IDS的评估标准

1．IDS的评估标准

目前市场上有许多入侵检测系统，这些产品在不同方面都有各自的特色。如何去评价这些产品，尚无形成规定的评估标准。

一般可以从以下几个侵检测系统：方面去评价一个入侵检测系统：

（1） 能保证自身的安全

和其他系统一样，入侵检测系统本身也往往存在安全漏洞。如果查询bugtraq的邮件列表，诸如AxentNetProwler，NFR，ISS Realsecure 等知名产品都有漏洞被发觉出来。若对入侵检测系统攻击成功，则直接导致其报警失灵，入侵者在其后所作的行为将无法被记录。因此入侵检测系统首先必须保证自己的安全性。

（2） 运行与维护系统的开销

较少的资源消耗，不影响受保护主机或网络的正常运行。

（3）入侵检测系统报警准确率

误报和漏报的情况尽量少。

（4）网络入侵检测系统负载能力以及可支持的网络类型

根据网络入侵检测系统所布署的网络环境不同要求也不同。如果在512K或2M专线上布署网络入侵检测系统，则不需要高速的入侵检测引擎，而在负荷较高的环境中，性能是一个非常重要的指标。网络入侵检测系统是非常消耗资源的，但很少有厂商公布自己的pps （packet per second）参数。

（5）是否支持IP碎片重组

由于 IP 碎片攻击是攻击者常用的方法，而在入侵检测中分析单个的数据包会导致许多误报和漏报，因此是否支持IP碎片的重组对于整个入侵检测系统检测的精确度有直接影响。IP碎片重组的评测标准有三个性能参数：能重组的最大IP分片数；能同时重组的IP包数；能进行重组的最大IP数据包的长度。

（６）是否支持TCP流重组

TCP 流重组是为了对完整的网络对话进行分析，它是网络入侵检测系统对应用层进行分析的基础。如检查邮件内容、附件，检查FTP传输的数据，禁止访问有害网站、判断非法HTTP请求等。

本文始发于微信公众号（LemonSec）：IDS的评估标准