在你学习如何为网络挑选产品时，需要明确管理者和代理的通信方式。大多数的ids程序要求你首先和管理者通信，然后管理者会查询代理。

　　通常，管理者和代理在通信时使用一种公钥加密。例如，axent的产品使用400位长diffie-helman加密。标准的ssl会话使用128位的加密。比较这两种标准，你可以发现大多数的ids厂商都采用安全的通信。

　　有些老的主机级的产品采用明文或经过非常弱地加密的会话。这种功能很具讽刺意味，由于明文传输易遭受hijacking和man-in-the-middle攻击，这样会严重地破坏你监测和保护网络安全。

　　有些管理者可以和其它管理者通信。这种管理者之间的通信可以节省带宽并减轻你的管理负担。通过使用组织结构有可能避免这种通信。例如，axent intruder alert（ita）使用被称作domain的层次结构来组织代理。

　　审计管理者和代理的通信

　　作为审计人员，你应该对用户名和密码进行核实，而不应保留缺省设置。同时，你还要确保通信要经过加密和尽可能的安全。

　　混合入侵检测

　　基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单纯使用一类产品会造成主动防御体系不全面。但是，它们的缺憾是互补的。如果这两类产品能够无缝结合起来部署在网络内，则会构架成一套完整立体的主动防御体系，综合了基于网络和基于主机两种结构特点的入侵检测系统，既可发现网络中的攻击信息，也可从系统日志中发现异常情况。

　　规则

　　就像应用防火墙，你必须为ids建立规则。大多数的ids程序都有预先定义好的规则。你最好编辑已有的规则并且增加新的规则来为网络提供最佳的保护。通常建立的规则有两大类：网络异常和网络误用。企业级的ids通常可以实施上百条规则。

　　不同厂商在使用审计的术语时有所差别。例如，etrust intrusion detection用“rules”来讨论安全审计的规则，而intruder alert却使用“policies”。你将会了解到intruder alert使用“policies”时意味更深远，它允许你为个别策略建立规则。因此，在理解各个厂商的产品时，不要被术语所迷惑。

　　网络异常的监测

　　ids程序会报告协议级别的异常情况。如果配置正确的话，它可以提示你有关netbus，teardrop或smurf攻击。例如，如果存在过多的syn连接，ids程序会向你报警。

　　网络误用监测

　　网络误用包括非工作目的的web浏览，安装未授权的服务（如war ftp服务），和玩儿游戏（如doom或quake）。你可以对其进行日志记录，阻塞流量或主动地制止。例如，你可以利用程序实施反击或设置“dummy”系统或网络进行诱导。

　　网络误用是物理的，操作系统的或远程攻击的结果。物理攻击包括偷取硬盘或物理操纵机器来获取信息。操作系统攻击指经过验证的用户试图获得root的访问权限。远程攻击指攻击者通过网络来攻击设备。

　　常用检测方法

　　入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告，国内送检的入侵检测产品中95％是属于使用入侵模板进行模式匹配的特征检测产品，其他5％是采用概率统计的统计检测产品与基于日志的专家知识库系产品。

　　特征检测

　　特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。

　　统计检测

　　统计模型常用异常检测，在统计模型中常用的测量参数包括：审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测5种统计模型为：

　　1、操作模型，该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到，举例来说，在短时间内的多次失败的登录很有可能是口令尝试攻击；

　　2、方差，计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常；

　　3、多元模型，操作模型的扩展，通过同时分析多个参数实现检测；

　　4、马尔柯夫过程模型，将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事件；

　　5、时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。

　　统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵检测系统。