基于網(wǎng)絡(luò)的技術(shù)現(xiàn)在正面臨著一些嚴(yán)峻的挑戰(zhàn),將來也是這樣。這些挑戰(zhàn)包括高速網(wǎng)絡(luò)上的分組丟失、交換式網(wǎng)絡(luò)及加密。而且現(xiàn)在已經(jīng)創(chuàng)建了一種新技術(shù)可以檢測(cè)到嗅探器,并使它們攻擊目標(biāo)。業(yè)界正在努力解決這些問題,但是在多...[繼續(xù)閱讀]
海量資源,盡在掌握
基于網(wǎng)絡(luò)的技術(shù)現(xiàn)在正面臨著一些嚴(yán)峻的挑戰(zhàn),將來也是這樣。這些挑戰(zhàn)包括高速網(wǎng)絡(luò)上的分組丟失、交換式網(wǎng)絡(luò)及加密。而且現(xiàn)在已經(jīng)創(chuàng)建了一種新技術(shù)可以檢測(cè)到嗅探器,并使它們攻擊目標(biāo)。業(yè)界正在努力解決這些問題,但是在多...[繼續(xù)閱讀]
網(wǎng)絡(luò)入侵檢測(cè)能有效地檢測(cè)到試圖攻破網(wǎng)絡(luò)防護(hù)體系的外部人員。其優(yōu)點(diǎn)包括對(duì)外部人員威脅的威懾、檢測(cè)及自動(dòng)響應(yīng)。市場(chǎng)上有許多關(guān)于網(wǎng)絡(luò)入侵檢測(cè)的錯(cuò)誤信息,其中的部分原因在于對(duì)黑客威脅的新聞報(bào)道。有兩種網(wǎng)絡(luò)入侵檢測(cè)...[繼續(xù)閱讀]
當(dāng)系統(tǒng)用于分析計(jì)算機(jī)(主機(jī))產(chǎn)生的數(shù)據(jù)(例如應(yīng)用程序及操作系統(tǒng)的事件日志)時(shí),入侵檢測(cè)就是基于主機(jī)的。與之相對(duì)的是基于網(wǎng)絡(luò)的入侵檢測(cè),它用于處理來自網(wǎng)絡(luò)上的數(shù)據(jù)(例如TCP/IP通信量)。主機(jī)數(shù)據(jù)源的種類很多,包括操作系統(tǒng)...[繼續(xù)閱讀]
下面給出一些攻擊場(chǎng)景(attackscenario)。如果你是安全人員,你可能會(huì)認(rèn)出其中的大部分,并且也許你經(jīng)歷過其中的大多數(shù)攻擊。其中的每種攻擊場(chǎng)景都表示一種重大的損害,而網(wǎng)絡(luò)入侵檢測(cè)幾乎不可能檢測(cè)到它。但基于主機(jī)的入侵檢測(cè)卻...[繼續(xù)閱讀]
基于主機(jī)的入侵檢測(cè)系統(tǒng)通常是基于代理的。代理是運(yùn)行在目標(biāo)系統(tǒng)上的小的可執(zhí)行程序,它們與中央控制計(jì)算機(jī)(既命令控制臺(tái))通信。如果正確地操作,這些代理不會(huì)明顯地降低目標(biāo)系統(tǒng)的性能,但它們會(huì)帶來部署、支持問題,因?yàn)樗?..[繼續(xù)閱讀]
只有操作得好,基于主機(jī)的入侵檢測(cè)系統(tǒng)才能很好地起作用??梢砸圆煌姆绞讲僮骰谥鳈C(jī)的系統(tǒng),關(guān)鍵是選擇的操作模式要最適合目標(biāo)環(huán)境及組織的檢測(cè)需求。安全部門通常操縱著基于主機(jī)的入侵檢測(cè)系統(tǒng),盡管管理小組也可以控...[繼續(xù)閱讀]
策略驅(qū)動(dòng)著入侵檢測(cè)系統(tǒng)的操作。請(qǐng)記住,基于主機(jī)的入侵檢測(cè)整體上是分布式的,每臺(tái)目標(biāo)計(jì)算機(jī)上都有一個(gè)代理。有效的策略管理能大大減少基于主機(jī)的入侵檢測(cè)系統(tǒng)造成的性能的降低及資源耗費(fèi)。審計(jì)策略及檢測(cè)策略是需要有效...[繼續(xù)閱讀]
基于主機(jī)的入侵檢測(cè)的好處包括檢測(cè)威脅、響應(yīng)、威懾、攻擊預(yù)測(cè)及毀壞情況評(píng)估。如果審計(jì)數(shù)據(jù)來自于置信源而且其完整性得以保護(hù),那么起訴支持也是可能的。這些好處非常有用,而且與大多數(shù)其他安全技術(shù)(包括網(wǎng)絡(luò)入侵檢測(cè))相...[繼續(xù)閱讀]
正如本章開頭所提及的,使用基于主機(jī)的入侵檢測(cè)要付出一定的代價(jià)才能獲得好處。采用好的系統(tǒng)、好的策略集及好的操作計(jì)劃可以緩解大多數(shù)問題。但是,當(dāng)評(píng)估基于主機(jī)的入侵檢測(cè)時(shí),還應(yīng)該考慮性能、部署及損害威脅問題。4.7....[繼續(xù)閱讀]
基于主機(jī)的入侵檢測(cè)系統(tǒng)是分布式系統(tǒng),用于收集、處理事件日志及來自于整個(gè)企業(yè)的計(jì)算機(jī)的其他數(shù)據(jù)。數(shù)據(jù)可以在目標(biāo)機(jī)本地上處理,或者是先集中起來再處理。這兩種方式各有優(yōu)缺點(diǎn),所以選擇結(jié)構(gòu)應(yīng)依賴于具體環(huán)境的需求???..[繼續(xù)閱讀]