二是及时性。及时性要求IDS必须尽快地分析数据并把分析结果传播出去，以使系统安全管理者能够在入侵攻击尚未造成更大危害以前做出反应，阻止入侵者进一步的破坏活动，和上面的处理性能因素相比，及时性的要求更高。它不仅要求IDS的处理速度要尽可能地快，而且要求传播、反应检测结果信息的时间尽可能少。?

    从以上IDS评测指标中，我们可以看出检测能力（包括准确性和完备性）是IDS评价的基本指标，检测能力的度量方法对IDS性能的比较和选择应用具有决定性作用，对评估标准的建立也具有非常重要的意义。

?

    3.1ROC（Receiver Operating Characteristics）曲线?

    为了度量入侵检测系统的检测能力，人们提出了一些指标，如检测率、误报率和漏报率等。为了叙述方便，我们先引入一些符号。?

    设特征向量?X（X?的元素可以是协议类型、连接持续时间、服务名称等基本信息）表示IDS的一个输入；?X?=1表示给定的实例?X?是由入侵产生的，?X?=0表示给定的实例?X?不是由入侵产生的；符号?Y?表示IDS是否报警，其中?Y?＝1表示IDS报警，?Y?=0表示IDS不报警。于是IDS的检测率（True Positive Rate或Hit Rate或Detection Rate）可定义为：?TP=P(Y=1|X=1)=1－β?，即一个入侵被成功检测出的概率；IDS的误报率（False Positive Rate或False Alarm Rate）可定义为：?FP=P(Y=1|X=0)=α?，即正常事件被误判为入侵的概率。?

    检测率和误报率是度量IDS检测能力的两个基本指标。一般来说，如果通过调整IDS算法的报警阈值来提高准确率，则其误报率将会相应提高；反之，如果我们通过调整IDS算法报警阈值来降低误报率，则其准确率也会相应降低。综合分析这两个参数以评价入侵检测算法的一种常用工具是ROC（Receiver Operating Characteristics）曲线^［4］?。ROC曲线是平面直角坐标曲线，其纵轴表示IDS的检测率，横轴表示IDS的误报率。通过改变算法的阈值，将检测算法在同一数据集上多次运行，就可以得到一系列（TP，FP）坐标点，将这些点连接成线，就得到ROC曲线。容易看出，ROC曲线越靠近坐标平面的左上方的检测方法，其准确率越高，误报率越低，性能越好。ROC曲线从DARPA 1998离线检测评估（1998年，在DARPA（美国国防部高级研究计划署）资助下，麻省理工学院Lincoln实验室开展了计算机入侵检测系统评估的研究成果）被用来度量检测能力，后来一直被研究者广泛采用。?

    ROC曲线较直观地给出了给定误报率条件下IDS提供的检测率；或者说给定检测条件下IDS产生的误报率。但是ROC曲线存在以下两点不足：?

    第一，它不能用于确定检测系统的最优操作点，即不能确定检测率和误报率为何值时，系统能达到我们的入侵检测目标。实际上ROC曲线并没有明确量化IDS检测算法的目标，也就更谈不上对检测系统的优化配置了。?

    第二，它不能用于比较不同检测算法检测能力的优劣，优劣程度更不能量化，尽管当一个检测算法的ROC曲线总在另一个检测算法的ROC曲线的左上方时，可以肯定前者的检测能力优于后者，但是如果两个检测算法的ROC曲线存在交点，两种算法的优劣就很难确定了。?

(责任编辑：adminadmin2008)