贾春福，钟安鸣?

（南开大学 信息技术科学学院，天津 300071）

    摘要：入侵检测系统（IDS）检测能力的度量方法是入侵检测技术研究的重要内容，检测能力是IDS评价、比较的重要指标。恰当的检测能力度量方法不仅能够较为客观、准确地评价IDS的检测性能，而且有利于入侵检测系统的优化配置与设计。文章对入侵检测系统检测能力已有和最新研究提出的主要度量方法进行了比较分析，指出了这些度量方法各自的特点及其存在的问题，以期在实际中对IDS的评价和选择，以及IDS评估标准的建立提供重要的参考依据。?

    关键词：入侵检测；检测能力度量；ROC；期望代价；信息熵

?

    入侵检测可定义为对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程，完成入侵检测任务的软件、硬件和管理人员构成了入侵检测系统（IDS）。通常入侵检测系统所检测的入侵不包括物理入侵，而仅包括以电子方式从系统内部或外部发起的尝试或者实施的对系统资源非授权访问、操纵或破坏的行为。入侵检测是防火墙、加密、认证、访问控制等传统信息安全技术的合理补充，它能帮助系统对付网络攻击，扩展系统管理员的安全管理能力，增强信息安全基础结构的完整性。?

    入侵检测技术经过二十余年的发展，在信息安全防御体系中受到了越来越多的重视。当IDS发展和应用到一定程度后，对IDS进行测试和评估的要求也就提上日程，各方面都希望有合理的方法、方便的工具对IDS进行科学、公正、可信地测试和评估。对于研制和开发者而言，通过对IDS的经常性评估，可以及时了解技术发展的现状和系统存在的不足，从而将研究重点放在那些关键技术上，提高系统的性能。而对于使用者来说，他们希望通过评估来比较和选择适合自己需要的产品，避免被IDS产品宣传所误导。?

    到目前为止，IDS仍然很不完善，无论是理论模型还是实际应用的检测效果，都没有达到最初设计期望，也没有一个能被广泛接受作为标准的评估方法。但是无论是研究者还是厂商都已经意识到了制定评估标准的重要性，而且相关的研究也一直在进行中^［1］?。本文将对IDS性能的重要指标——检测能力的度量方法进行分析比较，目的是为IDS的评价和选择及其评估标准的建立提供依据。

?

    根据Porras^［2］等人的研究，IDS性能评估的指标主要有三个：?

    一是准确性。指IDS从各种行为中正确地识别入侵的能力，当一个IDS的检测不准确时，就有可能把系统中的合法活动当作入侵行为并标识为异常，产生误报现象。?

    二是处理性能。它指一个IDS处理数据源数据的速度。显然，当IDS的处理性能较差时，它就不可能实现实时的入侵检测，并有可能成为整个系统的瓶颈，进而严重影响整个系统的性能。?

    三是完备性。指IDS能够检测出所有攻击行为的能力。如果存在一个攻击行为，无法被IDS检测出来，那么该IDS就不具有检测完备性。也就是说，它把对系统的入侵活动当作正常行为，产生漏报现象。由于在一般情况下，攻击类型、攻击手段的变化很快，我们很难得到关于攻击行为的所有知识，所以关于IDS的检测完备性的评估相对比较困难。?

    在以上基础上，Debar^［3］?等人又增加了两个性能评估指标：?

(责任编辑：adminadmin2008)