当前各种入侵检测产品产生的报警，往往都需要经过人工分析，才能筛选掉出重点关注事件。分析步骤一般如下：

　　1. 对事件本身的性质进行判断。大多数IDS产品都能对ping、tcp连接等事件进行报警，一般情况下安全级别较低的报警不需要关注，如果有大量报警产生的话，确认一下是否是正常业务产生即可。

　　2. 通过结合网络环境来判断。首先需要确定攻击对象和攻击者的性质、在网络中的位置。比如SNMP查询这样的事件，需要确认源地址是否正常的网管软件，如果就是合法的网管软件在工作，这样的事件就不需要继续关注了，如果不是则需要确认是错误地配置了网管软件还是被控制来扫描了。而对于攻击对象需要确认漏洞是否真实存在。

　　3. 这个攻击是否流行。如果攻击针对的漏洞是几年前出现的，这样攻击的威胁成都就比较低。

　　4. 是否是特定关注，比如有些网络中不允许出现网络共享，因此如果出现针对网络共享的攻击必定需要仔细核实。

　　从以上步骤可以看出人工分析事件的时候，需要结合多个维度的信息进行分析。据了解，作为入侵检测产品领头羊的启明星辰公司正在研发新一代的入侵检测产品，结合其多年产品研发经验和对大量客户使用过程的研究，将实现对报警的智能分析系统，抑制海量事件，突出展现重点关注事件，必将推动行业向智能化方法发展。