“异常检测能自动把非法行为和合法行为区别开。”神话:异常检测机制能用行为模型来提供自动入侵检测。这种强大的能力可以将一个用户与其他用户区分开来,能在产生危害之前识别出冒充者和恶棍,并当用户改变他们的行为方式...[继续阅读]

    “企业级实时检测是一项关键需求。”神话:要证明入侵检测系统的价值,绝对需要企业级实时检测及响应。如果系统不能在几秒钟或几微秒内(这以实时的定义而定)阻止入侵者,那么该系统就没什么价值。实情:大多数基于网络的系统...[继续阅读]

    “防火墙内部的网络入侵检测会检测内部人员的误用。”神话:如果将一个网络入侵检测传感器放在防火墙内部,它就能检测到内部人员威胁。实情:这是纯粹的、天花乱坠的销售广告。大多数网络入侵检测系统致力于检测对网格进行...[继续阅读]

    “自动响应能在误用发生之前有效地用于阻止入侵者。”神话:自动响应是在入侵者进行破坏之前阻止他们的必要的关键性能。如果没有自动响应,那入侵检测系统就毫无价值。实情:自动响应能被攻击者用作拒绝服务攻击机制来攻击...[继续阅读]

    “人工智能系统能识别新的误用类型。”神话:研究人员正在研究人工智能系统,几年之后,它们将极大地提高入侵检测系统的性能。这些系统将能够检测到至今尚不知道的威胁并通知操作人员。实情:研究人员正在研究人工智能系统...[继续阅读]

    本章是关于入侵检测神话的。总体来说,我们可以讨论这些神话指出的实情:实情1:不要认为网络入侵检测就是所需要的全部。实情2:误警表示系统没有正确地调整好,或者是标志设置错误。编写得糟糕的标志不是出现误警的借口。实情...[继续阅读]

    外部人员被定义为没被验证便登录的人。一旦外部人员获得合法访问,就被认为是内部人员。外部人员被划分为两个基本的类:●试图获得被验证的访问。●拒绝服务(DOS)。这两类误用有几个子类。试图获得访问可能集中于读文件或其...[继续阅读]

    内部人员被定义为任何被验证后登录的人。外部人员一旦被验证登录,就能用相似的账户做合法用户所能做的任何事。在所有由计算机误用导致的损失中,内部人员误用占了80%,所以检测内部人员误用的能力很重要。非授权阅读、非授...[继续阅读]

    任何影响重大攻击可能会持续几天、几周、几个月甚至几年。请仔细考虑你最近几年听说过的美国间谍案件。这些人并不是拿走一份档案就罢手。按照新闻报道,他们的间谍活动持续了2～8年!重大的计算机误用通常包括计划、测试、...[继续阅读]

    当可疑活动正在发生时,先进行告警,接下来通常就要进行监视(surveillance),目的是确认是否发生了误用。通常要监控(monitor)几天或几周,而监控还需要输入带外数据(如查看相应的人力资源文件)。监控是实时通知与数据辨析的结合。不应...[继续阅读]