入侵檢測系統(tǒng)評估第一頁，共三十一頁，編輯于2023年，星期二

6.1入侵檢測系統(tǒng)的主要性能參數(shù)

在對入侵檢測系統(tǒng)的性能進(jìn)行分析時(shí)，應(yīng)重點(diǎn)考慮檢測的有效性、效率和可用性。

有效性：研究檢測機(jī)制的檢測精確度和系統(tǒng)報(bào)警的可信度，它是開發(fā)設(shè)計(jì)和應(yīng)用IDS的前提和目的，是測試評估IDS的主要指標(biāo)。

效率：從檢測機(jī)制處理數(shù)據(jù)的速度以及經(jīng)濟(jì)角度來考慮，側(cè)重檢測機(jī)制性能價(jià)格比的改進(jìn)。第二頁，共三十一頁，編輯于2023年，星期二6.1.1檢測率、虛報(bào)率與報(bào)警可信度

人們希望檢測系統(tǒng)能夠最大限度地把系統(tǒng)中的入侵行為與正常行為區(qū)分開來，這就涉及到入侵檢測系統(tǒng)對系統(tǒng)正常行為（或入侵行為）的描述方式、檢測模型與檢測算法的選擇。

如果檢測系統(tǒng)不能夠精確地描述系統(tǒng)的正常行為（或入侵行為），那么，系統(tǒng)必然會出現(xiàn)各種誤報(bào)。如果檢測系統(tǒng)把系統(tǒng)的“正常行為”作為“異常行為”進(jìn)行報(bào)警，這種情況就是虛報(bào)（FalsePositive）。如果檢測系統(tǒng)對部分針對系統(tǒng)的入侵活動不能識別、報(bào)警，這種情況被稱做漏報(bào)（FalseNegative）。第三頁，共三十一頁，編輯于2023年，星期二

1.檢測率與虛報(bào)率

可以用貝葉斯理論來分析基于異常性檢測的入侵檢測系統(tǒng)的檢測率、虛報(bào)率與報(bào)警可信度之間的關(guān)系，并在此基礎(chǔ)上分析它們對異常性檢測算法性能的影響。

入侵檢測問題可看做是一個(gè)簡單的二值假設(shè)檢驗(yàn)問題。首先給出一系列相關(guān)的定義和符號：

假設(shè)I與I分別表示入侵行為和目標(biāo)系統(tǒng)的正常行為，A代表檢測系統(tǒng)發(fā)出入侵報(bào)警，A表示檢測系統(tǒng)沒有報(bào)警。

檢測率：被監(jiān)控系統(tǒng)受到入侵攻擊時(shí)，檢測系統(tǒng)能夠正確報(bào)警的概率，可表示為P(A/I)。通常利用已知入侵攻擊的實(shí)驗(yàn)數(shù)據(jù)集合來測試入侵檢測系統(tǒng)的檢測率。第四頁，共三十一頁，編輯于2023年，星期二虛報(bào)率：指檢測系統(tǒng)在檢測時(shí)出現(xiàn)虛報(bào)警的概率，可表示為P(A/I)?？衫靡阎南到y(tǒng)正常行為作為實(shí)驗(yàn)數(shù)據(jù)集，通過系統(tǒng)仿真獲得檢測系統(tǒng)的近似虛報(bào)率。

另外，概率P(A/I)代表檢測系統(tǒng)的漏報(bào)率，P(A/I)則指目標(biāo)系統(tǒng)正常（沒有入侵攻擊）的情況下，檢測系統(tǒng)不報(bào)警的概率。顯然有第五頁，共三十一頁，編輯于2023年，星期二在實(shí)際應(yīng)用中，主要關(guān)注的是一個(gè)入侵檢測系統(tǒng)的報(bào)警結(jié)果能否正確地反映目標(biāo)系統(tǒng)的安全狀態(tài)。下面的兩個(gè)參數(shù)則從報(bào)警信息的可信度方面考慮檢測系統(tǒng)的性能：

