图2-2、图2-3按照三类标准(有效性、界面及适用性)对6个早期系统进行了比较。图中方框的作用是描述功能,黑框表示具有某项特征。1990年,该图首次被公布,读者也许认出了其格式来源于TCSEC(TrustedComputerSecurityEvaluationCriteria,可信计算机...[继续阅读]

    早期系统有3种基本缺陷。首先,它们只能处理来自于最初设计时确定的目标系统的数据。其次,它们只能分析设计时确定的目标环境的数据。最后,用户界面比较糟糕。产生这些缺陷并不令人惊讶,因为早期研究人员只有研究用于特定目...[继续阅读]

    大概从1986年开始,入侵检测成了一个研究方向。一开始,几乎所有的入侵检测系统都是基于主机的。早期系统的用户界面都很糟糕,并且它们只能用在设计时定下来的环境中,而且只能监控很少的目标系统。大概在1996年以前,终端用户群...[继续阅读]

    当入侵检测系统用于分析网络分组(networkpacket)时,该系统就是基于网络的。与之相对的是,基于主机的入侵检测处理计算机本身产生的数据(如事件日志文件)。尽管网络分组可以从路由器及交换机的输出处获得,但网络分组通常是在网络...[继续阅读]

    考虑下面的攻击场景(attackscenario),基于主机的技术通常不可能检测出这些类型的攻击,这就凸显了两种系统的不同之处。大多数基于网络的攻击都是由操作系统的缺陷导致的,其缺陷能被许多恶意方式利用,这些方式包括非授权访问、数...[继续阅读]

    基于网络的入侵检测系统由遍及网络的传感器组成,传感器会向中央控制台报告。传感器通常是独立的检测引擎,它能获得网络分组、找寻误用模式,然后向中央命令控制台报告告警。结构的类型有两种:网络节点及传统的传感器结构。...[继续阅读]

    1999年的前几个月,所有的商用入侵检测系统都使用混杂模式传感器。但这种技术在高速网络上不能解决分组丢失问题。1999年6月份左右,网络入侵检测系统出现一种新的分布式结构,它将传感器分布到网络上的每台机器上,从而解决了高...[继续阅读]

    检测引擎是“魔法发生”之处。基于网络的检测引擎处理一系列具有序列号的TCP/IP分组,以便检测预先确定的序列号及模式(pattern)。这些模式就是标志(signature)。可以从提高检测速度、可配置性两方面出发,以多种方式来实现引擎。网...[继续阅读]

    网络入侵检测系统只有操作得好,其性能才能发挥得好。通常是网络管理人员操作基于网络的入侵检测系统。由于网络入侵检测系统很复杂,所以系统的价值通常要依赖于操作人员的使用技能。一些最好的系统要求操作人员精通TCP/I...[继续阅读]

    在一个防止外部人员威胁的全面的保护计划中,网络入侵检测是个关键部分。与基于主机的技术协同工作,它可以检测并阻止大多数计算机误用。基于网络的技术的好处包括对外部人员威胁的检测、威慑及自动响应。3.7.1威慑外部人员...[继续阅读]