入侵檢測(cè)系統(tǒng)評(píng)估

入侵檢測(cè)系統(tǒng)評(píng)估第一頁(yè)，共三十一頁(yè)，編輯于2023年，星期二

6.1入侵檢測(cè)系統(tǒng)的主要性能參數(shù)

在對(duì)入侵檢測(cè)系統(tǒng)的性能進(jìn)行分析時(shí)，應(yīng)重點(diǎn)考慮檢測(cè)的有效性、效率和可用性。

有效性：研究檢測(cè)機(jī)制的檢測(cè)精確度和系統(tǒng)報(bào)警的可信度，它是開(kāi)發(fā)設(shè)計(jì)和應(yīng)用IDS的前提和目的，是測(cè)試評(píng)估IDS的主要指標(biāo)。

效率：從檢測(cè)機(jī)制處理數(shù)據(jù)的速度以及經(jīng)濟(jì)角度來(lái)考慮，側(cè)重檢測(cè)機(jī)制性能價(jià)格比的改進(jìn)。第二頁(yè)，共三十一頁(yè)，編輯于2023年，星期二6.1.1檢測(cè)率、虛報(bào)率與報(bào)警可信度

人們希望檢測(cè)系統(tǒng)能夠最大限度地把系統(tǒng)中的入侵行為與正常行為區(qū)分開(kāi)來(lái)，這就涉及到入侵檢測(cè)系統(tǒng)對(duì)系統(tǒng)正常行為（或入侵行為）的描述方式、檢測(cè)模型與檢測(cè)算法的選擇。

如果檢測(cè)系統(tǒng)不能夠精確地描述系統(tǒng)的正常行為（或入侵行為），那么，系統(tǒng)必然會(huì)出現(xiàn)各種誤報(bào)。如果檢測(cè)系統(tǒng)把系統(tǒng)的“正常行為”作為“異常行為”進(jìn)行報(bào)警，這種情況就是虛報(bào)（FalsePositive）。如果檢測(cè)系統(tǒng)對(duì)部分針對(duì)系統(tǒng)的入侵活動(dòng)不能識(shí)別、報(bào)警，這種情況被稱(chēng)做漏報(bào)（FalseNegative）。第三頁(yè)，共三十一頁(yè)，編輯于2023年，星期二

1.檢測(cè)率與虛報(bào)率

可以用貝葉斯理論來(lái)分析基于異常性檢測(cè)的入侵檢測(cè)系統(tǒng)的檢測(cè)率、虛報(bào)率與報(bào)警可信度之間的關(guān)系，并在此基礎(chǔ)上分析它們對(duì)異常性檢測(cè)算法性能的影響。

入侵檢測(cè)問(wèn)題可看做是一個(gè)簡(jiǎn)單的二值假設(shè)檢驗(yàn)問(wèn)題。首先給出一系列相關(guān)的定義和符號(hào)：

假設(shè)I與I分別表示入侵行為和目標(biāo)系統(tǒng)的正常行為，A代表檢測(cè)系統(tǒng)發(fā)出入侵報(bào)警，A表示檢測(cè)系統(tǒng)沒(méi)有報(bào)警。

檢測(cè)率：被監(jiān)控系統(tǒng)受到入侵攻擊時(shí)，檢測(cè)系統(tǒng)能夠正確報(bào)警的概率，可表示為P(A/I)。通常利用已知入侵攻擊的實(shí)驗(yàn)數(shù)據(jù)集合來(lái)測(cè)試入侵檢測(cè)系統(tǒng)的檢測(cè)率。第四頁(yè)，共三十一頁(yè)，編輯于2023年，星期二虛報(bào)率：指檢測(cè)系統(tǒng)在檢測(cè)時(shí)出現(xiàn)虛報(bào)警的概率，可表示為P(A/I)?？衫靡阎南到y(tǒng)正常行為作為實(shí)驗(yàn)數(shù)據(jù)集，通過(guò)系統(tǒng)仿真獲得檢測(cè)系統(tǒng)的近似虛報(bào)率。