P(A/I)給出了檢測系統(tǒng)報(bào)警信息的可信度，即檢測系統(tǒng)報(bào)警時(shí)，目標(biāo)系統(tǒng)正受到入侵攻擊的概率。

P(A/I)給出了檢測系統(tǒng)未發(fā)出報(bào)警信息的可信度，即檢測系統(tǒng)未報(bào)警時(shí)，目標(biāo)系統(tǒng)未受到入侵攻擊的概率。

為使入侵檢測系統(tǒng)更有效，系統(tǒng)的這兩個(gè)參數(shù)的值越大越好。根據(jù)貝葉斯定理可以得出這兩個(gè)參數(shù)的計(jì)算公式：（6.1）第六頁，共三十一頁，編輯于2023年，星期二同理：（6.2）第七頁，共三十一頁，編輯于2023年，星期二在實(shí)際應(yīng)用過程中，檢測率的好壞是由IDS的兩個(gè)部分決定的。一是IDS的抓包能力，二是IDS的檢測引擎。為了達(dá)到100％的檢測率，IDS首先要把需要的數(shù)據(jù)包全部抓上來，送給檢測引擎。在網(wǎng)絡(luò)流量相同的情況下，數(shù)據(jù)包越小，數(shù)據(jù)包的個(gè)數(shù)就越多，IDS的抓包引擎是對數(shù)據(jù)包一個(gè)一個(gè)進(jìn)行處理的，因此數(shù)據(jù)包越小，抓包引擎能處理的網(wǎng)絡(luò)流量就越小。相比之下，數(shù)據(jù)包的大小對IDS檢測引擎的影響程度較小，因?yàn)殡m然檢測引擎對每個(gè)數(shù)據(jù)包都要解析數(shù)據(jù)包頭，但它同樣要檢測每個(gè)數(shù)據(jù)包的內(nèi)容，總量是一樣的，因此數(shù)據(jù)包的大小對檢測引擎基本沒有影響。第八頁，共三十一頁，編輯于2023年，星期二數(shù)據(jù)包抓上來之后，需要經(jīng)過檢測引擎的檢測才能引發(fā)告警。在檢測引擎的處理過程中，數(shù)據(jù)包的各種因素都會影響檢測引擎的效率。不同的IDS產(chǎn)品因?yàn)槠錂z測引擎中對數(shù)據(jù)包的處理有側(cè)重點(diǎn)，因此不同內(nèi)容的背景數(shù)據(jù)流會嚴(yán)重影響產(chǎn)品的檢測率。當(dāng)通過不同內(nèi)容的背景數(shù)據(jù)流，可以判斷出IDS檢測引擎在某些方面的優(yōu)劣。數(shù)據(jù)包中的數(shù)據(jù)內(nèi)容也很關(guān)鍵，如果背景數(shù)據(jù)流中包含大量敏感的關(guān)鍵字，能引發(fā)一種IDS產(chǎn)品告警，而對另一種IDS產(chǎn)品可能并不引發(fā)告警，這樣的數(shù)據(jù)包內(nèi)容就影響了引擎的效率。即使在不引發(fā)告警的條件下，背景數(shù)據(jù)流的數(shù)據(jù)內(nèi)容也對檢測引擎影響很大。第九頁，共三十一頁，編輯于2023年，星期二實(shí)際上IDS的實(shí)現(xiàn)總是在檢測率和虛報(bào)率之間徘徊，檢測率高了，虛報(bào)率就會提高；同樣,虛報(bào)率降低了，檢測率也就會降低。一般地，IDS產(chǎn)品會在兩者中取一個(gè)折中，并且能夠進(jìn)行調(diào)整，以適應(yīng)不同的網(wǎng)絡(luò)環(huán)境。美國的林肯實(shí)驗(yàn)室用接收器特性(ReceiverOperatingCharacteristic,ROC)曲線來描述IDS的性能。該曲線準(zhǔn)確刻畫了IDS的檢測率與虛報(bào)率之間的變化關(guān)系。ROC廣泛用于輸入不確定的系統(tǒng)的評估。根據(jù)一個(gè)IDS在不同的條件(在允許范圍內(nèi)變化的閾值，例如異常檢測系統(tǒng)的報(bào)警門限等參數(shù))下的虛報(bào)率和檢測率，分別把虛報(bào)率和檢測率作為橫坐標(biāo)和縱坐標(biāo)，就可做出對應(yīng)于該IDS的ROC曲線。ROC曲線與IDS的檢測門限具有對應(yīng)的關(guān)系。第十頁，共三十一頁，編輯于2023年，星期二在現(xiàn)實(shí)中，虛報(bào)不會引起什么危害，因?yàn)槭录旧硎且粋€(gè)正常的事件。虛報(bào)的壞處可能就是浪費(fèi)了安全管理員的一些閱讀和檢查的時(shí)間；而漏報(bào)則是一個(gè)很嚴(yán)重的錯誤。實(shí)際上，漏報(bào)就等于入侵事件沒有被檢測出來，對系統(tǒng)可能會引起很大的危害。

