入侵检测系统已经被网络建设和管理人员所熟知，一个大型网络为了加强自身网络安全，通常都会部署入侵检测系统，通过多个“探头”实时监控重要网段状况，利用集中管理的中央控制台对所有“探头”进行管理。然而网络管理员(或网络安全管理员，下面简称网管)面对控制台上不断滚动的告警信息，却经常显得无所适从。往往忙活半天对一条条告警信息进行追查后，却发现是误报；而面对不断滚动的报警信息不能及时从中发现攻击事件又会导致漏报。所以有些网管人员经过一番试用后，甚至放弃了对入侵检测系统的使用。

    其实网管人员大可不必这么手足无措，要认真了解入侵检测系统的检测机制，然后根据本地网络环境的情况，利用入侵检测系统提供的配置管理机制，对入侵检测系统进行适当的配置、调整，就会使入侵检测系统变得得心应手，就像新车需经过一段时间的磨合一样，入侵检测系统经过一段时间的“磨合”期后，肯定会成为您手中的得力工具。

    现在市场上比较常见的是基于网络的入侵检测系统，以下讨论都是针对网络入侵检测系统展开。网络入侵检测系统的检测机制通常是监听网络流量，并按照目标系统的方式正常还原流量，分析其中的攻击迹象，对分析出的攻击行为进行报警。然而，一直困扰安全厂商和网管的矛盾是，误报率和漏报率的权衡。对一些不具特别明显特征的攻击行为，或者是一个范围特征值的攻击行为，对规则的编写是一个考验，如果检测条件限制严格，检测会更加准确但可能漏过一些攻击，这样就降低了误报率而提升了漏报率；而放松检测条件，就能够抓到几乎所有的攻击行为，但可能导致一些误报，这样就降低了漏报率而提升了误报率。

    通常安全厂商针对这种情况 ......