另外，概率P(A/I)代表檢測(cè)系統(tǒng)的漏報(bào)率，P(A/I)則指目標(biāo)系統(tǒng)正常（沒(méi)有入侵攻擊）的情況下，檢測(cè)系統(tǒng)不報(bào)警的概率。顯然有第五頁(yè)，共三十一頁(yè)，編輯于2023年，星期二在實(shí)際應(yīng)用中，主要關(guān)注的是一個(gè)入侵檢測(cè)系統(tǒng)的報(bào)警結(jié)果能否正確地反映目標(biāo)系統(tǒng)的安全狀態(tài)。下面的兩個(gè)參數(shù)則從報(bào)警信息的可信度方面考慮檢測(cè)系統(tǒng)的性能：

P(A/I)給出了檢測(cè)系統(tǒng)報(bào)警信息的可信度，即檢測(cè)系統(tǒng)報(bào)警時(shí)，目標(biāo)系統(tǒng)正受到入侵攻擊的概率。

P(A/I)給出了檢測(cè)系統(tǒng)未發(fā)出報(bào)警信息的可信度，即檢測(cè)系統(tǒng)未報(bào)警時(shí)，目標(biāo)系統(tǒng)未受到入侵攻擊的概率。

為使入侵檢測(cè)系統(tǒng)更有效，系統(tǒng)的這兩個(gè)參數(shù)的值越大越好。根據(jù)貝葉斯定理可以得出這兩個(gè)參數(shù)的計(jì)算公式：（6.1）第六頁(yè)，共三十一頁(yè)，編輯于2023年，星期二同理：（6.2）第七頁(yè)，共三十一頁(yè)，編輯于2023年，星期二在實(shí)際應(yīng)用過(guò)程中，檢測(cè)率的好壞是由IDS的兩個(gè)部分決定的。一是IDS的抓包能力，二是IDS的檢測(cè)引擎。為了達(dá)到100％的檢測(cè)率，IDS首先要把需要的數(shù)據(jù)包全部抓上來(lái)，送給檢測(cè)引擎。在網(wǎng)絡(luò)流量相同的情況下，數(shù)據(jù)包越小，數(shù)據(jù)包的個(gè)數(shù)就越多，IDS的抓包引擎是對(duì)數(shù)據(jù)包一個(gè)一個(gè)進(jìn)行處理的，因此數(shù)據(jù)包越小，抓包引擎能處理的網(wǎng)絡(luò)流量就越小。相比之下，數(shù)據(jù)包的大小對(duì)IDS檢測(cè)引擎的影響程度較小，因?yàn)殡m然檢測(cè)引擎對(duì)每個(gè)數(shù)據(jù)包都要解析數(shù)據(jù)包頭，但它同樣要檢測(cè)每個(gè)數(shù)據(jù)包的內(nèi)容，總量是一樣的，因此數(shù)據(jù)包的大小對(duì)檢測(cè)引擎基本沒(méi)有影響。第八頁(yè)，共三十一頁(yè)，編輯于2023年，星期二數(shù)據(jù)包抓上來(lái)之后，需要經(jīng)過(guò)檢測(cè)引擎的檢測(cè)才能引發(fā)告警。在檢測(cè)引擎的處理過(guò)程中，數(shù)據(jù)包的各種因素都會(huì)影響檢測(cè)引擎的效率。不同的IDS產(chǎn)品因?yàn)槠錂z測(cè)引擎中對(duì)數(shù)據(jù)包的處理有側(cè)重點(diǎn)，因此不同內(nèi)容的背景數(shù)據(jù)流會(huì)嚴(yán)重影響產(chǎn)品的檢測(cè)率。當(dāng)通過(guò)不同內(nèi)容的背景數(shù)據(jù)流，可以判斷出IDS檢測(cè)引擎在某些方面的優(yōu)劣。