问：我的公司即将推行使用人工智能软件入侵检测系统（如Snort，用于Windows系统）。你能告诉我如何训练入侵检测系统吗（我的神经网络或遗传算法）？

　　答：入侵检测系统（IDS）可以被用来检查网络/主机的活动。入侵检测系统可以识别可疑流量和异常情况。IDS的作用有些类似保安。正如保安监控人们的活动一样，IDS可以监视网络上面的活动。和保安不一样的地方是，IDS不需要入眠或打电话请假。但并不意味着他们不会犯错误。任何技术系统都有其局限性，IDS也不例外。

　　IDS可以通过签字的方式或异常情况来工作。Snort，是一种基于签名的入侵检测系统。Snort比对这些通过管理员提供的一套规则而获取的数据包。Snort的规则可以用来匹配特定签名或误用。Snort的规则是由两个基本部分组成，包括规则头和规则选项。下面是一个规则检查的示例：

　　警告tcp any any -> any 80（内容：“恶意软件”；信息：“恶意软件的网站访问”）

　　因此，训练Snort，你需要加载一套规则。这些规则通常被用来检测诸如以下的各类攻击：

　　•破坏系统或网络运作的事件

　　•个人安全漏洞探测

　　•企图窃取根或者通过非标准方法窃取管理员权限

　　•安装或执行任何有关后门或特洛伊木马的程序

　　你可以创建自己的简单规则或者从Snort.org这样的网站下载预编译的规则。如果你选择支付订阅费，一旦新的规则通过验证并释放，你便可以从Sourcefire上面获得这些最新规则。如果你在缩紧预算，你也可以免费获得，但你必须等他们发行给付费用户的五年后。如果你需要更多有关配置基于签名信息的入侵检测系统，那么请阅读我即将出版的新书：建立自己的网络安全实验室。如果你对基于异常的入侵检测训练有兴趣，ISS和其他供应厂会提供于他们的产品相关的详细培训。