你刚刚问了一个对检测有巨大影响的最具决定性的问题。最好地微调 IDS 是一项乏味（相当有趣）且持续的全职工作，尤其是在大型网络中。

一般规则

• 很重要。非常了解您的环境！这个要求没有任何借口。您必须知道您要保护的内容、网络范围、应用程序、应用程序如何运行以及在其上开发 - 包括 Web 服务器类型（iis、apache 等）、操作系统（Linux、windows、Cisco 等）、技术（asp、php、java 等）、其他产品（erp、数据库等），最重要的是什么类型的数据（ssn、银行信息、PII 等）。
• 研究并编制所有上述信息的列表，以及它们所在的适当网段。它会为您提供您真正需要的签名的清晰地图，如果您的所有 Web 服务器都运行带有 ASP .net 的 IIS，那么就没有必要了php 签名。如果您是一家银行，那么您希望打开大多数数据泄漏签名，您将必须对您需要的规则类型进行分类和排序。
• 让端口扫描、恶意活动、主要蠕虫/病毒等标准签名在 IDS 上处于活动状态，它们总是有帮助的。
• 定期改进和更新列表，跟踪环境变化，将新添加的软件/应用程序添加到最新的签名列表中，然后选择任何新的签名更新。