通常來講，如果一個(gè)系統(tǒng)的虛報(bào)越多，它的漏報(bào)就越少。反過來，如果虛報(bào)越少，漏報(bào)則可能會越多。這是因?yàn)?，虛?bào)越多表示入侵檢測系統(tǒng)對事件的警覺程度越高，這樣，它忽略入侵的事件造成漏報(bào)的可能性就越小。從檢測技術(shù)的角度來看，入侵檢測系統(tǒng)對事件的警覺程度越高意味著檢測算法對入侵事件的約束條件越緊；如果虛報(bào)越少，表示入侵檢測系統(tǒng)對事件的警覺程度越低，這樣，它忽略入侵事件的可能性就越大，也就是說，入侵檢測系統(tǒng)對事件的警覺程度越低，意味著檢測算法對入侵事件的約束條件越寬松。所以，誤用檢測技術(shù)所造成的虛報(bào)并不高，但很可能會漏掉一些入侵事件，特別是新的入侵類型。第十一頁，共三十一頁，編輯于2023年，星期二

2.ROC曲線

ROC曲線以圖形方式來表示正確報(bào)告率和誤報(bào)率的關(guān)系。ROC曲線是基于正確報(bào)告率和誤報(bào)率的關(guān)系來描述的。這樣的圖稱為諾模圖（Nomo－gram），它在數(shù)學(xué)領(lǐng)域用于表示數(shù)字化的關(guān)系。選好一個(gè)臨界點(diǎn)（CutoffPoint）之后，就可以從圖中確定IDS的正確報(bào)告率和誤報(bào)率。曲線的形狀直接反映了IDS產(chǎn)品的準(zhǔn)確性和總體品質(zhì)。如果一條直線向上，然后向右方以45°角延伸，就是一個(gè)非常失敗的IDS，它毫無用處；相反，ROC曲線下方的區(qū)域越大，IDS的準(zhǔn)確率越高。如圖6.1所示，IDSB的準(zhǔn)確性高于IDSC，類似地，IDSA在所有的IDS中具有最高的準(zhǔn)確性。第十二頁，共三十一頁，編輯于2023年，星期二圖6.1

