入侵检测系统评估是入侵检测系统研究领域的一个基本问题。本文在改进网络入侵检测系统的系统能力评估方法、探索新的攻击测试案例生成方法、提高背景流量生成方法的真实性和提高评估评分的准确姓和扩展性等方面进行了深入和系统的探讨，本文工作的主要成果表现在以下几个方面：　　 (1)提出了一种基于时空约束的入侵检测系统系统能力评估方法。基于时空约束的评估方法把承载攻击的报文序列作为描述IDS检测能力的基础，通过时空约束及其对应的内容约束对IDS的检测能力空间进行等价划分，完善了基于分辨率方法提出的系统能力测度体系，提高了入侵检测系统评估结果的公平性、合理性和准确性。论文同时提出了两个层次的评估方法：基于时空约束的系统能力覆盖率评估方法和基于时空约束的系统能力正确性评估方法。覆盖率评估是正确性评估在不考虑IDS设计实现的条件下进行的轻量级过程，这两个评估方法可以满足在不同的测试需求和条件下的测试过程。　　 (2)提出一种基于时空约束模板的攻击测试案例构造方法。论文提出的攻击案例生成方法结合软件测试方法生成测试案例序列，可以更准确和公平地评估入侵检测系统系统能力，同时可以满足从报文到流以及到聚合流的模拟，有更好的扩展性。　　 (3)提出了建立在基于流的结构化模型基础上的一种网络流量模拟方法。这种方法既可以满足Gbit级别IDS评估的流量规模需求，又能高度逼真地模拟真实流的持续行为和到达模型。论文通过理论分析了网络并发流的构造模型，在此基础提出了层次结构化的流模拟模型，并给出了该方法用于测试所需的最短测试时间的计算方法。模拟结果证明该方法不仅在性能上相对于传统方法有明显优势，同时保持了和真实流行为的良好近似，可以更准确评估IDS系统在实际环境下的性能。本文的流量模拟方法不仅可以模拟正常的高速流量，还可以模拟蠕虫、路由循环等异常流量的行为。　　 (4)提出了一种基于同步点的入侵检测系统评估评分方法。论文通过对传统评分方法的分析，提出了评分方法的判定窗口满足准确性和扩展性需求必须的性质，并基于IDS对报文的处理是FIFO队列的特性，定义了基于同步点的评分方法。由于同步点方法利用报文的相对顺序为判定依据，判定结果不受报文速率的影响，无论千兆或万兆网络环境下都可以适用，满足了评分方法的扩展性需求。同时同步点的最小测量单位为报文，可以实现高精度的判定窗口，使误报和真实警报在判定窗口内冲突的概率几乎为0。基于同步点的评分方法相对于目前的考虑误报和不考虑误报的评分方法可以提供更准确的评分结果，使IDS评估的结论有更高的可信度。　　 (5)针对目前IDS测试系统中存在的问题，论文设计并实现了一种IDS测试平台框架，通过模拟协议栈的工作过程，使用概率参数和协议模板相结合来仿真网络背景流量，并对数据结构进行了优化，使得可以适应高速网络的需要。实验表明测试平台的背景流量构造方法可以很好的控制背景流量的特性，完成特定应用层协议的交互过程和协议内容的模拟，并满足IGbps信道的测试需求。