請問IDS的運用 - 資安

前輩們好~^^
目前學習IDS一陣子了(工具為Snort)
才發現之前在網路上看到 "IDS是需要經驗的" 這句話是真的...

像目前擷取到一些偵測到的資料
雖然數目不大...但是不知道要怎麼下手
不知道怎麼 "歸納出有用的分析資料"

現在只會把資料撈出
先看一下有沒有高危險的alert
再把這個ip的資料撈出來看一看
不過看完後 也完全不知道要做什麼.....

所以想請問各位前輩~ IDS可不可以結合資料探勘技術
然後配合這自動化整合出來的資料 再去做一些動作呢

==========================================================
* 整理一下我的疑問XD
(1) IDS怎麼結合資料探勘? : 因為我覺得似乎哪裡可以用到
不過搜尋了一些資料探勘實用的案例...還是想不出來如何用在IDS擷取到的資訊

(2) 用以上的方式分析出來的資料 能做那些動作呢 : 我只能想到若判定為高危險度
的ip, 則加入rule 紀錄這個ip的所有封包


麻煩前輩們分享你們的經驗~~~謝謝~~~~

--