“異常檢測能自動把非法行為和合法行為區別開?！鄙裨?異常檢測機制能用行為模型來提供自動入侵檢測。這種強大的能力可以將一個用戶與其他用戶區分開來,能在產生危害之前識別出冒充者和惡棍,并當用戶改變他們的行為方式...[繼續閱讀]

    “企業級實時檢測是一項關鍵需求?！鄙裨?要證明入侵檢測系統的價值,絕對需要企業級實時檢測及響應。如果系統不能在幾秒鐘或幾微秒內(這以實時的定義而定)阻止入侵者,那么該系統就沒什么價值。實情:大多數基于網絡的系統...[繼續閱讀]

    “防火墻內部的網絡入侵檢測會檢測內部人員的誤用?！鄙裨?如果將一個網絡入侵檢測傳感器放在防火墻內部,它就能檢測到內部人員威脅。實情:這是純粹的、天花亂墜的銷售廣告。大多數網絡入侵檢測系統致力于檢測對網格進行...[繼續閱讀]

    “自動響應能在誤用發生之前有效地用于阻止入侵者?！鄙裨?自動響應是在入侵者進行破壞之前阻止他們的必要的關鍵性能。如果沒有自動響應,那入侵檢測系統就毫無價值。實情:自動響應能被攻擊者用作拒絕服務攻擊機制來攻擊...[繼續閱讀]

    “人工智能系統能識別新的誤用類型?！鄙裨?研究人員正在研究人工智能系統,幾年之后,它們將極大地提高入侵檢測系統的性能。這些系統將能夠檢測到至今尚不知道的威脅并通知操作人員。實情:研究人員正在研究人工智能系統...[繼續閱讀]

    本章是關于入侵檢測神話的?？傮w來說,我們可以討論這些神話指出的實情:實情1:不要認為網絡入侵檢測就是所需要的全部。實情2:誤警表示系統沒有正確地調整好,或者是標志設置錯誤。編寫得糟糕的標志不是出現誤警的借口。實情...[繼續閱讀]

    外部人員被定義為沒被驗證便登錄的人。一旦外部人員獲得合法訪問,就被認為是內部人員。外部人員被劃分為兩個基本的類:●試圖獲得被驗證的訪問?！窬芙^服務(DOS)。這兩類誤用有幾個子類。試圖獲得訪問可能集中于讀文件或其...[繼續閱讀]

    內部人員被定義為任何被驗證后登錄的人。外部人員一旦被驗證登錄,就能用相似的賬戶做合法用戶所能做的任何事。在所有由計算機誤用導致的損失中,內部人員誤用占了80%,所以檢測內部人員誤用的能力很重要。非授權閱讀、非授...[繼續閱讀]

    任何影響重大攻擊可能會持續幾天、幾周、幾個月甚至幾年。請仔細考慮你最近幾年聽說過的美國間諜案件。這些人并不是拿走一份檔案就罷手。按照新聞報道,他們的間諜活動持續了2～8年!重大的計算機誤用通常包括計劃、測試、...[繼續閱讀]

    當可疑活動正在發生時,先進行告警,接下來通常就要進行監視(surveillance),目的是確認是否發生了誤用。通常要監控(monitor)幾天或幾周,而監控還需要輸入帶外數據(如查看相應的人力資源文件)。監控是實時通知與數據辨析的結合。不應...[繼續閱讀]