ROC曲線第十三頁，共三十一頁，編輯于2023年，星期二在測試評估IDS的具體實(shí)施過程中，除了要IDS的檢測率和虛報(bào)率之外，往往還會單獨(dú)考慮與這兩個(gè)指標(biāo)密切相關(guān)的一些因素，比如能檢測的入侵特征數(shù)量、IP碎片重組能力、TCP流重組能力。顯然，能檢測的入侵特征數(shù)量越多，檢測率也就越高。此外，由于攻擊者為了加大檢測的難度甚至繞過IDS的檢測，常常會發(fā)送一些特別設(shè)計(jì)的分組。為了提高IDS的檢測率，降低IDS的虛報(bào)率，IDS常常需要采取一些相應(yīng)的措施，比如IP碎片能力、TCP流重組。由于分析單個(gè)的數(shù)據(jù)分組會導(dǎo)致許多誤報(bào)和漏報(bào)，所以IP碎片的重組可以提高檢測的精確度。IP碎片重組的評測標(biāo)準(zhǔn)有三個(gè)性能參數(shù):能重組的最大IP分片數(shù)、能同時(shí)重組的IP分組數(shù)、能進(jìn)行重組的最大IP數(shù)據(jù)分組的長度。TCP流重組是為了對完整的網(wǎng)絡(luò)對話進(jìn)行分析，它是網(wǎng)絡(luò)IDS對應(yīng)用層進(jìn)行分析的基礎(chǔ)，如檢查郵件內(nèi)容和附件、檢查FTP傳輸?shù)臄?shù)據(jù)、禁止訪問有害網(wǎng)站、判斷非法HTTP請求等。這些因素都會直接影響IDS的檢測可信度。第十四頁，共三十一頁，編輯于2023年，星期二6.1.2抗攻擊能力

和其它系統(tǒng)一樣，IDS本身也往往存在安全漏洞。若對IDS攻擊成功，則直接導(dǎo)致其報(bào)警失靈，入侵者在其后所作的行為將無法被記錄，因此IDS首先必須保證自己的安全性。IDS本身的抗攻擊能力也就是IDS的可靠性，用于衡量IDS對那些經(jīng)過特別設(shè)計(jì)直接以IDS為攻擊目標(biāo)的攻擊的抵抗能力。它主要體現(xiàn)在兩個(gè)方面：一是程序本身在各種網(wǎng)絡(luò)環(huán)境下能夠正常工作；二是程序各個(gè)模塊之間的通信能夠不被破壞，不可仿冒，此外要特別考慮抵御拒絕服務(wù)攻擊的能力。如果IDS本身不能正常運(yùn)行，也就失去了它的保護(hù)意義。而如果系統(tǒng)各模塊間的通信遭到破壞，那系統(tǒng)的報(bào)警之類的檢測結(jié)果也就值得懷疑，應(yīng)該有一個(gè)良好的通信機(jī)制保證模塊間通信的安全并能在出問題時(shí)能夠迅速恢復(fù)。第十五頁，共三十一頁，編輯于2023年，星期二6.1.3其它性能指標(biāo)

1.延遲時(shí)間

檢測延遲指的是在攻擊發(fā)生至IDS檢測到入侵之間的延遲時(shí)間。延遲時(shí)間的長短直接關(guān)系著入侵攻擊破壞的程度。

2.資源的占用情況

資源的占用情況是指系統(tǒng)在達(dá)到某種檢測有效性時(shí)對資源的需求情況。通常，在同等檢測有效性的前提下，對資源的要求越低，IDS的性能越好，檢測入侵的能力也就越強(qiáng)。第十六頁，共三十一頁，編輯于2023年，星期二

3.負(fù)荷能力

IDS有其設(shè)計(jì)的負(fù)荷能力，在超出負(fù)荷能力的情況下，性能會出現(xiàn)不同程度的下降。比如，在正常情況下IDS可檢測到某攻擊,但在負(fù)荷大的情況下可能就檢測不出該攻擊?？疾鞕z測系統(tǒng)的負(fù)荷能力就是觀察不同大小的網(wǎng)絡(luò)流量、不同強(qiáng)度的CPU內(nèi)存等系統(tǒng)資源的使用對IDS的關(guān)鍵指標(biāo)（比如檢測率、虛警率）的影響。第十七頁，共三十一頁，編輯于2023年，星期二

