文件完整性检查系统具有相当的灵活性，可以配置成为监测系统中所有文件或某些重要文件。

　　当一个入侵者攻击系统时，他会干两件事，首先，他要掩盖他的踪迹，即他要通过更改系统中的可执行文件、库文件或日志文件来隐藏他的活动；其它，他要作一些改动保证下次能够继续入侵。这两种活动都能够被文件完整性检查系统检测出。

　　文件完整性检查系统的弱点

　　文件完整性检查系统依赖于本地的文摘数据库。与日志文件一样，这些数据可能被入侵者修改。当一个入侵者取得管理员权限后，在完成破坏活动后，可以运行文件完整性检查系统更新数据库，从而瞒过系统管理员。当然，可以将文摘数据库放在只读的介质上，但这样的配置不够灵活性。

　　做一次完整的文件完整性检查是一个非常耗时的工作，在Tripwire中，在需要时可选择检查某些系统特性而不是完全的摘要，从而加快检查速度。

　　系统有些正常的更新操作可能会带来大量的文件更新，从而产生比较繁杂的检查与分析工作，如，在Windows NT系统中升级MS-Outlook将会带来1800多个文件变化。

　　入侵检测技术分析

　　执行动作 Action

　　在大多数的IDS程序中，你可以为规则赋予动作。在你定义规则时，通常必须考虑将规则实施到网络上的时机和方式。一项规则的其它元素包括：

　　·需要保护的主机。你可以指定某台主机或某一范围内的主机。

　　·需要做日志记录的和禁止的主机。你可以指定某台主机或某一范围内的主机。

　　·实施策略的时间段

　　·事件的描述

　　·对发生的事件如何反应，包括：

　　·重新配置防火墙

　　·阻塞特定的TCP连接日志记录机制

　　·邮件，传真，电话提示

　　·启动其它程序来阻止攻击

　　·SNMP陷阱

　　IDS程序要求你先建立规则，进而赋予动作。你可以自己定义规则。然而，大多数的IDS厂商已经设想了许多场景。这并不意味着你不需要建立自己的规则或编辑已经存在的规则来确保它们符合你的需求。

　　误报

　　如同实施防火墙，IDS也需要仔细地设置。否则，你将收到并不实际存在的攻击和问题的报告。误报“false positive”就是指这种不准确的报告。

　　然而，完全忽略误报是不明智的。IDS程序有时候会检测到一些非法的网络活动，即使并没有对这些活动定义规则。例如，许多IDS系统会报告说存在过多的与NetBus和某些UNIX的root kit相关的SYN连接。虽然你需要对误报引起重视，但你还必须培养识别何时忽略误报何时认真对待它们的能力。网络级的IDS更容易发生误报情况，尤其在它们被配置成检测对某些主机的攻击时，例如NetBus，密码攻击等等。
　入侵检测产品选择要点

　　当您选择入侵检测系统时，要考虑的要点有：

　　1. 系统的价格

　　当然，价格是必需考虑的要点，不过，性能价格比、以及要保护系统的价值可是更重要的因素。

　　2. 特征库升级与维护的费用

　　象反病毒软件一样，入侵检测的特征库需要不断更新才能检测出新出现的攻击方法。

　　3. 对于网络入侵检测系统，最大可处理流量(包/秒 PPS)是多少

　　首先，要分析网络入侵检测系统所布署的网络环境，如果在512K或2M专线上布署网络入侵检测系统，则不需要高速的入侵检测引擎，而在负荷较高的环境中，性能是一个非常重要的指标。

　　4. 该产品容易被躲避吗

　　有些常用的躲开入侵检测的方法，如：分片、TTL欺骗、异常TCP分段、慢扫描、协同攻击等。

　　5. 产品的可伸缩性

　　系统支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的处理。

　　6. 运行与维护系统的开销

　　产品报表结构、处理误报的方便程度、事件与事志查询的方便程度以及使用该系统所需的技术人员数量。

7. 产品支持的入侵特征数

　　不同厂商对检测特征库大小的计算方法都不一样，所以不能偏听一面之辞。

　　8. 产品有哪些响应方法

　　要从本地、远程等多个角度考察。自动更改防火墙配置是一个听上去很“酷”的功能，但是，自动配置防火墙可是一个极为危险的举动。

　　9. 是否通过了国家权威机构的评测
　　主要的权威测评机构有：国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心。

　　入侵检测技术发展方向

　　无论从规模与方法上入侵技术近年来都发生了变化。入侵的手段与技术也有了“进步与发展”。入侵技术的发展与演化主要反映在下列几个方面：

　　入侵或攻击的综合化与复杂化。入侵的手段有多种，入侵者往往采取一种攻击手段。由于网络防范技术的多重化，攻击的难度增加，使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手段，以保证入侵的成功几率，并可在攻击实施的初期掩盖攻击或入侵的真实目的。

　　入侵主体对象的间接化，即实施入侵与攻击的主体的隐蔽化。通过一定的技术，可掩盖攻击主体的源地址及主机位置。即使用了隐蔽技术后，对于被攻击对象攻击的主体是无法直接确定的。

　　入侵或攻击的规模扩大。对于网络的入侵与攻击，在其初期往往是针对于某公司或一个网站，其攻击的目的可能为某些网络技术爱好者的猎奇行为，也不排除商业的盗窃与破坏行为。由于战争对电子技术与网络技术的依赖性越来越大，随之产生、发展、逐步升级到电子战与信息战。对于信息战，无论其规模与技术都与一般意义上的计算机网络的入侵与攻击都不可相提并论。信息战的成败与国家主干通信网络的安全是与任何主权国家领土安全一样的国家安全。

　　入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单机执行。由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝服务（DDoS）在很短时间内可造成被攻击主机的瘫痪。且此类分布式攻击的单机信息模式与正常通信无差异，所以往往在攻击发动的初期不易被确认。分布式攻击是近期最常用的攻击手段。

　　攻击对象的转移。入侵与攻击常以网络为侵犯的主体，但近期来的攻击行为却发生了策略性的改变，由攻击网络改为攻击网络的防护系统，且有愈演愈烈的趋势。现已有专门针对IDS作攻击的报道。攻击者详细地分析了IDS的审计方式、特征描述、通信模式找出IDS的弱点，然后加以攻击。

　　今后的入侵检测技术大致可朝下述三个方向发展。

　　分布式入侵检测

　　第一层含义，即针对分布式网络攻击的检测方法；第二层含义即使用分布式的方法来检测分布式的攻击，其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。

　　智能化入侵检测

　　即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法，这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统也是常用的方法之一。特别是具有自学习能力的专家系统，实现了知识库的不断更新与扩展，使设计的入侵检测系统的防范能力不断增强，应具有更广泛的应用前景。应用智能体的概念来进行入侵检测的尝试也已有报道。较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软件或模块的结合使用。

　　全面的安全防御方案

　　即使用安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估，然后提出可行的全面解决方案。
　　基于内核的入侵检测

　　基于内核的入侵检测是一种相当巧妙的新型的Linux入侵检测系统。现在最主要的基于内核的入侵检测系统叫做LIDS。