6 測試評估IDS的環境配置與框架
在測試評估IDS時，很少會把IDS放在實際運行的網絡中，因為實際網絡環境是不可控的，并且實際網絡環境的專用性也太強，很難對IDS進行準確的系統測試。所以一般要構建專用的網絡的環境。
受保護系統模擬主機正常運行狀況，網絡負載生成器模擬內部網之間以及內部網與外部網之間的網絡通信。攻擊模擬用來模擬入侵者發起的攻擊。IDS即為待檢測的系統。由于有時實際的網絡環境很大，有很多安裝各種各樣操作系統、應用軟件的主機服務器，要求測試環境完全按照實際網絡進行配置并不是很實際，所以在測試中一般采用虛擬主機技術。通常使用一些軟件工具或者編寫可自動運行的腳本來模擬各種主機的各種行為，相當于在一臺物理主機上運行多臺虛擬主機，每個虛擬主機模擬不同硬件上運行的不同操作系統、不同應用程序。一般來說，受保護主機要包含運行常用操作系統（比如Windows、Linux、SunOS）的主機。內部網網絡負載生成器要模擬內部的網絡流量以及內部的攻擊，而外部位網絡負載生成器要模擬外部的網絡流量（比如訪問Web頁面，下載文件）以及外部的攻擊。實際構建測試環境的過程是個復雜過程，它直接關系到評測的成功與否。

7 IDS測試評估現狀以及存在的問題
雖然IDS及其相關技術已獲得了很大的進展，但關于IDS的性能檢測及其相關評測工具、標準以及測試環境等方面的研究工作還很缺乏。
Puketza等人在1994年開創了對IDS評估系統研究的先河，在他們開發的軟件平臺上可以實現自動化的攻擊仿真。1998年Debar等在IDS實驗測試系統的研究中，指出在評估環境中仿真正常網絡流量是一件非常復雜而且耗時的工作。林肯實驗室在1998年、1999年進行的兩次IDS離線評估，是迄今為止最權威的IDS評估。在精心設計的測試網絡中，他們對正常網絡流量進行了仿真，實施了大量的攻擊，將記錄下的流量系統日志和主機上文件系統映像等數據，交由參加評估的IDS進行離線分析。最后根據各IDS提交的檢測結果做出評估報告。目前美國空軍羅馬實驗室對IDS進行了實時評估。羅馬實驗室的實時評估是林肯實驗室離線評估的補充，它主要對作為現行網絡中的一部分的完整系統進行測試，其目的是測試IDS在現有正常機器和網絡活動中檢測入侵行為的能力以及IDS的響應能力及其對正常用戶的影響。IBM的Zurich研究實驗室也開發了一套IDS測評工具。此外，有些黑客工具軟件也可用來對IDS進行評測。
目前，市場上以及正在研發的IDS很多，各系統都有自己獨特的檢測方法。攻擊描述方式以及攻擊知識庫，還沒有一個統一的標準。這大大加大了測試評估IDS的難度，因為很難建立一個統一的基準，也很難建立統一的測試方法。
測試評估IDS中存在的最大問題是只能測試已知的攻擊。在測試評估過程中，采用模擬的方法來生成測試數據，而模擬入侵者實施攻擊面臨的困難是只能掌握已公布的攻擊，而對于新的攻擊方法就無法得知。這樣的后果是，即使測試沒有發現IDS的潛在弱點，也不能說明IDS是一個完備的系統。不過，可以通過分類選取測試例子，使之盡量覆蓋許多不同種類的攻擊，同時不斷更新入侵知識庫，以適應新的情況。
并且，由于測試評估IDS的數據都是公開的，如果針對測試數據設計待測試IDS，則該IDS的測試結果肯定比較好，但這并不能說明它實際運行的狀況就好。
此外，對評測結果的分析使用也有很多問題。理想狀況是可以自動地對評測結果進行分析，但實際上很難做到這一點。對IDS的實際評估通常既包含客觀的也包含主觀的，這和IDS的原始檢測能力以及它報告的方式有關。分析人員要在IDS誤報時分析為什么會出現這種誤報，在給定的測試網絡條件下，這種誤報是否合理等問題。評測結果的計分方式也很關鍵，如果計分不合理的話，得出的評測結果可信度也就不可能很高。比如，如果某個IDS檢測不出某種攻擊或對某種正常行為會產生虛警，則同樣的行為都產生同樣的結果，正確的處理方法是應該只計一次，但這很難把握，一旦這種效果被多次重復考慮的話，該IDS的評測結果肯定不是很理想，但實際上該人侵檢測總體檢測效果可能很好。

8 小結
入侵檢測作為一門正在蓬勃發展的技術，出現的時間并不是很長；相應地對IDS進行評測出現得更晚。它肯定有很多不完善和有待改進的地方，這需要進一步的研究。其中幾個比較關鍵的問題是：網絡流量仿真、用戶行為仿真、攻擊特征庫的構建、評估環境的實現以及評測結果的分析。
近幾年來，我國的入侵檢測方面的研究工作和產品開發也有了很大的發展。但對入侵檢測評估測試方面的工作還不是很多。各入侵檢測產品廠家基于各方面的原因，在宣傳時常�？浯笃湓~，而IDS的用戶對此往往又不是很清楚，所以迫切需要建立起一個可信的測試評估標準。這對開發者和用戶都有好處。