5.1 引言

    入侵检测技术提供标志及统计异常检测。AI(artificialintelligence,人工智能)技术已经用在研究性系统中了,但还没有用在商用产品中。这使许多人感到不安,因为他们认为AI将大大提高入侵检测的能力。没必要不安。AI系统还存在问题,而且......查看详细>>

标签:入侵检测

5.2 网络入侵检测机制

    网络标志有两种基本形式:分组内容中的模式及分组首部信息中的模式。回顾一下,网络入侵检测系统就像是一组由你保护的建筑物外面的摄像机一样。你要观察谁正在建筑物(分组首部信息)之间走动,还要观察他们在运送什么东西(分......查看详细>>

标签:入侵检测

5.3 基于主机的标志

    标志识别是基于主机的系统最常用的检测机制。这些标志是预先定义的模式,并且这些模式被定义为能引起安全人员的兴趣。关于标志的一个例子是“三次登录失败(Threefailedlogins)”。标志也被认为是规则或基于规则的系统。当触发了......查看详细>>

标签:入侵检测

5.4 复合 (网络及主机)标志

    复合标志(compoundsignature)将多个在线源(如一组基于主机的事件和网络事件)联系起来。复合标志具有一些优点(下面这些内容要感谢Cybersafe公司的Centrax小组的DanMasters):●基于网络的标志不总是指出基于网络的活动是否成功了。假设一个......查看详细>>

标签:入侵检测

5.5 标志检测机制

    尽管有许多标志类型,但是安全人员在制定部署检测系统所用到的规则集时必须相对保守一些,因为太多的标志将会导致系统性能下降、可管理性降低。大多数商用入侵检测系统具有预先定义好的标志。安全人员可以定制标准的规则集......查看详细>>

标签:入侵检测

5.7 人工智能(人工神经网络)

    人工智能是计算机术语,它模仿人类的思考过程。将人工智能应用到入侵检测问题中的目的是在入侵检测中能像人的大脑那样完美地自动进行相关处理。MarkKantrowitz(AI.Repository@cs.cmu.edu)在CarnegieMellon大学维护的“人工智能常见问题解答......查看详细>>

标签:入侵检测

5.8 总结

    有许多用于检测误用的技术和技巧,但标志是最常用的。网络标志可以基于分组内容或分组首部。大多数商用网络入侵检测系统依赖于分组内容,但若遇到加密情况就无能为力了。分组首部更适合于用于判定支持上下文以识别来自于外......查看详细>>

标签:入侵检测

6.1 引言

    虽然入侵检测已经研究了差不多20年,但它在商业市场中仍然相对年轻,好消息仍然是凤毛麟角。你可能听说入侵者一般都会被捕获,同时也听说入侵检测还不适合于企业采用。真相介于两者之间。我已经从事开发入侵检测系统几乎12年......查看详细>>

标签:入侵检测

6.2 神话之一: 网络入侵检测神话

    “基于网络的入侵检测是保护企业的最重要的步骤。”神话:媒体的注意力主要集中于网络入侵。媒体倾向于将黑客、外国政府及计算机恐怖分子作为信息资产的最重大的威胁。网络入侵更适合于检测外部入侵。结果,当考虑到入侵检......查看详细>>

标签:入侵检测

6.3 神话之二: 误警神话

    “入侵检测系统的误警率太高了。”神话:现在入侵检测最重要的问题是误警。当系统告警了,而最终证明是授权的活动或者只是无足轻重的错误,这时就发生了误警。误警浪费大量时间,增加操作人员的劳动量。它们还创建如此多的噪......查看详细>>

标签:入侵检测