當(dāng)您選擇入侵檢測系統(tǒng)時，要考慮的要點有：

　　1. 系統(tǒng)的價格

　　當(dāng)然，價格是必需考慮的要點，不過，性能價格比、以及要保護(hù)系統(tǒng)的價值可是更重要的因素。

　　2. 特征庫升級與維護(hù)的費用

　　象反病毒軟件一樣，入侵檢測的特征庫需要不斷更新才能檢測出新出現(xiàn)的攻擊方法。

　　3. 對于網(wǎng)絡(luò)入侵檢測系統(tǒng)，最大可處理流量(包/秒 PPS)是多少

　　首先，要分析網(wǎng)絡(luò)入侵檢測系統(tǒng)所布署的網(wǎng)絡(luò)環(huán)境，如果在512K或2M專線上布署網(wǎng)絡(luò)入侵檢測系統(tǒng)，則不需要高速的入侵檢測引擎，而在負(fù)荷較高的環(huán)境中，性能是一個非常重要的指標(biāo)。

　　4. 該產(chǎn)品容易被躲避嗎

　　有些常用的躲開入侵檢測的方法，如：分片、TTL欺騙、異常TCP分段、慢掃描、協(xié)同攻擊等。

　　5. 產(chǎn)品的可伸縮性

　　系統(tǒng)支持的傳感器數(shù)目、最大數(shù)據(jù)庫大小、傳感器與控制臺之間通信帶寬和對審計日志溢出的處理。

　　6. 運行與維護(hù)系統(tǒng)的開銷

　　產(chǎn)品報表結(jié)構(gòu)、處理誤報的方便程度、事件與事志查詢的方便程度以及使用該系統(tǒng)所需的技術(shù)人員數(shù)量。

　　7. 產(chǎn)品支持的入侵特征數(shù)

　　不同廠商對檢測特征庫大小的計算方法都不一樣，所以不能偏聽一面之辭。

　　8. 產(chǎn)品有哪些響應(yīng)方法

　　要從本地、遠(yuǎn)程等多個角度考察。自動更改防火墻配置是一個聽上去很“酷”的功能，但是，自動配置防火墻可是一個極為危險的舉動。

　　9. 是否通過了國家權(quán)威機構(gòu)的評測

　　主要的權(quán)威測評機構(gòu)有：國家信息安全測評認(rèn)證中心、公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心。

　　入侵檢測技術(shù)發(fā)展方向

　　無論從規(guī)模與方法上入侵技術(shù)近年來都發(fā)生了變化。入侵的手段與技術(shù)也有了“進(jìn)步與發(fā)展”。入侵技術(shù)的發(fā)展與演化主要反映在下列幾個方面：

　　入侵或攻擊的綜合化與復(fù)雜化。入侵的手段有多種，入侵者往往采取一種攻擊手段。由于網(wǎng)絡(luò)防范技術(shù)的多重化，攻擊的難度增加，使得入侵者在實施入侵或攻擊時往往同時采取多種入侵的手段，以保證入侵的成功幾率，并可在攻擊實施的初期掩蓋攻擊或入侵的真實目的。

　　入侵主體對象的間接化，即實施入侵與攻擊的主體的隱蔽化。通過一定的技術(shù)，可掩蓋攻擊主體的源地址及主機位置。即使用了隱蔽技術(shù)后，對于被攻擊對象攻擊的主體是無法直接確定的。

　　入侵或攻擊的規(guī)模擴大。對于網(wǎng)絡(luò)的入侵與攻擊，在其初期往往是針對于某公司或一個網(wǎng)站，其攻擊的目的可能為某些網(wǎng)絡(luò)技術(shù)愛好者的獵奇行為，也不排除商業(yè)的盜竊與破壞行為。由于戰(zhàn)爭對電子技術(shù)與網(wǎng)絡(luò)技術(shù)的依賴性越來越大，隨之產(chǎn)生、發(fā)展、逐步升級到電子戰(zhàn)與信息戰(zhàn)。對于信息戰(zhàn)，無論其規(guī)模與技術(shù)都與一般意義上的計算機網(wǎng)絡(luò)的入侵與攻擊都不可相提并論。信息戰(zhàn)的成敗與國家主干通信網(wǎng)絡(luò)的安全是與任何主權(quán)國家領(lǐng)土安全一樣的國家安全。

　　入侵或攻擊技術(shù)的分布化。以往常用的入侵與攻擊行為往往由單機執(zhí)行。由于防范技術(shù)的發(fā)展使得此類行為不能奏效。所謂的分布式拒絕服務(wù)（DDoS）在很短時間內(nèi)可造成被攻擊主機的癱瘓。且此類分布式攻擊的單機信息模式與正常通信無差異，所以往往在攻擊發(fā)動的初期不易被確認(rèn)。分布式攻擊是近期最常用的攻擊手段。

　　攻擊對象的轉(zhuǎn)移。入侵與攻擊常以網(wǎng)絡(luò)為侵犯的主體，但近期來的攻擊行為卻發(fā)生了策略性的改變，由攻擊網(wǎng)絡(luò)改為攻擊網(wǎng)絡(luò)的防護(hù)系統(tǒng)，且有愈演愈烈的趨勢。現(xiàn)已有專門針對IDS作攻擊的報道。攻擊者詳細(xì)地分析了IDS的審計方式、特征描述、通信模式找出IDS的弱點，然后加以攻擊。

　　今后的入侵檢測技術(shù)大致可朝下述三個方向發(fā)展。

　　分布式入侵檢測

　　第一層含義，即針對分布式網(wǎng)絡(luò)攻擊的檢測方法；第二層含義即使用分布式的方法來檢測分布式的攻擊，其中的關(guān)鍵技術(shù)為檢測信息的協(xié)同處理與入侵攻擊的全局信息的提取。

　　智能化入侵檢測

　　即使用智能化的方法與手段來進(jìn)行入侵檢測。所謂的智能化方法，現(xiàn)階段常用的有神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等方法，這些方法常用于入侵特征的辨識與泛化。利用專家系統(tǒng)的思想來構(gòu)建入侵檢測系統(tǒng)也是常用的方法之一。特別是具有自學(xué)習(xí)能力的專家系統(tǒng)，實現(xiàn)了知識庫的不斷更新與擴展，使設(shè)計的入侵檢測系統(tǒng)的防范能力不斷增強，應(yīng)具有更廣泛的應(yīng)用前景。應(yīng)用智能體的概念來進(jìn)行入侵檢測的嘗試也已有報道。較為一致的解決方案應(yīng)為高效常規(guī)意義下的入侵檢測系統(tǒng)與具有智能檢測功能的檢測軟件或模塊的結(jié)合使用。

　　全面的安全防御方案

　　即使用安全工程風(fēng)險管理的思想與方法來處理網(wǎng)絡(luò)安全問題，將網(wǎng)絡(luò)安全作為一個整體工程來處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護(hù)、入侵檢測多方位全面對所關(guān)注的網(wǎng)絡(luò)作全面的評估，然后提出可行的全面解決方案。