“異常檢測能自動把非法行為和合法行為區(qū)別開。”神話:異常檢測機制能用行為模型來提供自動入侵檢測。這種強大的能力可以將一個用戶與其他用戶區(qū)分開來,能在產(chǎn)生危害之前識別出冒充者和惡棍,并當(dāng)用戶改變他們的行為方式...[繼續(xù)閱讀]

    “企業(yè)級實時檢測是一項關(guān)鍵需求?！鄙裨?要證明入侵檢測系統(tǒng)的價值,絕對需要企業(yè)級實時檢測及響應(yīng)。如果系統(tǒng)不能在幾秒鐘或幾微秒內(nèi)(這以實時的定義而定)阻止入侵者,那么該系統(tǒng)就沒什么價值。實情:大多數(shù)基于網(wǎng)絡(luò)的系統(tǒng)...[繼續(xù)閱讀]

    “防火墻內(nèi)部的網(wǎng)絡(luò)入侵檢測會檢測內(nèi)部人員的誤用?！鄙裨?如果將一個網(wǎng)絡(luò)入侵檢測傳感器放在防火墻內(nèi)部,它就能檢測到內(nèi)部人員威脅。實情:這是純粹的、天花亂墜的銷售廣告。大多數(shù)網(wǎng)絡(luò)入侵檢測系統(tǒng)致力于檢測對網(wǎng)格進行...[繼續(xù)閱讀]

    “自動響應(yīng)能在誤用發(fā)生之前有效地用于阻止入侵者?！鄙裨?自動響應(yīng)是在入侵者進行破壞之前阻止他們的必要的關(guān)鍵性能。如果沒有自動響應(yīng),那入侵檢測系統(tǒng)就毫無價值。實情:自動響應(yīng)能被攻擊者用作拒絕服務(wù)攻擊機制來攻擊...[繼續(xù)閱讀]

    “人工智能系統(tǒng)能識別新的誤用類型。”神話:研究人員正在研究人工智能系統(tǒng),幾年之后,它們將極大地提高入侵檢測系統(tǒng)的性能。這些系統(tǒng)將能夠檢測到至今尚不知道的威脅并通知操作人員。實情:研究人員正在研究人工智能系統(tǒng)...[繼續(xù)閱讀]

    本章是關(guān)于入侵檢測神話的?？傮w來說,我們可以討論這些神話指出的實情:實情1:不要認(rèn)為網(wǎng)絡(luò)入侵檢測就是所需要的全部。實情2:誤警表示系統(tǒng)沒有正確地調(diào)整好,或者是標(biāo)志設(shè)置錯誤。編寫得糟糕的標(biāo)志不是出現(xiàn)誤警的借口。實情...[繼續(xù)閱讀]

    外部人員被定義為沒被驗證便登錄的人。一旦外部人員獲得合法訪問,就被認(rèn)為是內(nèi)部人員。外部人員被劃分為兩個基本的類:●試圖獲得被驗證的訪問。●拒絕服務(wù)(DOS)。這兩類誤用有幾個子類。試圖獲得訪問可能集中于讀文件或其...[繼續(xù)閱讀]

    內(nèi)部人員被定義為任何被驗證后登錄的人。外部人員一旦被驗證登錄,就能用相似的賬戶做合法用戶所能做的任何事。在所有由計算機誤用導(dǎo)致的損失中,內(nèi)部人員誤用占了80%,所以檢測內(nèi)部人員誤用的能力很重要。非授權(quán)閱讀、非授...[繼續(xù)閱讀]

    任何影響重大攻擊可能會持續(xù)幾天、幾周、幾個月甚至幾年。請仔細考慮你最近幾年聽說過的美國間諜案件。這些人并不是拿走一份檔案就罷手。按照新聞報道,他們的間諜活動持續(xù)了2～8年!重大的計算機誤用通常包括計劃、測試、...[繼續(xù)閱讀]

    當(dāng)可疑活動正在發(fā)生時,先進行告警,接下來通常就要進行監(jiān)視(surveillance),目的是確認(rèn)是否發(fā)生了誤用。通常要監(jiān)控(monitor)幾天或幾周,而監(jiān)控還需要輸入帶外數(shù)據(jù)(如查看相應(yīng)的人力資源文件)。監(jiān)控是實時通知與數(shù)據(jù)辨析的結(jié)合。不應(yīng)...[繼續(xù)閱讀]