4.日志、報(bào)警、報(bào)告以及響應(yīng)能力

日志能力是指檢測系統(tǒng)保存日志的能力,按照特定要求選取日志內(nèi)容的能力。報(bào)警能力是指在檢測到入侵后，向特權(quán)部件、人員發(fā)送報(bào)警信號的能力以及在報(bào)警中附加信息的能力。報(bào)告能力是指產(chǎn)生入侵行為報(bào)告、提供查詢報(bào)告、創(chuàng)建和保存報(bào)告的能力。響應(yīng)能力是指在檢測到入侵后進(jìn)一步處理的能力，這包括阻斷入侵、跟蹤入侵者、記錄入侵證據(jù)等。

5.系統(tǒng)的可用性

系統(tǒng)的可用性主要是指系統(tǒng)安裝、配置、管理、使用的方便程度，系統(tǒng)界面的友好程度，攻擊規(guī)則庫維護(hù)的簡易程度等方面。第十八頁，共三十一頁，編輯于2023年，星期二

6.檢測范圍

通常情況下，一個(gè)IDS能檢測到的攻擊是有一定范圍的。檢測范圍的考察，就是在一定的攻擊分類標(biāo)準(zhǔn)下，考察IDS對不同類型攻擊的檢測能力。

由此可以看出，IDS是個(gè)比較復(fù)雜的系統(tǒng)，對IDS進(jìn)行測試和評估不僅和IDS本身有關(guān)，還與應(yīng)用IDS的環(huán)境有關(guān)。測試過程中涉及到操作環(huán)境、網(wǎng)絡(luò)環(huán)境、工具、軟件、硬件等方面，既要考慮入侵檢測的效果如何，也要考慮應(yīng)用該系統(tǒng)后它對實(shí)際系統(tǒng)的影響，有時(shí)要折中考慮這兩種因素。綜合起來，入侵檢測系統(tǒng)性能的參數(shù)主要有：檢測率、虛報(bào)率、漏報(bào)率、不報(bào)率等，從而可以由此計(jì)算出檢測系統(tǒng)報(bào)警信息的可信度。第十九頁，共三十一頁，編輯于2023年，星期二

6.2入侵檢測系統(tǒng)評估標(biāo)準(zhǔn)

6.2.1準(zhǔn)確性（Accuracy）

準(zhǔn)確性指入侵檢測系統(tǒng)能在各種行為中正確地檢測出系統(tǒng)入侵活動的能力。當(dāng)一個(gè)入侵檢測系統(tǒng)的檢測不準(zhǔn)確時(shí)，它就可能把系統(tǒng)中的合法活動當(dāng)作入侵行為并標(biāo)識為異常（虛警現(xiàn)象）。

準(zhǔn)確性主要是指研究檢測機(jī)制的精確度和系統(tǒng)檢測結(jié)果的可信度。準(zhǔn)確性包含幾個(gè)指標(biāo)，即報(bào)警準(zhǔn)確度（又稱檢測率、靈敏度）、誤警率、檢測可信度。這些指標(biāo)既是開發(fā)和應(yīng)用IDS的前提和目的，又是測試評估的主要指標(biāo)。其中，第二十頁，共三十一頁，編輯于2023年，星期二具備較高的報(bào)警準(zhǔn)確率是IDS的關(guān)鍵，是否智能、準(zhǔn)確地報(bào)告非法入侵行為成為衡量一個(gè)入侵檢測產(chǎn)品優(yōu)劣的首要內(nèi)容。誤警率指錯誤報(bào)警或未報(bào)警的比率，包括虛警率和漏報(bào)率，其中，報(bào)警準(zhǔn)確率和誤警率是衡量IDS效率的兩個(gè)重要指標(biāo)。誤警率和漏報(bào)率應(yīng)盡量低。檢測可信度指某一次報(bào)警是真實(shí)的報(bào)警（正確檢測）的概率，反映的是檢測系統(tǒng)檢測結(jié)果的可信程度，也是IDS的重要指標(biāo)，其取值與報(bào)警的次數(shù)、報(bào)警已逝去的時(shí)間等都有關(guān)系。第二十一頁，共三十一頁，編輯于2023年，星期二評估IDS的準(zhǔn)確性除了要考察以上指標(biāo)外，還應(yīng)該單獨(dú)考慮如下指標(biāo)（但這些指標(biāo)并不僅僅只反映IDS的準(zhǔn)確性）：是否支持事件特征自定義、是否支持多級分布式結(jié)構(gòu)和事件歸并、能檢測的入侵特征數(shù)量、IP碎片重組能力、TCP流重組能力、IDS對網(wǎng)絡(luò)流量的分析是否能達(dá)到足夠的抽樣比例、系統(tǒng)對變形攻擊的檢測能力、系統(tǒng)對碎片重組的檢測能力、系統(tǒng)對未發(fā)現(xiàn)漏洞特征的預(yù)報(bào)警能力、是否具有較低的漏報(bào)率、系統(tǒng)是否采取有效措施降低誤報(bào)率、是否具有高的報(bào)警成功率、在線升級和入侵檢測規(guī)則庫的更新是否快捷有效等。第二十二頁，共三十一頁，編輯于2023年，星期二6.2.2完備性（Completeness）

