圖2-2、圖2-3按照三類標準(有效性、界面及適用性)對6個早期系統(tǒng)進行了比較。圖中方框的作用是描述功能,黑框表示具有某項特征。1990年,該圖首次被公布,讀者也許認出了其格式來源于TCSEC(TrustedComputerSecurityEvaluationCriteria,可信計算機...[繼續(xù)閱讀]
海量資源,盡在掌握
圖2-2、圖2-3按照三類標準(有效性、界面及適用性)對6個早期系統(tǒng)進行了比較。圖中方框的作用是描述功能,黑框表示具有某項特征。1990年,該圖首次被公布,讀者也許認出了其格式來源于TCSEC(TrustedComputerSecurityEvaluationCriteria,可信計算機...[繼續(xù)閱讀]
早期系統(tǒng)有3種基本缺陷。首先,它們只能處理來自于最初設計時確定的目標系統(tǒng)的數(shù)據(jù)。其次,它們只能分析設計時確定的目標環(huán)境的數(shù)據(jù)。最后,用戶界面比較糟糕。產(chǎn)生這些缺陷并不令人驚訝,因為早期研究人員只有研究用于特定目...[繼續(xù)閱讀]
大概從1986年開始,入侵檢測成了一個研究方向。一開始,幾乎所有的入侵檢測系統(tǒng)都是基于主機的。早期系統(tǒng)的用戶界面都很糟糕,并且它們只能用在設計時定下來的環(huán)境中,而且只能監(jiān)控很少的目標系統(tǒng)。大概在1996年以前,終端用戶群...[繼續(xù)閱讀]
當入侵檢測系統(tǒng)用于分析網(wǎng)絡分組(networkpacket)時,該系統(tǒng)就是基于網(wǎng)絡的。與之相對的是,基于主機的入侵檢測處理計算機本身產(chǎn)生的數(shù)據(jù)(如事件日志文件)。盡管網(wǎng)絡分組可以從路由器及交換機的輸出處獲得,但網(wǎng)絡分組通常是在網(wǎng)絡...[繼續(xù)閱讀]
考慮下面的攻擊場景(attackscenario),基于主機的技術(shù)通常不可能檢測出這些類型的攻擊,這就凸顯了兩種系統(tǒng)的不同之處。大多數(shù)基于網(wǎng)絡的攻擊都是由操作系統(tǒng)的缺陷導致的,其缺陷能被許多惡意方式利用,這些方式包括非授權(quán)訪問、數(shù)...[繼續(xù)閱讀]
基于網(wǎng)絡的入侵檢測系統(tǒng)由遍及網(wǎng)絡的傳感器組成,傳感器會向中央控制臺報告。傳感器通常是獨立的檢測引擎,它能獲得網(wǎng)絡分組、找尋誤用模式,然后向中央命令控制臺報告告警。結(jié)構(gòu)的類型有兩種:網(wǎng)絡節(jié)點及傳統(tǒng)的傳感器結(jié)構(gòu)。...[繼續(xù)閱讀]
1999年的前幾個月,所有的商用入侵檢測系統(tǒng)都使用混雜模式傳感器。但這種技術(shù)在高速網(wǎng)絡上不能解決分組丟失問題。1999年6月份左右,網(wǎng)絡入侵檢測系統(tǒng)出現(xiàn)一種新的分布式結(jié)構(gòu),它將傳感器分布到網(wǎng)絡上的每臺機器上,從而解決了高...[繼續(xù)閱讀]
檢測引擎是“魔法發(fā)生”之處。基于網(wǎng)絡的檢測引擎處理一系列具有序列號的TCP/IP分組,以便檢測預先確定的序列號及模式(pattern)。這些模式就是標志(signature)??梢詮奶岣邫z測速度、可配置性兩方面出發(fā),以多種方式來實現(xiàn)引擎。網(wǎng)...[繼續(xù)閱讀]
網(wǎng)絡入侵檢測系統(tǒng)只有操作得好,其性能才能發(fā)揮得好。通常是網(wǎng)絡管理人員操作基于網(wǎng)絡的入侵檢測系統(tǒng)。由于網(wǎng)絡入侵檢測系統(tǒng)很復雜,所以系統(tǒng)的價值通常要依賴于操作人員的使用技能。一些最好的系統(tǒng)要求操作人員精通TCP/I...[繼續(xù)閱讀]
在一個防止外部人員威脅的全面的保護計劃中,網(wǎng)絡入侵檢測是個關(guān)鍵部分。與基于主機的技術(shù)協(xié)同工作,它可以檢測并阻止大多數(shù)計算機誤用?;诰W(wǎng)絡的技術(shù)的好處包括對外部人員威脅的檢測、威懾及自動響應。3.7.1威懾外部人員...[繼續(xù)閱讀]