IDS防火牆無法發現的威脅,入侵檢測系統善于捕獲已知的顯式惡意攻擊。而一些專家會說,一個正确定義的ids可以捕獲任何安全威脅,包括事實上最難發現和預防的濫用事件。例如,如果外部黑客使用社會工程技術獲得CEO密碼,許多入侵檢測系統将不會注意到。如果站點管理者無意中向世界公共目錄提供機密檔案,ids将不會注意到。如果攻擊者使用預設密碼管理帳戶,則應在系統安裝後更改賬戶,而入侵檢測系統很少注意到。如果黑客進入網絡并複制秘密檔案,id也很難被注意到。這并不是說ids不能用來檢測前面提到的每一個錯誤事件,但是它們比直接攻擊更難檢測。攻擊者繞過ids的最有效方法是在許多層(第二、第三和第七層)中加密資料。例如,使用openssh或ssl可以加密大多數資料,而使用ipsec可以在傳輸過程中加密通信量。
IDS發展曆程,第一代ids專注于精确的攻擊檢測。第二代ids通過背景可用的選項數組檢測攻擊,并緻力于簡化管理者操作。它們提供直覺的最終使用者界面、入侵防範、集中式裝置管理、事件關聯和資料分析。第二代ids不僅檢測攻擊,而且對攻擊進行排序、塊,并試圖從其中尋找盡可能多的值,除了檢測。有經驗的ids系統管理者知道ids的一半成功或失敗是由耗時、複雜和技術性的工作組成的。抓住正在進行攻擊的黑客總是令人興奮的,因為它是窺視者,是以第一次實作者經常花費大量時間學習和實作檢測模式。盡管他們這樣做,但他們往往做得更少或忽略設定管理功能、配置資料庫和列印報告。因為他們沒有事先的計劃,是以很快就要打開他們的ids了。
為了增加您成功部署ids的機會,請記住,需要一個小時來規劃和配置日志、報告和分析工具找到檢測特性。類型和測試模型id的選擇取決于要保護的資産,而ids可以保護主機或網絡。所有入侵檢測系統都遵循兩個入侵檢測模型異常(也稱為配置檔案、行為、啟發式或統計)檢測或簽名(基于知識的)檢測,最後一點提醒大家,畢竟軟體和人工服務有差距,最好還是找網站安全公司來處理網站被攻擊的問題。