介绍了入侵检测
任期入侵检测手段,很多事情让许多人;不过,为清楚起见,我们去界定它作为该法的检测敌对用户或入侵者,他们正试图获得未经授权的访问。 假设这个定义,一些常用的方法是用来探测入侵者-举例来说,检测系统,网络,应用,防火墙,路由器日志敌意或不寻常的活动。 有些系统管理员将执行二进制完整跳棋等幕僚或绊线,希望能赶上的成功攻击时,他们的存款木马代码对失密服务器。 其他管理人,将单纯监管事件日志寻找失败的用户登录尝试。 虽然所有这些方法都是有帮助的,他们变得很困难,如果不是不可能的,以履行对每天都在发生。 引进数百机器,任务变成彻头彻尾的压倒性的。 输入:入侵检测系统。 根现今入侵检测系统在于,在入侵检测专家系统(理念)和分布式入侵侦测系统(分布式入侵检测系统)的模式开发,由美国国防部(国防部发表的) ,早在八十年代末期和九十年代初。 这部分的第一个自动化系统,以部署。 今天,大多数的入侵检测(工作证)制度,是德与该公司签订的同一个目标牢记:要帮忙自动化的过程中寻找入侵者。 这可以这么简单,实时解析防火墙日志寻找端口扫描,或复杂的申请查阅套路,以原始网络交通寻找缓冲区溢出企图。 传统的入侵检测系统的分类方案付诸表决,大多数系统分为两个不同的阵营:滥用检测模型和异常检测模型。 有两种实现误用检测模型:基于网络的入侵检测系统(网络入侵检测系统)和基于主机的入侵检测系统(主机) 。 读者应该注意到,很多其他的入侵检测模型确实存在,但不太受欢迎。 不过,最现代的为期一天的入侵检测系统的实现可分为其中一类: -基于网络的入侵检测系统。其目前的形式,网络入侵检测设备原始数据包解析引擎-歌颂嗅探器对类固醇。 他们捕获网络流量,并比较与交通一套已知的攻击模式或签名。 网络入侵检测设备比较这些签名的每一个包说,他们看到的,希望能赶上的入侵者在该法中。 网络入侵检测设备可以部署被动的位置,而不需要重大修改,以系统或网络。 • 基于主机的入侵检测系统。这些系统都不同厂商的供应商,但他们往往是系统的核心,在他们的分析。 大多数基于主机的智能决策支持系统将有组件解析系统日志和监视用户登录和进程。 一些较为先进的系统,甚至有内置式能力,以赶上木马代码进行部署。 基于主机系统是基于代理-也就是说,他们需要安装一个程序在系统上,他们的保障。 这使他们能更深入一些的水平,而且更是一个令人头痛的部署和管理。 • 异常入侵检测系统。异常为基础的系统是一个较为模糊,而且往往是时代统称为更多的是"概念" ,比一个实际的模型。 背后的理念不合常理为基础的办法,是要通过认识规律,使用者和交通网络,并找到偏差,在这些模式。 例如,用户通常以原木在周一,通过周五,但现在已经测井在下午3时于周日可能被标定为一个潜在的问题是由一个异常的入侵检测系统。 从理论上讲,一个异常入侵检测系统能检测到的东西是错误而不知道具体是什么问题的根源。 最常见的入侵检测系统类型,无论是商业和部署,是主机和网络入侵检测系统模型。 虽然工作模式异常为基础的智能决策支持系统存在的,他们很少在国外部署的政府和学术界。 注 很多人不熟悉入侵检测系统领域的混淆技术与接入控制设备,例如防火墙。 入侵侦测系统,其目前的形式,不作为一种接入控制。 而它们中的一些可配置浇互动与防火墙,这不是他们的主要目的。 初学者应该想入侵检测系统作为一种防盗报警器,而不是作为一个锁或门。 这是一篇文章说,由丹尼斯诺曼
|
|||||
|