數(shù)據(jù)包中的數(shù)據(jù)內(nèi)容也很關(guān)鍵，如果背景數(shù)據(jù)流中包含大量敏感的關(guān)鍵字，能引發(fā)一種IDS產(chǎn)品告警，而對(duì)另一種IDS產(chǎn)品可能并不引發(fā)告警，這樣的數(shù)據(jù)包內(nèi)容就影響了引擎的效率。即使在不引發(fā)告警的條件下，背景數(shù)據(jù)流的數(shù)據(jù)內(nèi)容也對(duì)檢測(cè)引擎影響很大。第九頁(yè)，共三十一頁(yè)，編輯于2023年，星期二實(shí)際上IDS的實(shí)現(xiàn)總是在檢測(cè)率和虛報(bào)率之間徘徊，檢測(cè)率高了，虛報(bào)率就會(huì)提高；同樣,虛報(bào)率降低了，檢測(cè)率也就會(huì)降低。一般地，IDS產(chǎn)品會(huì)在兩者中取一個(gè)折中，并且能夠進(jìn)行調(diào)整，以適應(yīng)不同的網(wǎng)絡(luò)環(huán)境。美國(guó)的林肯實(shí)驗(yàn)室用接收器特性(ReceiverOperatingCharacteristic,ROC)曲線來(lái)描述IDS的性能。該曲線準(zhǔn)確刻畫(huà)了IDS的檢測(cè)率與虛報(bào)率之間的變化關(guān)系。ROC廣泛用于輸入不確定的系統(tǒng)的評(píng)估。根據(jù)一個(gè)IDS在不同的條件(在允許范圍內(nèi)變化的閾值，例如異常檢測(cè)系統(tǒng)的報(bào)警門(mén)限等參數(shù))下的虛報(bào)率和檢測(cè)率，分別把虛報(bào)率和檢測(cè)率作為橫坐標(biāo)和縱坐標(biāo)，就可做出對(duì)應(yīng)于該IDS的ROC曲線。ROC曲線與IDS的檢測(cè)門(mén)限具有對(duì)應(yīng)的關(guān)系。第十頁(yè)，共三十一頁(yè)，編輯于2023年，星期二在現(xiàn)實(shí)中，虛報(bào)不會(huì)引起什么危害，因?yàn)槭录旧硎且粋€(gè)正常的事件。虛報(bào)的壞處可能就是浪費(fèi)了安全管理員的一些閱讀和檢查的時(shí)間；而漏報(bào)則是一個(gè)很?chē)?yán)重的錯(cuò)誤。實(shí)際上，漏報(bào)就等于入侵事件沒(méi)有被檢測(cè)出來(lái)，對(duì)系統(tǒng)可能會(huì)引起很大的危害。

通常來(lái)講，如果一個(gè)系統(tǒng)的虛報(bào)越多，它的漏報(bào)就越少。反過(guò)來(lái)，如果虛報(bào)越少，漏報(bào)則可能會(huì)越多。這是因?yàn)?，虛?bào)越多表示入侵檢測(cè)系統(tǒng)對(duì)事件的警覺(jué)程度越高，這樣，它忽略入侵的事件造成漏報(bào)的可能性就越小。從檢測(cè)技術(shù)的角度來(lái)看，入侵檢測(cè)系統(tǒng)對(duì)事件的警覺(jué)程度越高意味著檢測(cè)算法對(duì)入侵事件的約束條件越緊；如果虛報(bào)越少，表示入侵檢測(cè)系統(tǒng)對(duì)事件的警覺(jué)程度越低，這樣，它忽略入侵事件的可能性就越大，也就是說(shuō)，入侵檢測(cè)系統(tǒng)對(duì)事件的警覺(jué)程度越低，意味著檢測(cè)算法對(duì)入侵事件的約束條件越寬松。所以，誤用檢測(cè)技術(shù)所造成的虛報(bào)并不高，但很可能會(huì)漏掉一些入侵事件，特別是新的入侵類(lèi)型。第十一頁(yè)，共三十一頁(yè)，編輯于2023年，星期二

