入侵检测系统评课件.pptVIP

6.1　入侵检测系统的主要性能参数　　在对入侵检测系统的性能进行分析时，应重点考虑检测的有效性、效率和可用性。　　有效性：研究检测机制的检测精确度和系统报警的可信度，它是开发设计和应用IDS的前提和目的，是测试评估IDS的主要指标。　　效率：从检测机制处理数据的速度以及经济角度来考虑，侧重检测机制性能价格比的改进。 6.1.1　检测率、虚报率与报警可信度　　人们希望检测系统能够最大限度地把系统中的入侵行为与正常行为区分开来，这就涉及到入侵检测系统对系统正常行为（或入侵行为）的描述方式、检测模型与检测算法的选择。　　如果检测系统不能够精确地描述系统的正常行为（或入侵行为），那么，系统必然会出现各种误报。如果检测系统把系统的“正常行为”作为“异常行为”进行报警，这种情况就是虚报（FalsePositive）。如果检测系统对部分针对系统的入侵活动不能识别、报警，这种情况被称做漏报（FalseNegative）。 　　1.检测率与虚报率　　可以用贝叶斯理论来分析基于异常性检测的入侵检测系统的检测率、虚报率与报警可信度之间的关系，并在此基础上分析它们对异常性检测算法性能的影响。　　入侵检测问题可看做是一个简单的二值假设检验问题。首先给出一系列相关的定义和符号：　　假设I与I分别表示入侵行为和目标系统的正常行为，A代表检测系统发出入侵报警，