDS）的检测与评估

　　IDS测试评估的方法步骤

　　谈过标准，谈了作用，现在看来来IDS测试的过程都遵循哪些基本测试步骤：

　　·创建、选择一些测试工具或测试脚本。这些脚本和工具主要用来模拟的正常行为及入侵，也就是提供一个模拟IDS运行环境。

　　·确定用户使用系统环境所要求的条件，比如背景计算机活动的级别。

　　·配置运行IDS。

　　·运行测试工具或测试脚本。

　　·分析IDS的检测结果。

　　美国加州大学的Nicholas J.Puketza等人把测试分为三类，分别与前面的性能指标相对应，即入侵识别测试(也可以说是IDS有效性测试)。资源消耗测试、强度测试。入侵识别测试测量IDS区分正常行为和入侵的能力，主要衡量的指标是检测率和虚警率。资源消耗测试(Resource Usage Tests)测量IDS占用系统资源的状况，考虑的主要因素是硬盘占用空间、内存消耗等。强度测试主要检测IDS在强负荷运行状况下检测效果是否受影响，主要包括大负载、高密度数据流量情况下对检测效果的检测。

　　测试评估IDS的性能指标

　　在我们分析IDS的性能时，主要考虑检测系统的有效性、效率和可用性。有效性研究检测机制的检测精确度和系统检测结果的可信度，它是开发设计和应用IDS的前提和目的，是测试评估IDS的主要指标，效率则从检测机制的处理数据的速度以及经济性的角度来考虑，也就是侧重检测机制性能价格比的改进。可用性主要包括系统的可扩展性、用户界面的可用性，部署配置方便程度等方面。有效性是开发设计和应用IDS的前提和目的，因此也是测试评估IDS的主要指标，但效率和可用性对IDS的性能也起很重要的作用。效率和可用性渗透于系统设计的各个方面之中。本节从检测的有效性、效率以及可用性角度，对测试评估IDS的性能指标进行分析讨论。