基于網(wǎng)絡(luò)的技術(shù)現(xiàn)在正面臨著一些嚴峻的挑戰(zhàn),將來也是這樣。這些挑戰(zhàn)包括高速網(wǎng)絡(luò)上的分組丟失、交換式網(wǎng)絡(luò)及加密。而且現(xiàn)在已經(jīng)創(chuàng)建了一種新技術(shù)可以檢測到嗅探器,并使它們攻擊目標。業(yè)界正在努力解決這些問題,但是在多...[繼續(xù)閱讀]

    網(wǎng)絡(luò)入侵檢測能有效地檢測到試圖攻破網(wǎng)絡(luò)防護體系的外部人員。其優(yōu)點包括對外部人員威脅的威懾、檢測及自動響應(yīng)。市場上有許多關(guān)于網(wǎng)絡(luò)入侵檢測的錯誤信息,其中的部分原因在于對黑客威脅的新聞報道。有兩種網(wǎng)絡(luò)入侵檢測...[繼續(xù)閱讀]

    當系統(tǒng)用于分析計算機(主機)產(chǎn)生的數(shù)據(jù)(例如應(yīng)用程序及操作系統(tǒng)的事件日志)時,入侵檢測就是基于主機的。與之相對的是基于網(wǎng)絡(luò)的入侵檢測,它用于處理來自網(wǎng)絡(luò)上的數(shù)據(jù)(例如TCP/IP通信量)。主機數(shù)據(jù)源的種類很多,包括操作系統(tǒng)...[繼續(xù)閱讀]

    下面給出一些攻擊場景(attackscenario)。如果你是安全人員,你可能會認出其中的大部分,并且也許你經(jīng)歷過其中的大多數(shù)攻擊。其中的每種攻擊場景都表示一種重大的損害,而網(wǎng)絡(luò)入侵檢測幾乎不可能檢測到它。但基于主機的入侵檢測卻...[繼續(xù)閱讀]

    基于主機的入侵檢測系統(tǒng)通常是基于代理的。代理是運行在目標系統(tǒng)上的小的可執(zhí)行程序,它們與中央控制計算機(既命令控制臺)通信。如果正確地操作,這些代理不會明顯地降低目標系統(tǒng)的性能,但它們會帶來部署、支持問題,因為它...[繼續(xù)閱讀]

    只有操作得好,基于主機的入侵檢測系統(tǒng)才能很好地起作用?？梢砸圆煌姆绞讲僮骰谥鳈C的系統(tǒng),關(guān)鍵是選擇的操作模式要最適合目標環(huán)境及組織的檢測需求。安全部門通常操縱著基于主機的入侵檢測系統(tǒng),盡管管理小組也可以控...[繼續(xù)閱讀]

    策略驅(qū)動著入侵檢測系統(tǒng)的操作。請記住,基于主機的入侵檢測整體上是分布式的,每臺目標計算機上都有一個代理。有效的策略管理能大大減少基于主機的入侵檢測系統(tǒng)造成的性能的降低及資源耗費。審計策略及檢測策略是需要有效...[繼續(xù)閱讀]

    基于主機的入侵檢測的好處包括檢測威脅、響應(yīng)、威懾、攻擊預(yù)測及毀壞情況評估。如果審計數(shù)據(jù)來自于置信源而且其完整性得以保護,那么起訴支持也是可能的。這些好處非常有用,而且與大多數(shù)其他安全技術(shù)(包括網(wǎng)絡(luò)入侵檢測)相...[繼續(xù)閱讀]

    正如本章開頭所提及的,使用基于主機的入侵檢測要付出一定的代價才能獲得好處。采用好的系統(tǒng)、好的策略集及好的操作計劃可以緩解大多數(shù)問題。但是,當評估基于主機的入侵檢測時,還應(yīng)該考慮性能、部署及損害威脅問題。4.7....[繼續(xù)閱讀]

    基于主機的入侵檢測系統(tǒng)是分布式系統(tǒng),用于收集、處理事件日志及來自于整個企業(yè)的計算機的其他數(shù)據(jù)。數(shù)據(jù)可以在目標機本地上處理,或者是先集中起來再處理。這兩種方式各有優(yōu)缺點,所以選擇結(jié)構(gòu)應(yīng)依賴于具體環(huán)境的需求。可...[繼續(xù)閱讀]