入侵檢測技術提供標志及統計異常檢測。AI(artificialintelligence,人工智能)技術已經用在研究性系統中了,但還沒有用在商用產品中。這使許多人感到不安,因為他們認為AI將大大提高入侵檢測的能力。沒必要不安。AI系統還存在問題,而且...[繼續閱讀]

    網絡標志有兩種基本形式:分組內容中的模式及分組首部信息中的模式?；仡櫼幌?網絡入侵檢測系統就像是一組由你保護的建筑物外面的攝像機一樣。你要觀察誰正在建筑物(分組首部信息)之間走動,還要觀察他們在運送什么東西(分...[繼續閱讀]

    標志識別是基于主機的系統最常用的檢測機制。這些標志是預先定義的模式,并且這些模式被定義為能引起安全人員的興趣。關于標志的一個例子是“三次登錄失敗(Threefailedlogins)”。標志也被認為是規則或基于規則的系統。當觸發了...[繼續閱讀]

    復合標志(compoundsignature)將多個在線源(如一組基于主機的事件和網絡事件)聯系起來。復合標志具有一些優點(下面這些內容要感謝Cybersafe公司的Centrax小組的DanMasters):●基于網絡的標志不總是指出基于網絡的活動是否成功了。假設一個...[繼續閱讀]

    盡管有許多標志類型,但是安全人員在制定部署檢測系統所用到的規則集時必須相對保守一些,因為太多的標志將會導致系統性能下降、可管理性降低。大多數商用入侵檢測系統具有預先定義好的標志。安全人員可以定制標準的規則集...[繼續閱讀]

    人工智能是計算機術語,它模仿人類的思考過程。將人工智能應用到入侵檢測問題中的目的是在入侵檢測中能像人的大腦那樣完美地自動進行相關處理。MarkKantrowitz(AI.Repository@cs.cmu.edu)在CarnegieMellon大學維護的“人工智能常見問題解答...[繼續閱讀]

    有許多用于檢測誤用的技術和技巧,但標志是最常用的。網絡標志可以基于分組內容或分組首部。大多數商用網絡入侵檢測系統依賴于分組內容,但若遇到加密情況就無能為力了。分組首部更適合于用于判定支持上下文以識別來自于外...[繼續閱讀]

    雖然入侵檢測已經研究了差不多20年,但它在商業市場中仍然相對年輕,好消息仍然是鳳毛麟角。你可能聽說入侵者一般都會被捕獲,同時也聽說入侵檢測還不適合于企業采用。真相介于兩者之間。我已經從事開發入侵檢測系統幾乎12年...[繼續閱讀]

    “基于網絡的入侵檢測是保護企業的最重要的步驟?！鄙裨?媒體的注意力主要集中于網絡入侵。媒體傾向于將黑客、外國政府及計算機恐怖分子作為信息資產的最重大的威脅。網絡入侵更適合于檢測外部入侵。結果,當考慮到入侵檢...[繼續閱讀]

    “入侵檢測系統的誤警率太高了?！鄙裨?現在入侵檢測最重要的問題是誤警。當系統告警了,而最終證明是授權的活動或者只是無足輕重的錯誤,這時就發生了誤警。誤警浪費大量時間,增加操作人員的勞動量。它們還創建如此多的噪...[繼續閱讀]