基于网络的技术现在正面临着一些严峻的挑战,将来也是这样。这些挑战包括高速网络上的分组丢失、交换式网络及加密。而且现在已经创建了一种新技术可以检测到嗅探器,并使它们攻击目标。业界正在努力解决这些问题,但是在多...[继续阅读]

    网络入侵检测能有效地检测到试图攻破网络防护体系的外部人员。其优点包括对外部人员威胁的威慑、检测及自动响应。市场上有许多关于网络入侵检测的错误信息,其中的部分原因在于对黑客威胁的新闻报道。有两种网络入侵检测...[继续阅读]

    当系统用于分析计算机(主机)产生的数据(例如应用程序及操作系统的事件日志)时,入侵检测就是基于主机的。与之相对的是基于网络的入侵检测,它用于处理来自网络上的数据(例如TCP/IP通信量)。主机数据源的种类很多,包括操作系统...[继续阅读]

    下面给出一些攻击场景(attackscenario)。如果你是安全人员,你可能会认出其中的大部分,并且也许你经历过其中的大多数攻击。其中的每种攻击场景都表示一种重大的损害,而网络入侵检测几乎不可能检测到它。但基于主机的入侵检测却...[继续阅读]

    基于主机的入侵检测系统通常是基于代理的。代理是运行在目标系统上的小的可执行程序,它们与中央控制计算机(既命令控制台)通信。如果正确地操作,这些代理不会明显地降低目标系统的性能,但它们会带来部署、支持问题,因为它...[继续阅读]

    只有操作得好,基于主机的入侵检测系统才能很好地起作用。可以以不同的方式操作基于主机的系统,关键是选择的操作模式要最适合目标环境及组织的检测需求。安全部门通常操纵着基于主机的入侵检测系统,尽管管理小组也可以控...[继续阅读]

    策略驱动着入侵检测系统的操作。请记住,基于主机的入侵检测整体上是分布式的,每台目标计算机上都有一个代理。有效的策略管理能大大减少基于主机的入侵检测系统造成的性能的降低及资源耗费。审计策略及检测策略是需要有效...[继续阅读]

    基于主机的入侵检测的好处包括检测威胁、响应、威慑、攻击预测及毁坏情况评估。如果审计数据来自于置信源而且其完整性得以保护,那么起诉支持也是可能的。这些好处非常有用,而且与大多数其他安全技术(包括网络入侵检测)相...[继续阅读]

    正如本章开头所提及的,使用基于主机的入侵检测要付出一定的代价才能获得好处。采用好的系统、好的策略集及好的操作计划可以缓解大多数问题。但是,当评估基于主机的入侵检测时,还应该考虑性能、部署及损害威胁问题。4.7....[继续阅读]

    基于主机的入侵检测系统是分布式系统,用于收集、处理事件日志及来自于整个企业的计算机的其他数据。数据可以在目标机本地上处理,或者是先集中起来再处理。这两种方式各有优缺点,所以选择结构应依赖于具体环境的需求。可...[继续阅读]