2.ROC曲線

ROC曲線以圖形方式來(lái)表示正確報(bào)告率和誤報(bào)率的關(guān)系。ROC曲線是基于正確報(bào)告率和誤報(bào)率的關(guān)系來(lái)描述的。這樣的圖稱(chēng)為諾模圖（Nomo－gram），它在數(shù)學(xué)領(lǐng)域用于表示數(shù)字化的關(guān)系。選好一個(gè)臨界點(diǎn)（CutoffPoint）之后，就可以從圖中確定IDS的正確報(bào)告率和誤報(bào)率。曲線的形狀直接反映了IDS產(chǎn)品的準(zhǔn)確性和總體品質(zhì)。如果一條直線向上，然后向右方以45°角延伸，就是一個(gè)非常失敗的IDS，它毫無(wú)用處；相反，ROC曲線下方的區(qū)域越大，IDS的準(zhǔn)確率越高。如圖6.1所示，IDSB的準(zhǔn)確性高于IDSC，類(lèi)似地，IDSA在所有的IDS中具有最高的準(zhǔn)確性。第十二頁(yè)，共三十一頁(yè)，編輯于2023年，星期二圖6.1

ROC曲線第十三頁(yè)，共三十一頁(yè)，編輯于2023年，星期二在測(cè)試評(píng)估IDS的具體實(shí)施過(guò)程中，除了要IDS的檢測(cè)率和虛報(bào)率之外，往往還會(huì)單獨(dú)考慮與這兩個(gè)指標(biāo)密切相關(guān)的一些因素，比如能檢測(cè)的入侵特征數(shù)量、IP碎片重組能力、TCP流重組能力。顯然，能檢測(cè)的入侵特征數(shù)量越多，檢測(cè)率也就越高。此外，由于攻擊者為了加大檢測(cè)的難度甚至繞過(guò)IDS的檢測(cè)，常常會(huì)發(fā)送一些特別設(shè)計(jì)的分組。為了提高IDS的檢測(cè)率，降低IDS的虛報(bào)率，IDS常常需要采取一些相應(yīng)的措施，比如IP碎片能力、TCP流重組。由于分析單個(gè)的數(shù)據(jù)分組會(huì)導(dǎo)致許多誤報(bào)和漏報(bào)，所以IP碎片的重組可以提高檢測(cè)的精確度。IP碎片重組的評(píng)測(cè)標(biāo)準(zhǔn)有三個(gè)性能參數(shù):能重組的最大IP分片數(shù)、能同時(shí)重組的IP分組數(shù)、能進(jìn)行重組的最大IP數(shù)據(jù)分組的長(zhǎng)度。TCP流重組是為了對(duì)完整的網(wǎng)絡(luò)對(duì)話進(jìn)行分析，它是網(wǎng)絡(luò)IDS對(duì)應(yīng)用層進(jìn)行分析的基礎(chǔ)，如檢查郵件內(nèi)容和附件、檢查FTP傳輸?shù)臄?shù)據(jù)、禁止訪問(wèn)有害網(wǎng)站、判斷非法HTTP請(qǐng)求等。這些因素都會(huì)直接影響IDS的檢測(cè)可信度。第十四頁(yè)，共三十一頁(yè)，編輯于2023年，星期二6.1.2抗攻擊能力

