针对ROC曲线在表示IDS检测能力中存在的问题，Ulvila和Gaffney^［5］?在其研究中，依据检测和误报等对系统引起的费用估计（漏检或误报发生时，系统将面临一定的威胁，减轻或消除这些威胁需采取一定的措施，从而导致费用），将检测率和误报率等因素组合成一个基于费用的综合指标作为检测能力度量函数。该度量函数的决策变量是检测率和误报率等，可以通过最大化目标函数，确定最优的决策变量值，并可能进一步优化配置检测模型的参数（如异常检测中的异常判定阈值等）；利用该度量函数还可以对不同的检测模型的入侵检测能力进行比较。具体作法是，对应ROC曲线中的每一点计算检测率和误报率的加权平均费用值作为检测效果的目标函数，然后利用决策树方法对费用函数进行分析。此时的目标函数为?

    Min?{CβB,(1－α)(1－B)}+?Min?{C(1－β)B,α(1－B)}?

其中C=C?β/C?α，而C?α和C?β分别为误报权值和漏报权值，B是入侵的先验概率，即B=P(X=1)。?

 

    然而，我们注意到，文献^［6］中涉及的权值是决策者主观上对误报和漏报等费用的估计，没有客观地反映检测率和误报率之间内在的本质关系，因此增加了对检测能力度量的主观性。Gu等人在文献^［6］中也指出，类似文献^［6］提出的方法所建立的度量函数不能客观地、本质地度量入侵检测能力，而且在权值选择不合适时，度量函数不能很好地起到应有的度量监测能力的作用。?

期望代价方法提出了将IDS评价指标加权组合成一个总体目标函数的研究思路，通过优化该目标函数可以实现IDS检测算法的优化配置。这样就可以借助于数学工具来研究分析IDS检测能力的评价与比较问题，以及IDS的优化设计和优化配置等问题。然而，在总体目标函数的构建过程中，各个指标间的权值是决策者主观确定的，因此，利用该目标函数度量IDS的检测能力缺乏客观性。这就提出了建立客观的检测能力度量目标函数的问题。?

    3.3基于信息论的方法?

    该研究思路利用信息论中的互信息的概念建立IDS检测能力评估指标。这一思路的出发点是：入侵检测的本质，是一个数据处理和分类的过程，类似于通信中的编码和解码过程^［7］?。因此，可以借助于信息论中的熵、条件熵和互信息等概念构建IDS检测能力度量函数。?

    假定X表示?IDS?的输入数据，其中X=1表明输入数据异常，而X=0表明输入数据正常；Y表示?IDS?的识别结果，其中Y=1表示有异常警报，而Y=0表示没有异常警报。与前面引入的记号一致，如输入数据异常的可能性B=P(X=1)，误报率α=P(Y=1|X=0)，漏报率β=P(Y=0|X=1)。按信息论的观点，?IDS?输入数据和输出结果的互信息表示在给定输出结果的条件下，输入信息不确定性的减少量。显然，互信息越大，在给定输出结果的条件下，输入数据的不确定性越小，表明对输入数据的认识越接近实际。令H(X)，H(Y)分别表示输入数据和输出结果的熵；H(X|Y)，H(Y|X)表示条件熵；I(X;Y)，H(X,Y)分别表示输入数据和输出结果互信息和联合熵。由信息论^［7］知识，I(X;Y)=H(X)?H(X|Y)?

    由前面的假定条件及熵与条件熵的计算公式，可得?

    H(X)=－B?log?B－(1－B)?log?(1－B)，?

    H(X|Y)=－B(1－β)?log?〖SX(〗B(1－β)〖〗B(1－β)+(1－B)α〖SX)〗－Bβ?log?〖SX(〗Bβ〖〗Bβ+(1－B)(1－α)〖SX)〗?

(责任编辑：adminadmin2008)