IDS作为对网络攻击检测的产品，检测的全面性毫无疑问是其重要指标。而特征库是IDS的检测核心部分，因而很多时候检测的全面性被简化为特征库的数量，出现在招标要求或者产品的指标中。而另一个方面，同一个网络数据包，在有的网络环境下是威胁，而在有的网络环境下则是完全正常的行为，这样就只有将这样的行为都定义在默认的特征库中，因此通 常情况下特征库中会出现“Ping”、“HTTP连接”甚至“TCP连接”这样的事件。这样事件还是非常容易区分，然而很多事件却没有那么直截了当，比如说SNMP(简单网络管理协议)查询。SNMP是使用得很普遍的协议，通常用于集中的网络管理软件管理多台设备，用于获取设备的信息，甚至可以用来控制设备。也正是由于这个原因，攻击者也常利用SNMP协议来获取目标的信息，从而到达进一步攻击的目的或者直接利用SNMP的功能控制设备。这样网络管理员只有将这样的特征都包含在检测策略中。几乎所有的IDS都是仅从网络数据包进行分析，当IDS检测到网络中存在SNMP查询时，是无法分辨到底是正常的网络管理软件还是攻击者在收集信息，只能报警存在扫描行为甚至给出具体的每次查询报警。

　　同样的情况还包括正常的漏洞管理软件与恶意的扫描、大量的连接与DDoS攻击、一些特殊的应用等情况。通常情况下，网络中的每台主机每分钟会产生一条事件，如果网络中有五百台主机的话，一个星期产生的日志将达到五百万条报警。很显然处理这样数量的事件是一个艰巨的任务。