和其它系統(tǒng)一樣，IDS本身也往往存在安全漏洞。若對(duì)IDS攻擊成功，則直接導(dǎo)致其報(bào)警失靈，入侵者在其后所作的行為將無(wú)法被記錄，因此IDS首先必須保證自己的安全性。IDS本身的抗攻擊能力也就是IDS的可靠性，用于衡量IDS對(duì)那些經(jīng)過(guò)特別設(shè)計(jì)直接以IDS為攻擊目標(biāo)的攻擊的抵抗能力。它主要體現(xiàn)在兩個(gè)方面：一是程序本身在各種網(wǎng)絡(luò)環(huán)境下能夠正常工作；二是程序各個(gè)模塊之間的通信能夠不被破壞，不可仿冒，此外要特別考慮抵御拒絕服務(wù)攻擊的能力。如果IDS本身不能正常運(yùn)行，也就失去了它的保護(hù)意義。而如果系統(tǒng)各模塊間的通信遭到破壞，那系統(tǒng)的報(bào)警之類(lèi)的檢測(cè)結(jié)果也就值得懷疑，應(yīng)該有一個(gè)良好的通信機(jī)制保證模塊間通信的安全并能在出問(wèn)題時(shí)能夠迅速恢復(fù)。第十五頁(yè)，共三十一頁(yè)，編輯于2023年，星期二6.1.3其它性能指標(biāo)

1.延遲時(shí)間

檢測(cè)延遲指的是在攻擊發(fā)生至IDS檢測(cè)到入侵之間的延遲時(shí)間。延遲時(shí)間的長(zhǎng)短直接關(guān)系著入侵攻擊破壞的程度。

2.資源的占用情況

資源的占用情況是指系統(tǒng)在達(dá)到某種檢測(cè)有效性時(shí)對(duì)資源的需求情況。通常，在同等檢測(cè)有效性的前提下，對(duì)資源的要求越低，IDS的性能越好，檢測(cè)入侵的能力也就越強(qiáng)。第十六頁(yè)，共三十一頁(yè)，編輯于2023年，星期二

3.負(fù)荷能力

IDS有其設(shè)計(jì)的負(fù)荷能力，在超出負(fù)荷能力的情況下，性能會(huì)出現(xiàn)不同程度的下降。比如，在正常情況下IDS可檢測(cè)到某攻擊,但在負(fù)荷大的情況下可能就檢測(cè)不出該攻擊?？疾鞕z測(cè)系統(tǒng)的負(fù)荷能力就是觀察不同大小的網(wǎng)絡(luò)流量、不同強(qiáng)度的CPU內(nèi)存等系統(tǒng)資源的使用對(duì)IDS的關(guān)鍵指標(biāo)（比如檢測(cè)率、虛警率）的影響。第十七頁(yè)，共三十一頁(yè)，編輯于2023年，星期二

4.日志、報(bào)警、報(bào)告以及響應(yīng)能力

日志能力是指檢測(cè)系統(tǒng)保存日志的能力,按照特定要求選取日志內(nèi)容的能力。報(bào)警能力是指在檢測(cè)到入侵后，向特權(quán)部件、人員發(fā)送報(bào)警信號(hào)的能力以及在報(bào)警中附加信息的能力。報(bào)告能力是指產(chǎn)生入侵行為報(bào)告、提供查詢(xún)報(bào)告、創(chuàng)建和保存報(bào)告的能力。響應(yīng)能力是指在檢測(cè)到入侵后進(jìn)一步處理的能力，這包括阻斷入侵、跟蹤入侵者、記錄入侵證據(jù)等。

5.系統(tǒng)的可用性

系統(tǒng)的可用性主要是指系統(tǒng)安裝、配置、管理、使用的方便程度，系統(tǒng)界面的友好程度，攻擊規(guī)則庫(kù)維護(hù)的簡(jiǎn)易程度等方面。第十八頁(yè)，共三十一頁(yè)，編輯于2023年，星期二

6.檢測(cè)范圍

通常情況下，一個(gè)IDS能檢測(cè)到的攻擊是有一定范圍的。檢測(cè)范圍的考察，就是在一定的攻擊分類(lèi)標(biāo)準(zhǔn)下，考察IDS對(duì)不同類(lèi)型攻擊的檢測(cè)能力。

