在你學習如何為網絡挑選產品時，需要明確管理者和代理的通信方式。大多數的IDS程序要求你首先和管理者通信，然后管理者會查詢代理。

　　通常，管理者和代理在通信時使用一種公鑰加密。例如，Axent的產品使用400位長Diffie-Helman加密。標準的SSL會話使用128位的加密。比較這兩種標準，你可以發現大多數的IDS廠商都采用安全的通信。

　　有些老的主機級的產品采用明文或經過非常弱地加密的會話。這種功能很具諷刺意味，由于明文傳輸易遭受hijacking和Man-in-the-middle攻擊，這樣會嚴重地破壞你監測和保護網絡安全。

　　有些管理者可以和其它管理者通信。這種管理者之間的通信可以節省帶寬并減輕你的管理負擔。通過使用組織結構有可能避免這種通信。例如，Axent Intruder Alert（ITA）使用被稱作domain的層次結構來組織代理。

　　審計管理者和代理的通信

　　作為審計人員，你應該對用戶名和密碼進行核實，而不應保留缺省設置。同時，你還要確保通信要經過加密和盡可能的安全。

　　混合入侵檢測

　　基于網絡的入侵檢測產品和基于主機的入侵檢測產品都有不足之處，單純使用一類產品會造成主動防御體系不全面。但是，它們的缺憾是互補的。如果這兩類產品能夠無縫結合起來部署在網絡內，則會構架成一套完整立體的主動防御體系，綜合了基于網絡和基于主機兩種結構特點的入侵檢測系統，既可發現網絡中的攻擊信息，也可從系統日志中發現異常情況。

　　規則

　　就像應用防火墻，你必須為IDS建立規則。大多數的IDS程序都有預先定義好的規則。你最好編輯已有的規則并且增加新的規則來為網絡提供最佳的保護。通常建立的規則有兩大類：網絡異常和網絡誤用。企業級的IDS通常可以實施上百條規則。

　　不同廠商在使用審計的術語時有所差別。例如，eTrust Intrusion Detection用“rules”來討論安全審計的規則，而Intruder Alert卻使用“policies”。你將會了解到Intruder Alert使用“policies”時意味更深遠，它允許你為個別策略建立規則。因此，在理解各個廠商的產品時，不要被術語所迷惑。

　　網絡異常的監測

　　IDS程序會報告協議級別的異常情況。如果配置正確的話，它可以提示你有關NetBus，Teardrop或Smurf攻擊。例如，如果存在過多的SYN連接，IDS程序會向你報警。

　　網絡誤用監測

　　網絡誤用包括非工作目的的Web瀏覽，安裝未授權的服務（如WAR FTP服務），和玩兒游戲（如Doom或Quake）。你可以對其進行日志記錄，阻塞流量或主動地制止。例如，你可以利用程序實施反擊或設置“dummy”系統或網絡進行誘導。

　　網絡誤用是物理的，操作系統的或遠程攻擊的結果。物理攻擊包括偷取硬盤或物理操縱機器來獲取信息。操作系統攻擊指經過驗證的用戶試圖獲得root的訪問權限。遠程攻擊指攻擊者通過網絡來攻擊設備。

　　常用檢測方法

　　入侵檢測系統常用的檢測方法有特征檢測、統計檢測與專家系統。據公安部計算機信息系統安全產品質量監督檢驗中心的報告，國內送檢的入侵檢測產品中95％是屬于使用入侵模板進行模式匹配的特征檢測產品，其他5％是采用概率統計的統計檢測產品與基于日志的專家知識庫系產品。

　　特征檢測

　　特征檢測對已知的攻擊或入侵的方式作出確定性的描述，形成相應的事件模式。當被審計的事件與已知的入侵事件模式相匹配時，即報警。原理上與專家系統相仿。其檢測方法上與計算機病毒的檢測方式類似。目前基于對包特征描述的模式匹配應用較為廣泛。該方法預報檢測的準確率較高，但對于無經驗知識的入侵與攻擊行為無能為力。

　　統計檢測

　　統計模型常用異常檢測，在統計模型中常用的測量參數包括：審計事件的數量、間隔時間、資源消耗情況等。常用的入侵檢測5種統計模型為：

　　1、操作模型，該模型假設異常可通過測量結果與一些固定指標相比較得到，固定指標可以根據經驗值或一段時間內的統計平均得到，舉例來說，在短時間內的多次失敗的登錄很有可能是口令嘗試攻擊；

　　2、方差，計算參數的方差，設定其置信區間，當測量值超過置信區間的范圍時表明有可能是異常；

　　3、多元模型，操作模型的擴展，通過同時分析多個參數實現檢測；

　　4、馬爾柯夫過程模型，將每種類型的事件定義為系統狀態，用狀態轉移矩陣來表示狀態的變化，當一個事件發生時，或狀態矩陣該轉移的概率較小則可能是異常事件；

　　5、時間序列分析，將事件計數與資源耗用根據時間排成序列，如果一個新事件在該時間發生的概率較低，則該事件可能是入侵。

　　統計方法的最大優點是它可以“學習”用戶的使用習慣，從而具有較高檢出率與可用性。但是它的“學習”能力也給入侵者以機會通過逐步“訓練”使入侵事件符合正常操作的統計規律，從而透過入侵檢測系統。