用專家系統對入侵進行檢測，經常是針對有特征入侵行為。所謂的規則，即是知識，不同的系統與設置具有不同的規則，且規則之間往往無通用性。專家系統的建立依賴于知識庫的完備性，知識庫的完備性又取決于審計記錄的完備性與實時性。入侵的特征抽取與表達，是入侵檢測專家系統的關鍵。在系統實現中，將有關入侵的知識轉化為if-then結構（也可以是復合結構），條件部分為入侵特征，then部分是系統防范措施。運用專家系統防范有特征入侵行為的有效性完全取決于專家系統知識庫的完備性。

　　文件完整性檢查

　　文件完整性檢查系統檢查計算機中自上次檢查后文件變化情況。文件完整性檢查系統保存有每個文件的數字文摘數據庫，每次檢查時，它重新計算文件的數字文摘并將它與數據庫中的值相比較，如不同，則文件已被修改，若相同，文件則未發生變化。

　　文件的數字文摘通過Hash函數計算得到。不管文件長度如何，它的Hash函數計算結果是一個固定長度的數字。與加密算法不同，Hash算法是一個不可逆的單向函數。采用安全性高的Hash算法，如MD5、SHA時，兩個不同的文件幾乎不可能得到相同的Hash結果。從而，當文件一被修改，就可檢測出來。在文件完整性檢查中功能最全面的當屬Tripwire。

　　文件完整性檢查系統的優點

　　從數學上分析，攻克文件完整性檢查系統，無論是時間上還是空間上都是不可能的。文件完整性檢查系統是非常強勁的檢測文件被修改的工具。實際上，文件完整性檢查系統是一個檢測系統被非法使用的最重要的工具之一。

　　文件完整性檢查系統具有相當的靈活性，可以配置成為監測系統中所有文件或某些重要文件。

　　當一個入侵者攻擊系統時，他會干兩件事，首先，他要掩蓋他的蹤跡，即他要通過更改系統中的可執行文件、庫文件或日志文件來隱藏他的活動；其它，他要作一些改動保證下次能夠繼續入侵。這兩種活動都能夠被文件完整性檢查系統檢測出。

　　文件完整性檢查系統的弱點

　　文件完整性檢查系統依賴于本地的文摘數據庫。與日志文件一樣，這些數據可能被入侵者修改。當一個入侵者取得管理員權限后，在完成破壞活動后，可以運行文件完整性檢查系統更新數據庫，從而瞞過系統管理員。當然，可以將文摘數據庫放在只讀的介質上，但這樣的配置不夠靈活性。

　　做一次完整的文件完整性檢查是一個非常耗時的工作，在Tripwire中，在需要時可選擇檢查某些系統特性而不是完全的摘要，從而加快檢查速度。

　　系統有些正常的更新操作可能會帶來大量的文件更新，從而產生比較繁雜的檢查與分析工作，如，在Windows NT系統中升級MS-Outlook將會帶來1800多個文件變化。

　　入侵檢測技術分析

　　執行動作 Action

　　在大多數的IDS程序中，你可以為規則賦予動作。在你定義規則時，通常必須考慮將規則實施到網絡上的時機和方式。一項規則的其它元素包括：

　　·需要保護的主機。你可以指定某臺主機或某一范圍內的主機。
　　·需要做日志記錄的和禁止的主機。你可以指定某臺主機或某一范圍內的主機。
　　·實施策略的時間段
　　·事件的描述
　　·對發生的事件如何反應，包括：
　　·重新配置防火墻
　　·阻塞特定的TCP連接日志記錄機制
　　·郵件，傳真，電話提示
　　·啟動其它程序來阻止攻擊
　　·SNMP陷阱

　　IDS程序要求你先建立規則，進而賦予動作。你可以自己定義規則。然而，大多數的IDS廠商已經設想了許多場景。這并不意味著你不需要建立自己的規則或編輯已經存在的規則來確保它們符合你的需求。

　　誤報

　　如同實施防火墻，IDS也需要仔細地設置。否則，你將收到并不實際存在的攻擊和問題的報告。誤報“false positive”就是指這種不準確的報告。

　　然而，完全忽略誤報是不明智的。IDS程序有時候會檢測到一些非法的網絡活動，即使并沒有對這些活動定義規則。例如，許多IDS系統會報告說存在過多的與NetBus和某些UNIX的root kit相關的SYN連接。雖然你需要對誤報引起重視，但你還必須培養識別何時忽略誤報何時認真對待它們的能力。網絡級的IDS更容易發生誤報情況，尤其在它們被配置成檢測對某些主機的攻擊時，例如NetBus，密碼攻擊等等。