Các hệ thống IDS phát hiện và ngăn chặn xâm nhập là một phần tích hợp trong các cơ sở hạ tầng an ninh của tất cả các tổ chức sở hữu các mạng máy tính kết nối Internet. IDS nhận dạng cuộc tấn công hoặc hành vi không bình thường đến mạng, ghi nhận thông tin liên quan đến các sự kiện được phát hiện, đưa ra cảnh báo cho các quản trị mạng và tạo các báo cáo. Sự phát hiện và ngăn chặn xâm nhập hiệu quả các loại tấn công mạng thường yêu cầu xử lý trực tuyến (on- line processing) dữ liệu thu nhận từ các nguồn dữ liệu trong các định dạng khác nhau (trong xử lý dữ liệu lớn được gọi là xử lý dòng trong thời gian thực).
Đánh giá hiệu năng của IDS là cốt yếu trong xác định cấp độ an ninh mà nó đảm bảo và trong các đưa ra quyết định. Cần phải có một tập hợp các yếu tố hiệu năng chung để đánh giá, đó là:
Độ phủ tấn công (coverage): số đo này chỉ ra IDS có thể xác định mức phủ của tấn công trong mạng, ví dụ, trong signature-based IDS, số đo này là số lượng các dấu hiệu nghi ngờ và sự ánh xạ chúng đến sơ đồ tên chuẩn.
Xác suất của các cảnh báo lỗi (False Alarm probability, False positive rate): xác định tỷ lệ của các khẳng định sai mà IDS đưa ra trong một môi trường cho trước trong khoảng khung thời gian cụ thể. Khẳng định sai hay cảnh báo sai được IDS trong khi lưu lượng cơ sở lại bình thường và không bị nhiễm độc hại.
Xác suất cảnh báo đúng (True alarm probability, True positive rate, probability of detection): là tỷ lệ các tấn cộng bị phát hiện đúng bởi IDA trong một môi trường cho trước và trong một khung thời gian cụ thể. Khó trong đo tỷ lệ phát hiện thành công của IDS bởi nó phụ thuộc tập hợp các tấn công được sử dụng để kiểm tra, ngoài ra, xác suất này lại phụ thuộc vào tỷ lệ cảnh báo sai. IDS cần phải được cấu hình sao cho nó có khả năng phát hiệu nhiều loại tấn công và tối thiểu các phát hiện sai.
Đồ thị đặc tính khai thác nhận ROC (receiver operating characteristic curve) thể hiện quan hệ của hai thông số khai thác của IDS: xác suất suất cảnh báo đúng (True positive rate hay True alarm probability) (1-β) và xác suất cảnh báo sai α (False positive rate hay false alarm probability) (hình 3.9). Đường cong ROC tổng hợp hiệu năng của IDS.
Hình 3.1. Đồ thị ROC
Khả năng kháng cự của IDS (resistance to atackers directed at the IDS): số đo này chỉ ra khả năng chống chọi của IDS trước các cố gắng tấn công phá vỡ hoạt động của IDS. Các tấn công vào IDS có thể ở các dạng:
- Gửi một lượng lớn lưu lượng không tấn công với dung lượng vượt quá khả năng xử lý của IDS. Do đó IDS có thể bỏ các gói và không thể phát hiện được các tấn công.
- Gửi đến IDS các gói không tấn công nhưng lại được khôn khéo kích hoạt các nghi ngờ bên trong IDS, khi đó IDS có thể đưa ra các cảnh báo sai hoặc làm hỏng công cụ hiển thị hay xử lý cảnh báo sai.
- Gửi đến IDS một số lượng các gói tấn công nhằm làm sao lãng người quản trị IDS trong khi kẻ tấn công lại đưa vào tấn công thực sự dấu dưới "smokescreen" được tạo bởi vô số các tấn công khác.
- Gửi đến IDS các gói chứa dữ liệu có thể khai thác đặc tính yếu kém (hay lỗ hổng an ninh) trong các thuật toán xử lý của IDS. Kiểu tấn công này sẽ chỉ thành công nếu IDS chứa lỗi mã hóa có thể bị khai thác bởi kẻ tấn công kinh nghiệm và thông minh.
Khả năng xử lý lưu lượng băng thông cao: số đo này chỉ ra IDS vận hành như thế nào khi có khối lượng lớn lưu lượng đến. Hầu hết các NIDS sẽ bắt đầu bỏ các gói vì khối lượng lưu lượng tăng lên, dẫn đến chúng bỏ qua các tấn
công. Ở một ngưỡng nào đó, hầu hết các IDS sẽ dừng phát hiện bất kỳ tấn công nào. Thông số này tương tự như "khả năng kháng cự của IDS" khi kẻ tấn công gửi khối lượng lớn lưu lượng không tấn công đến IDS. Chỉ có sự khác nhau là số đo này tính khả năng của IDS xử lý các khối lượng của lưu lượng cơ sở bình thường.
Khả năng liên hệ các sự kiện: thông số này chỉ ra IDS liên hệ các sự kiện tấn công. Những sự kiện này có thể được lấy từ IDS, router, firewall, các log của ứng dụng, hoặc các thiết bị trong mạng. Mục đích đầu tiên của liên hệ các sự kiện là xác định các tấn công đã xâm nhập.
Khả năng phát hiện các tấn công chưa có trước đó: thông số này chỉ ra IDS phát hiện các tấn công mà các tấn công chưa xuất hiện trước đó.
Khả năng nhận dạng tấn công: số đo này chỉ ra IDS nhận dạng tốt như thế nào tấn công mà nó được phát hiện nhờ sự gán nhãn từng tấn công với tên chung hoặc tên dễ bị tổn thương hoặc nhờ sự gán tấn công cho một loại.
Khả năng xác định sự thành công của tấn công: thông số này chỉ ra IDS có thể xác định sự thành công của các tấn công từ các nơi xa mà kẻ tấn công có được các thẩm quyền cấp độ về an ninh của hệ thống bị tấn công. Khả năng này là cơ sở để phân tích sự liên hệ tấn công và kịch bản tấn công.
So sánh dung lượng cho NIDS: NIDS yêu cầu giao thức cấp độ cao so với các thiết bị mạng khác như router, switch. Do đó, quan trọng là đo khả năng của NIDS để chiếm đoạt, xử lý và thực hiện ở cùng một cấp độ chính xác dựa vào tải của mạng.
Một số thông số khác cũng được đưa vào đánh giá hiệu năng của IDS:
- Số lượng các nút trong mạng.
- Xác suất của lỗi tấn công (cấp độ an ninh của hệ thống). - Giới hạn về số lượng các laafn cố tấn công.
- Số lượng các nút trong mạng bị tấn công.
- Số lượng các liên kết mà IDS theo vết từ nút bị tấn công đến nguồn tấn công. Một số yếu tố khác như: tính dễ dàng sử dụng, dễ dàng bảo trì, các đưa ra khai thác, các yêu cầu tài nguyên, độ sẵn sàng và chất lượng của hỗ
trợ,v.v...Những yếu tố này không trực tiếp liên quan đến hiệu năng của IDS nhưng có thể có ý nghĩa nhiều hơn trong nhiều tình trạng thương mại.