由此可以看出，IDS是個(gè)比較復(fù)雜的系統(tǒng)，對(duì)IDS進(jìn)行測(cè)試和評(píng)估不僅和IDS本身有關(guān)，還與應(yīng)用IDS的環(huán)境有關(guān)。測(cè)試過(guò)程中涉及到操作環(huán)境、網(wǎng)絡(luò)環(huán)境、工具、軟件、硬件等方面，既要考慮入侵檢測(cè)的效果如何，也要考慮應(yīng)用該系統(tǒng)后它對(duì)實(shí)際系統(tǒng)的影響，有時(shí)要折中考慮這兩種因素。綜合起來(lái)，入侵檢測(cè)系統(tǒng)性能的參數(shù)主要有：檢測(cè)率、虛報(bào)率、漏報(bào)率、不報(bào)率等，從而可以由此計(jì)算出檢測(cè)系統(tǒng)報(bào)警信息的可信度。第十九頁(yè)，共三十一頁(yè)，編輯于2023年，星期二

6.2入侵檢測(cè)系統(tǒng)評(píng)估標(biāo)準(zhǔn)

6.2.1準(zhǔn)確性（Accuracy）

準(zhǔn)確性指入侵檢測(cè)系統(tǒng)能在各種行為中正確地檢測(cè)出系統(tǒng)入侵活動(dòng)的能力。當(dāng)一個(gè)入侵檢測(cè)系統(tǒng)的檢測(cè)不準(zhǔn)確時(shí)，它就可能把系統(tǒng)中的合法活動(dòng)當(dāng)作入侵行為并標(biāo)識(shí)為異常（虛警現(xiàn)象）。

準(zhǔn)確性主要是指研究檢測(cè)機(jī)制的精確度和系統(tǒng)檢測(cè)結(jié)果的可信度。準(zhǔn)確性包含幾個(gè)指標(biāo)，即報(bào)警準(zhǔn)確度（又稱(chēng)檢測(cè)率、靈敏度）、誤警率、檢測(cè)可信度。這些指標(biāo)既是開(kāi)發(fā)和應(yīng)用IDS的前提和目的，又是測(cè)試評(píng)估的主要指標(biāo)。其中，第二十頁(yè)，共三十一頁(yè)，編輯于2023年，星期二具備較高的報(bào)警準(zhǔn)確率是IDS的關(guān)鍵，是否智能、準(zhǔn)確地報(bào)告非法入侵行為成為衡量一個(gè)入侵檢測(cè)產(chǎn)品優(yōu)劣的首要內(nèi)容。誤警率指錯(cuò)誤報(bào)警或未報(bào)警的比率，包括虛警率和漏報(bào)率，其中，報(bào)警準(zhǔn)確率和誤警率是衡量IDS效率的兩個(gè)重要指標(biāo)。誤警率和漏報(bào)率應(yīng)盡量低。檢測(cè)可信度指某一次報(bào)警是真實(shí)的報(bào)警（正確檢測(cè)）的概率，反映的是檢測(cè)系統(tǒng)檢測(cè)結(jié)果的可信程度，也是IDS的重要指標(biāo)，其取值與報(bào)警的次數(shù)、報(bào)警已逝去的時(shí)間等都有關(guān)系。第二十一頁(yè)，共三十一頁(yè)，編輯于2023年，星期二評(píng)估IDS的準(zhǔn)確性除了要考察以上指標(biāo)外，還應(yīng)該單獨(dú)考慮如下指標(biāo)（但這些指標(biāo)并不僅僅只反映IDS的準(zhǔn)確性）：是否支持事件特征自定義、是否支持多級(jí)分布式結(jié)構(gòu)和事件歸并、能檢測(cè)的入侵特征數(shù)量、IP碎片重組能力、TCP流重組能力、IDS對(duì)網(wǎng)絡(luò)流量的分析是否能達(dá)到足夠的抽樣比例、系統(tǒng)對(duì)變形攻擊的檢測(cè)能力、系統(tǒng)對(duì)碎片重組的檢測(cè)能力、系統(tǒng)對(duì)未發(fā)現(xiàn)漏洞特征的預(yù)報(bào)警能力、是否具有較低的漏報(bào)率、系統(tǒng)是否采取有效措施降低誤報(bào)率、是否具有高的報(bào)警成功率、在線升級(jí)和入侵檢測(cè)規(guī)則庫(kù)的更新是否快捷有效等。第二十二頁(yè)，共三十一頁(yè)，編輯于2023年，星期二6.2.2完備性（Completeness）