完備性是指入侵檢測系統(tǒng)能夠檢測出所有攻擊行為的能力。如果存在一個(gè)攻擊行為，無法被入侵檢測系統(tǒng)檢測出來，那么該入侵檢測系統(tǒng)就不具有檢測完備性。由于在一般情況下，很難得到關(guān)于攻擊行為以及對系統(tǒng)特權(quán)濫用行為的所有知識，所以關(guān)于入侵檢測系統(tǒng)的檢測完備性的評估要相對困難得多。

由于通常不可能存在具有檢測完備性的IDS，因此提出一個(gè)新的概念：完備度。第二十三頁，共三十一頁，編輯于2023年，星期二6.2.3容錯性（FaultTolerance）

IDS本身也是會存在安全漏洞的，若對入侵檢測系統(tǒng)攻擊成功，則會直接導(dǎo)致IDS報(bào)警失靈，系統(tǒng)將無法記錄入侵者在其后的所作所為。因此要求檢測系統(tǒng)必須是可容錯的，即使系統(tǒng)崩潰，檢測系統(tǒng)本身必須能保留下來，而不必重啟系統(tǒng)時(shí)必須重建知識庫。入侵檢測系統(tǒng)自身必須能夠抵御對它自身的攻擊，特別是拒絕服務(wù)攻擊（DenialOfService）。拒絕服務(wù)攻擊是指攻擊者通過某種手段，有意地造成計(jì)算機(jī)或網(wǎng)絡(luò)不能正常運(yùn)轉(zhuǎn)從而不能向合法用戶提供所需要的服務(wù)或者降低其提供的服務(wù)質(zhì)量。由于大多數(shù)入侵檢測系統(tǒng)是運(yùn)行在極易遭受攻擊的操作系統(tǒng)和硬件平臺上，這就使得系統(tǒng)的容錯性變得特別重要，在設(shè)計(jì)入侵檢測系統(tǒng)時(shí)必須考慮。第二十四頁，共三十一頁，編輯于2023年，星期二6.2.4及時(shí)性（Timeliness）

