圖2-2、圖2-3按照三類標(biāo)準(zhǔn)(有效性、界面及適用性)對(duì)6個(gè)早期系統(tǒng)進(jìn)行了比較。圖中方框的作用是描述功能,黑框表示具有某項(xiàng)特征。1990年,該圖首次被公布,讀者也許認(rèn)出了其格式來(lái)源于TCSEC(TrustedComputerSecurityEvaluationCriteria,可信計(jì)算機(jī)...[繼續(xù)閱讀]
海量資源,盡在掌握
圖2-2、圖2-3按照三類標(biāo)準(zhǔn)(有效性、界面及適用性)對(duì)6個(gè)早期系統(tǒng)進(jìn)行了比較。圖中方框的作用是描述功能,黑框表示具有某項(xiàng)特征。1990年,該圖首次被公布,讀者也許認(rèn)出了其格式來(lái)源于TCSEC(TrustedComputerSecurityEvaluationCriteria,可信計(jì)算機(jī)...[繼續(xù)閱讀]
早期系統(tǒng)有3種基本缺陷。首先,它們只能處理來(lái)自于最初設(shè)計(jì)時(shí)確定的目標(biāo)系統(tǒng)的數(shù)據(jù)。其次,它們只能分析設(shè)計(jì)時(shí)確定的目標(biāo)環(huán)境的數(shù)據(jù)。最后,用戶界面比較糟糕。產(chǎn)生這些缺陷并不令人驚訝,因?yàn)樵缙谘芯咳藛T只有研究用于特定目...[繼續(xù)閱讀]
大概從1986年開(kāi)始,入侵檢測(cè)成了一個(gè)研究方向。一開(kāi)始,幾乎所有的入侵檢測(cè)系統(tǒng)都是基于主機(jī)的。早期系統(tǒng)的用戶界面都很糟糕,并且它們只能用在設(shè)計(jì)時(shí)定下來(lái)的環(huán)境中,而且只能監(jiān)控很少的目標(biāo)系統(tǒng)。大概在1996年以前,終端用戶群...[繼續(xù)閱讀]
當(dāng)入侵檢測(cè)系統(tǒng)用于分析網(wǎng)絡(luò)分組(networkpacket)時(shí),該系統(tǒng)就是基于網(wǎng)絡(luò)的。與之相對(duì)的是,基于主機(jī)的入侵檢測(cè)處理計(jì)算機(jī)本身產(chǎn)生的數(shù)據(jù)(如事件日志文件)。盡管網(wǎng)絡(luò)分組可以從路由器及交換機(jī)的輸出處獲得,但網(wǎng)絡(luò)分組通常是在網(wǎng)絡(luò)...[繼續(xù)閱讀]
考慮下面的攻擊場(chǎng)景(attackscenario),基于主機(jī)的技術(shù)通常不可能檢測(cè)出這些類型的攻擊,這就凸顯了兩種系統(tǒng)的不同之處。大多數(shù)基于網(wǎng)絡(luò)的攻擊都是由操作系統(tǒng)的缺陷導(dǎo)致的,其缺陷能被許多惡意方式利用,這些方式包括非授權(quán)訪問(wèn)、數(shù)...[繼續(xù)閱讀]
基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)由遍及網(wǎng)絡(luò)的傳感器組成,傳感器會(huì)向中央控制臺(tái)報(bào)告。傳感器通常是獨(dú)立的檢測(cè)引擎,它能獲得網(wǎng)絡(luò)分組、找尋誤用模式,然后向中央命令控制臺(tái)報(bào)告告警。結(jié)構(gòu)的類型有兩種:網(wǎng)絡(luò)節(jié)點(diǎn)及傳統(tǒng)的傳感器結(jié)構(gòu)。...[繼續(xù)閱讀]
1999年的前幾個(gè)月,所有的商用入侵檢測(cè)系統(tǒng)都使用混雜模式傳感器。但這種技術(shù)在高速網(wǎng)絡(luò)上不能解決分組丟失問(wèn)題。1999年6月份左右,網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)出現(xiàn)一種新的分布式結(jié)構(gòu),它將傳感器分布到網(wǎng)絡(luò)上的每臺(tái)機(jī)器上,從而解決了高...[繼續(xù)閱讀]
檢測(cè)引擎是“魔法發(fā)生”之處。基于網(wǎng)絡(luò)的檢測(cè)引擎處理一系列具有序列號(hào)的TCP/IP分組,以便檢測(cè)預(yù)先確定的序列號(hào)及模式(pattern)。這些模式就是標(biāo)志(signature)??梢詮奶岣邫z測(cè)速度、可配置性兩方面出發(fā),以多種方式來(lái)實(shí)現(xiàn)引擎。網(wǎng)...[繼續(xù)閱讀]
網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)只有操作得好,其性能才能發(fā)揮得好。通常是網(wǎng)絡(luò)管理人員操作基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。由于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)很復(fù)雜,所以系統(tǒng)的價(jià)值通常要依賴于操作人員的使用技能。一些最好的系統(tǒng)要求操作人員精通TCP/I...[繼續(xù)閱讀]
在一個(gè)防止外部人員威脅的全面的保護(hù)計(jì)劃中,網(wǎng)絡(luò)入侵檢測(cè)是個(gè)關(guān)鍵部分。與基于主機(jī)的技術(shù)協(xié)同工作,它可以檢測(cè)并阻止大多數(shù)計(jì)算機(jī)誤用?;诰W(wǎng)絡(luò)的技術(shù)的好處包括對(duì)外部人員威脅的檢測(cè)、威懾及自動(dòng)響應(yīng)。3.7.1威懾外部人員...[繼續(xù)閱讀]