完備性是指入侵檢測(cè)系統(tǒng)能夠檢測(cè)出所有攻擊行為的能力。如果存在一個(gè)攻擊行為，無(wú)法被入侵檢測(cè)系統(tǒng)檢測(cè)出來(lái)，那么該入侵檢測(cè)系統(tǒng)就不具有檢測(cè)完備性。由于在一般情況下，很難得到關(guān)于攻擊行為以及對(duì)系統(tǒng)特權(quán)濫用行為的所有知識(shí)，所以關(guān)于入侵檢測(cè)系統(tǒng)的檢測(cè)完備性的評(píng)估要相對(duì)困難得多。

由于通常不可能存在具有檢測(cè)完備性的IDS，因此提出一個(gè)新的概念：完備度。第二十三頁(yè)，共三十一頁(yè)，編輯于2023年，星期二6.2.3容錯(cuò)性（FaultTolerance）

IDS本身也是會(huì)存在安全漏洞的，若對(duì)入侵檢測(cè)系統(tǒng)攻擊成功，則會(huì)直接導(dǎo)致IDS報(bào)警失靈，系統(tǒng)將無(wú)法記錄入侵者在其后的所作所為。因此要求檢測(cè)系統(tǒng)必須是可容錯(cuò)的，即使系統(tǒng)崩潰，檢測(cè)系統(tǒng)本身必須能保留下來(lái)，而不必重啟系統(tǒng)時(shí)必須重建知識(shí)庫(kù)。入侵檢測(cè)系統(tǒng)自身必須能夠抵御對(duì)它自身的攻擊，特別是拒絕服務(wù)攻擊（DenialOfService）。拒絕服務(wù)攻擊是指攻擊者通過(guò)某種手段，有意地造成計(jì)算機(jī)或網(wǎng)絡(luò)不能正常運(yùn)轉(zhuǎn)從而不能向合法用戶提供所需要的服務(wù)或者降低其提供的服務(wù)質(zhì)量。由于大多數(shù)入侵檢測(cè)系統(tǒng)是運(yùn)行在極易遭受攻擊的操作系統(tǒng)和硬件平臺(tái)上，這就使得系統(tǒng)的容錯(cuò)性變得特別重要，在設(shè)計(jì)入侵檢測(cè)系統(tǒng)時(shí)必須考慮。第二十四頁(yè)，共三十一頁(yè)，編輯于2023年，星期二6.2.4及時(shí)性（Timeliness）

系統(tǒng)必須及時(shí)發(fā)現(xiàn)各種入侵行為，理想情況是事先發(fā)現(xiàn)攻擊企圖，比較現(xiàn)實(shí)的情況則是在攻擊行為發(fā)生的過(guò)程中檢測(cè)到攻擊行為。及時(shí)性要求系統(tǒng)必須盡快地分析數(shù)據(jù)并把分析結(jié)果傳播出去，以使系統(tǒng)安全管理者能夠在入侵攻擊尚未造成更大危害以前做出反應(yīng)，阻止攻擊者顛覆審計(jì)系統(tǒng)甚至入侵檢測(cè)系統(tǒng)的企圖。如果是事后才發(fā)現(xiàn)攻擊的結(jié)果則必須保證時(shí)效性，因?yàn)橐粋€(gè)已經(jīng)被攻擊過(guò)的系統(tǒng)往往意味著后門(mén)引入以及后續(xù)的攻擊行為。和上面的處理性能因素相比，及時(shí)性要求更高。它不僅要求入侵檢測(cè)系統(tǒng)的處理速度要盡可能地快，而且要求傳播、反應(yīng)檢測(cè)結(jié)果信息的時(shí)間盡可能少。反映及時(shí)性的幾個(gè)重要指標(biāo)是延遲時(shí)間、檢測(cè)時(shí)間、分析和關(guān)聯(lián)時(shí)間、響應(yīng)時(shí)間等。第二十五頁(yè)，共三十一頁(yè)，編輯于2023年，星期二6.2.5處理性能（Performance）

