|
知识路径: > 网络安全 > IDS、IPS > 入侵检测系统概述 >
|
相关知识点:5个
|
|
|
|
评价一个入侵检测系统的性能,一般从两个方面进行考量:检测的有效性和检测的速率。其中,检测的有效性是指检测结果的精度和报警的可信度,一般使用混淆矩阵来表示。如下表所示。
|
|
|
|
|
在表8-2中,a表示一个实际为入侵行为的检测结果为入侵行为记录的数量,表明检测的结果准确的情况:b表示入侵行为被认为是正常连接记录的数量:c表示正常连接被检测为入侵行为记录的数量;d表示正常连接被检测为正常连接记录的数量。
|
|
|
一般用以下几种指标来对入侵检测系统的性能进行考量和评价。
|
|
|
(1)检出率,是指一个入侵行为被检出的数量在所有入侵行为中所占的百分比,使用以下公式计算:检出率=a/(a+b)。
|
|
|
(2)虚警率,是指一个正常连接被检测为入侵行为的数量在所有正常连接中所占的百分比,使用以下公式计算:虚警率=c/(c+d)。
|
|
|
(3)漏警率,是指一个入侵行为被检测为正常连接的数量在所有入侵行为中所占的百分比,使用以下公式计算:漏警率=b/(a+b)。
|
|
|
(4)查准率,指在被检测为入侵攻击记录总数中实际为入侵攻击记录所占的百分比,使用以下公式计算:查准率=a/(a+c)。
|
|
|
(5)查全率,指入侵攻击记录被正确检测为入侵攻击的数量占入侵攻击总记录数的百分比,意味着在所有的入侵攻击中,有多大的可能性能被检测识别出来,使用以下公式计算:查全率=a/(a+b)。
|
|
|
(6)准确率,用对网络行为正确分类所占的百分比来衡量,为检测类别正确的记录数占参与检测的总记录数的百分比,使用以下公式计算:准确率=(a+d)/(a+b+c+d)。
|
|
|