系統(tǒng)必須及時(shí)發(fā)現(xiàn)各種入侵行為，理想情況是事先發(fā)現(xiàn)攻擊企圖，比較現(xiàn)實(shí)的情況則是在攻擊行為發(fā)生的過程中檢測到攻擊行為。及時(shí)性要求系統(tǒng)必須盡快地分析數(shù)據(jù)并把分析結(jié)果傳播出去，以使系統(tǒng)安全管理者能夠在入侵攻擊尚未造成更大危害以前做出反應(yīng)，阻止攻擊者顛覆審計(jì)系統(tǒng)甚至入侵檢測系統(tǒng)的企圖。如果是事后才發(fā)現(xiàn)攻擊的結(jié)果則必須保證時(shí)效性，因?yàn)橐粋€(gè)已經(jīng)被攻擊過的系統(tǒng)往往意味著后門引入以及后續(xù)的攻擊行為。和上面的處理性能因素相比，及時(shí)性要求更高。它不僅要求入侵檢測系統(tǒng)的處理速度要盡可能地快，而且要求傳播、反應(yīng)檢測結(jié)果信息的時(shí)間盡可能少。反映及時(shí)性的幾個(gè)重要指標(biāo)是延遲時(shí)間、檢測時(shí)間、分析和關(guān)聯(lián)時(shí)間、響應(yīng)時(shí)間等。第二十五頁，共三十一頁，編輯于2023年，星期二6.2.5處理性能（Performance）

處理性能是指一個(gè)入侵檢測系統(tǒng)處理審計(jì)數(shù)據(jù)的速度。顯然，當(dāng)入侵檢測系統(tǒng)的處理性能較差時(shí)，它就不可能實(shí)現(xiàn)實(shí)時(shí)的入侵檢測。

此外，一個(gè)完整的入侵檢測系統(tǒng)必須具備下列特點(diǎn)：

（1）經(jīng)濟(jì)性。為了保證系統(tǒng)安全策略的實(shí)施而引入的入侵檢測系統(tǒng)必須不妨礙系統(tǒng)的正常運(yùn)行。

（2）安全性。入侵檢測系統(tǒng)自身必須安全，如果入侵檢測系統(tǒng)自身的安全性得不到保障，則意味著信息的無效，更為嚴(yán)重的是，入侵者控制了入侵檢測系統(tǒng)即獲得了對系統(tǒng)的控制權(quán)，因?yàn)橐话闱闆r下，入侵檢測系統(tǒng)都是以特權(quán)狀態(tài)運(yùn)行的。第二十六頁，共三十一頁，編輯于2023年，星期二（3）可擴(kuò)展性?？蓴U(kuò)展性有兩方面的意義：一是機(jī)制與數(shù)據(jù)的分離，在現(xiàn)在機(jī)制不變的前提下能夠?qū)π碌墓暨M(jìn)行檢測，例如，使用特征碼來表示攻擊特性；二是體系結(jié)構(gòu)的可擴(kuò)展性，在有必要的時(shí)候可以在不對系統(tǒng)的整體結(jié)構(gòu)進(jìn)行修改的前提下加強(qiáng)檢測手段，以保證能夠檢測到新的攻擊，如AAFID系統(tǒng)的代謝機(jī)制。

IDS系統(tǒng)最終是要為用戶服務(wù)的，基于用戶的角度，可以簡單羅列出以下幾方面來評估IDS是否滿足用戶的需要：第二十七頁，共三十一頁，編輯于2023年，星期二（1）IDS產(chǎn)品標(biāo)識。

（2）IDS系統(tǒng)的文檔和技術(shù)支持。

（3）IDS系統(tǒng)功能。

（4）IDS的報(bào)告和審計(jì)能力。

（5）IDS系統(tǒng)的檢測和響應(yīng)。

（6）IDS的安全管理能力。

（7）產(chǎn)品安裝和服務(wù)支持。第二十八頁，共三十一頁，編輯于2023年，星期二評估入侵檢測系統(tǒng)非常困難，涉及到操作系統(tǒng)、網(wǎng)絡(luò)環(huán)境、工具、軟件、硬件和數(shù)據(jù)庫等技術(shù)方面的問題。IDS目前沒有工業(yè)標(biāo)準(zhǔn)可參考來評測，由于入侵檢測技術(shù)太新，為了跟上市場的增長步伐，商業(yè)的IDS新產(chǎn)品周期更新非?？?。市場化的IDS產(chǎn)品很少去說明如何發(fā)現(xiàn)入侵者和日常運(yùn)行所需