處理性能是指一個(gè)入侵檢測(cè)系統(tǒng)處理審計(jì)數(shù)據(jù)的速度。顯然，當(dāng)入侵檢測(cè)系統(tǒng)的處理性能較差時(shí)，它就不可能實(shí)現(xiàn)實(shí)時(shí)的入侵檢測(cè)。

此外，一個(gè)完整的入侵檢測(cè)系統(tǒng)必須具備下列特點(diǎn)：

（1）經(jīng)濟(jì)性。為了保證系統(tǒng)安全策略的實(shí)施而引入的入侵檢測(cè)系統(tǒng)必須不妨礙系統(tǒng)的正常運(yùn)行。

（2）安全性。入侵檢測(cè)系統(tǒng)自身必須安全，如果入侵檢測(cè)系統(tǒng)自身的安全性得不到保障，則意味著信息的無(wú)效，更為嚴(yán)重的是，入侵者控制了入侵檢測(cè)系統(tǒng)即獲得了對(duì)系統(tǒng)的控制權(quán)，因?yàn)橐话闱闆r下，入侵檢測(cè)系統(tǒng)都是以特權(quán)狀態(tài)運(yùn)行的。第二十六頁(yè)，共三十一頁(yè)，編輯于2023年，星期二（3）可擴(kuò)展性。可擴(kuò)展性有兩方面的意義：一是機(jī)制與數(shù)據(jù)的分離，在現(xiàn)在機(jī)制不變的前提下能夠?qū)π碌墓暨M(jìn)行檢測(cè)，例如，使用特征碼來(lái)表示攻擊特性；二是體系結(jié)構(gòu)的可擴(kuò)展性，在有必要的時(shí)候可以在不對(duì)系統(tǒng)的整體結(jié)構(gòu)進(jìn)行修改的前提下加強(qiáng)檢測(cè)手段，以保證能夠檢測(cè)到新的攻擊，如AAFID系統(tǒng)的代謝機(jī)制。

IDS系統(tǒng)最終是要為用戶服務(wù)的，基于用戶的角度，可以簡(jiǎn)單羅列出以下幾方面來(lái)評(píng)估IDS是否滿足用戶的需要：第二十七頁(yè)，共三十一頁(yè)，編輯于2023年，星期二（1）IDS產(chǎn)品標(biāo)識(shí)。

（2）IDS系統(tǒng)的文檔和技術(shù)支持。

（3）IDS系統(tǒng)功能。

（4）IDS的報(bào)告和審計(jì)能力。

（5）IDS系統(tǒng)的檢測(cè)和響應(yīng)。

（6）IDS的安全管理能力。

（7）產(chǎn)品安裝和服務(wù)支持。第二十八頁(yè)，共三十一頁(yè)，編輯于2023年，星期二評(píng)估入侵檢測(cè)系統(tǒng)非常困難，涉及到操作系統(tǒng)、網(wǎng)絡(luò)環(huán)境、工具、軟件、硬件和數(shù)據(jù)庫(kù)等技術(shù)方面的問(wèn)題。IDS目前沒(méi)有工業(yè)標(biāo)準(zhǔn)可參考來(lái)評(píng)測(cè)，由于入侵檢測(cè)技術(shù)太新，為了跟上市場(chǎng)的增長(zhǎng)步伐，商業(yè)的IDS新產(chǎn)品周期更新非?？臁Ｊ袌?chǎng)化的IDS產(chǎn)品很少去說(shuō)明如何發(fā)現(xiàn)入侵者和日常運(yùn)行所需