“異常檢測能自動(dòng)把非法行為和合法行為區(qū)別開?！鄙裨?異常檢測機(jī)制能用行為模型來提供自動(dòng)入侵檢測。這種強(qiáng)大的能力可以將一個(gè)用戶與其他用戶區(qū)分開來,能在產(chǎn)生危害之前識別出冒充者和惡棍,并當(dāng)用戶改變他們的行為方式...[繼續(xù)閱讀]

    “企業(yè)級實(shí)時(shí)檢測是一項(xiàng)關(guān)鍵需求?！鄙裨?要證明入侵檢測系統(tǒng)的價(jià)值,絕對需要企業(yè)級實(shí)時(shí)檢測及響應(yīng)。如果系統(tǒng)不能在幾秒鐘或幾微秒內(nèi)(這以實(shí)時(shí)的定義而定)阻止入侵者,那么該系統(tǒng)就沒什么價(jià)值。實(shí)情:大多數(shù)基于網(wǎng)絡(luò)的系統(tǒng)...[繼續(xù)閱讀]

    “防火墻內(nèi)部的網(wǎng)絡(luò)入侵檢測會(huì)檢測內(nèi)部人員的誤用?！鄙裨?如果將一個(gè)網(wǎng)絡(luò)入侵檢測傳感器放在防火墻內(nèi)部,它就能檢測到內(nèi)部人員威脅。實(shí)情:這是純粹的、天花亂墜的銷售廣告。大多數(shù)網(wǎng)絡(luò)入侵檢測系統(tǒng)致力于檢測對網(wǎng)格進(jìn)行...[繼續(xù)閱讀]

    “自動(dòng)響應(yīng)能在誤用發(fā)生之前有效地用于阻止入侵者?！鄙裨?自動(dòng)響應(yīng)是在入侵者進(jìn)行破壞之前阻止他們的必要的關(guān)鍵性能。如果沒有自動(dòng)響應(yīng),那入侵檢測系統(tǒng)就毫無價(jià)值。實(shí)情:自動(dòng)響應(yīng)能被攻擊者用作拒絕服務(wù)攻擊機(jī)制來攻擊...[繼續(xù)閱讀]

    “人工智能系統(tǒng)能識別新的誤用類型?！鄙裨?研究人員正在研究人工智能系統(tǒng),幾年之后,它們將極大地提高入侵檢測系統(tǒng)的性能。這些系統(tǒng)將能夠檢測到至今尚不知道的威脅并通知操作人員。實(shí)情:研究人員正在研究人工智能系統(tǒng)...[繼續(xù)閱讀]

    本章是關(guān)于入侵檢測神話的。總體來說,我們可以討論這些神話指出的實(shí)情:實(shí)情1:不要認(rèn)為網(wǎng)絡(luò)入侵檢測就是所需要的全部。實(shí)情2:誤警表示系統(tǒng)沒有正確地調(diào)整好,或者是標(biāo)志設(shè)置錯(cuò)誤。編寫得糟糕的標(biāo)志不是出現(xiàn)誤警的借口。實(shí)情...[繼續(xù)閱讀]

    外部人員被定義為沒被驗(yàn)證便登錄的人。一旦外部人員獲得合法訪問,就被認(rèn)為是內(nèi)部人員。外部人員被劃分為兩個(gè)基本的類:●試圖獲得被驗(yàn)證的訪問。●拒絕服務(wù)(DOS)。這兩類誤用有幾個(gè)子類。試圖獲得訪問可能集中于讀文件或其...[繼續(xù)閱讀]

    內(nèi)部人員被定義為任何被驗(yàn)證后登錄的人。外部人員一旦被驗(yàn)證登錄,就能用相似的賬戶做合法用戶所能做的任何事。在所有由計(jì)算機(jī)誤用導(dǎo)致的損失中,內(nèi)部人員誤用占了80%,所以檢測內(nèi)部人員誤用的能力很重要。非授權(quán)閱讀、非授...[繼續(xù)閱讀]

    任何影響重大攻擊可能會(huì)持續(xù)幾天、幾周、幾個(gè)月甚至幾年。請仔細(xì)考慮你最近幾年聽說過的美國間諜案件。這些人并不是拿走一份檔案就罷手。按照新聞報(bào)道,他們的間諜活動(dòng)持續(xù)了2～8年!重大的計(jì)算機(jī)誤用通常包括計(jì)劃、測試、...[繼續(xù)閱讀]

    當(dāng)可疑活動(dòng)正在發(fā)生時(shí),先進(jìn)行告警,接下來通常就要進(jìn)行監(jiān)視(surveillance),目的是確認(rèn)是否發(fā)生了誤用。通常要監(jiān)控(monitor)幾天或幾周,而監(jiān)控還需要輸入帶外數(shù)據(jù)(如查看相應(yīng)的人力資源文件)。監(jiān)控是實(shí)時(shí)通知與數(shù)據(jù)辨析的結(jié)合。不應(yīng)...[繼續(xù)閱讀]