网络入侵检测系统(NIDS)在实际网络环境应用中遇到的常见问题是：发现大量的报警和日志时，无法确定实际的攻击行为和来源。这是为什么？用户又该如何扭转这一局面呢？请听本文分解。

    在一些企业安全应用中，常常出现这样的问题，往往应用了IDS产品，还是不能立刻发现非法入侵行径，因为报警事件太多了，缺乏经验的网络管理员，难以从纷繁复杂的报警中准确识别出真正的攻击。

    恶意攻击难识别

    在网络管理员无法判断恶意攻击的众多案例中，我们发现报警多只是出现攻击的一种表象，并不意味着这些攻击都是致命的。

    非攻击行为的报警事件众多

    IDS产品针对网络中的入侵、病毒、信息收集及异常数据包进行分析并显示告知网络管理员，在实际网络环境中，各种邮件病毒、网络广播、网络状态探测数据包众多，往往会掩盖相对为数较少的真正发起攻击的报警信息。而恰恰这些真正的攻击行为才是最为危险的。

    报警信息淹没真正的攻击行为

    在有的IDS产品中，我们可能会看到同样的报警信息、同样的源IP和目的IP连续出现几百次甚至上千次，完全淹没了其他报警信息，最终可能导致日志数据库崩溃。

    出现不应有的报警

    企业内部网络中的网站是IIS服务器，在IDS中却出现了Apache远程溢出攻击字样。这真的是一次攻击吗？网络管理员该如何处理？日志报告又该怎么解释？

    攻击是否真正成功

    网络非法入侵事件可能成功也可能失败 ......