“異常檢測(cè)能自動(dòng)把非法行為和合法行為區(qū)別開(kāi)。”神話:異常檢測(cè)機(jī)制能用行為模型來(lái)提供自動(dòng)入侵檢測(cè)。這種強(qiáng)大的能力可以將一個(gè)用戶與其他用戶區(qū)分開(kāi)來(lái),能在產(chǎn)生危害之前識(shí)別出冒充者和惡棍,并當(dāng)用戶改變他們的行為方式...[繼續(xù)閱讀]
海量資源,盡在掌握
“異常檢測(cè)能自動(dòng)把非法行為和合法行為區(qū)別開(kāi)。”神話:異常檢測(cè)機(jī)制能用行為模型來(lái)提供自動(dòng)入侵檢測(cè)。這種強(qiáng)大的能力可以將一個(gè)用戶與其他用戶區(qū)分開(kāi)來(lái),能在產(chǎn)生危害之前識(shí)別出冒充者和惡棍,并當(dāng)用戶改變他們的行為方式...[繼續(xù)閱讀]
“企業(yè)級(jí)實(shí)時(shí)檢測(cè)是一項(xiàng)關(guān)鍵需求?!鄙裨?要證明入侵檢測(cè)系統(tǒng)的價(jià)值,絕對(duì)需要企業(yè)級(jí)實(shí)時(shí)檢測(cè)及響應(yīng)。如果系統(tǒng)不能在幾秒鐘或幾微秒內(nèi)(這以實(shí)時(shí)的定義而定)阻止入侵者,那么該系統(tǒng)就沒(méi)什么價(jià)值。實(shí)情:大多數(shù)基于網(wǎng)絡(luò)的系統(tǒng)...[繼續(xù)閱讀]
“防火墻內(nèi)部的網(wǎng)絡(luò)入侵檢測(cè)會(huì)檢測(cè)內(nèi)部人員的誤用?!鄙裨?如果將一個(gè)網(wǎng)絡(luò)入侵檢測(cè)傳感器放在防火墻內(nèi)部,它就能檢測(cè)到內(nèi)部人員威脅。實(shí)情:這是純粹的、天花亂墜的銷售廣告。大多數(shù)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)致力于檢測(cè)對(duì)網(wǎng)格進(jìn)行...[繼續(xù)閱讀]
“自動(dòng)響應(yīng)能在誤用發(fā)生之前有效地用于阻止入侵者。”神話:自動(dòng)響應(yīng)是在入侵者進(jìn)行破壞之前阻止他們的必要的關(guān)鍵性能。如果沒(méi)有自動(dòng)響應(yīng),那入侵檢測(cè)系統(tǒng)就毫無(wú)價(jià)值。實(shí)情:自動(dòng)響應(yīng)能被攻擊者用作拒絕服務(wù)攻擊機(jī)制來(lái)攻擊...[繼續(xù)閱讀]
“人工智能系統(tǒng)能識(shí)別新的誤用類型。”神話:研究人員正在研究人工智能系統(tǒng),幾年之后,它們將極大地提高入侵檢測(cè)系統(tǒng)的性能。這些系統(tǒng)將能夠檢測(cè)到至今尚不知道的威脅并通知操作人員。實(shí)情:研究人員正在研究人工智能系統(tǒng)...[繼續(xù)閱讀]
本章是關(guān)于入侵檢測(cè)神話的。總體來(lái)說(shuō),我們可以討論這些神話指出的實(shí)情:實(shí)情1:不要認(rèn)為網(wǎng)絡(luò)入侵檢測(cè)就是所需要的全部。實(shí)情2:誤警表示系統(tǒng)沒(méi)有正確地調(diào)整好,或者是標(biāo)志設(shè)置錯(cuò)誤。編寫(xiě)得糟糕的標(biāo)志不是出現(xiàn)誤警的借口。實(shí)情...[繼續(xù)閱讀]
外部人員被定義為沒(méi)被驗(yàn)證便登錄的人。一旦外部人員獲得合法訪問(wèn),就被認(rèn)為是內(nèi)部人員。外部人員被劃分為兩個(gè)基本的類:●試圖獲得被驗(yàn)證的訪問(wèn)?!窬芙^服務(wù)(DOS)。這兩類誤用有幾個(gè)子類。試圖獲得訪問(wèn)可能集中于讀文件或其...[繼續(xù)閱讀]
內(nèi)部人員被定義為任何被驗(yàn)證后登錄的人。外部人員一旦被驗(yàn)證登錄,就能用相似的賬戶做合法用戶所能做的任何事。在所有由計(jì)算機(jī)誤用導(dǎo)致的損失中,內(nèi)部人員誤用占了80%,所以檢測(cè)內(nèi)部人員誤用的能力很重要。非授權(quán)閱讀、非授...[繼續(xù)閱讀]
任何影響重大攻擊可能會(huì)持續(xù)幾天、幾周、幾個(gè)月甚至幾年。請(qǐng)仔細(xì)考慮你最近幾年聽(tīng)說(shuō)過(guò)的美國(guó)間諜案件。這些人并不是拿走一份檔案就罷手。按照新聞報(bào)道,他們的間諜活動(dòng)持續(xù)了2~8年!重大的計(jì)算機(jī)誤用通常包括計(jì)劃、測(cè)試、...[繼續(xù)閱讀]
當(dāng)可疑活動(dòng)正在發(fā)生時(shí),先進(jìn)行告警,接下來(lái)通常就要進(jìn)行監(jiān)視(surveillance),目的是確認(rèn)是否發(fā)生了誤用。通常要監(jiān)控(monitor)幾天或幾周,而監(jiān)控還需要輸入帶外數(shù)據(jù)(如查看相應(yīng)的人力資源文件)。監(jiān)控是實(shí)時(shí)通知與數(shù)據(jù)辨析的結(jié)合。不應(yīng)...[繼續(xù)閱讀]