对于大多数项目,都必须小心地计划,否则花费将超出预算。关于入侵检测的一个有趣的特点是你愿意花费多少都可以,这依赖于你的需求。你的需求是影响业主总体花费(TCO)的因素。减少回报的法则极大地影响着入侵检测的许多方面...[继续阅读]

    本章描述的选择、评估过程包括核对清单、格式化信件以及为购买满足入侵检测需求的产品所提供的一个从头至尾的过程图表。www.practicalsecurity.com解释并提供了本书中描述的这些东西,以便可以针对你的组织进行定制。这种过程安排...[继续阅读]

    “异常检测能自动把非法行为和合法行为区别开。”神话:异常检测机制能用行为模型来提供自动入侵检测。这种强大的能力可以将一个用户与其他用户区分开来,能在产生危害之前识别出冒充者和恶棍,并当用户改变他们的行为方式...[继续阅读]

    网络标志有两种基本形式:分组内容中的模式及分组首部信息中的模式。回顾一下,网络入侵检测系统就像是一组由你保护的建筑物外面的摄像机一样。你要观察谁正在建筑物(分组首部信息)之间走动,还要观察他们在运送什么东西(分...[继续阅读]

    你需要向决策者论证是否值得部署入侵检测。论证的内容包括下面这些:入侵检测在安全中的重要性——检测及响应是有效的安全措施中不可或缺的部分。堡垒思想不足以保护分布式企业。你应该强调检测及响应在有效的、现实世界...[继续阅读]

    因为不能以一种有意义的方式可靠地计算标志的数量,所以下面的描述没有指出产品所支持的标志的数量。一般来说,网络产品都检测相同的误用模式。厂商将极力向你证明他们能比其竞争者检测到更多,但你不应该相信这样的话。有...[继续阅读]

    本章介绍基于网络的入侵检测,内容如下:●基于网络的入侵检测的结构。●网络分组通过一个基于网络的入侵检测系统的生存期。●基于网络的入侵检测的操作观念。●基于网络的入侵检测的好处。●基于网络的入侵检测系统的问题...[继续阅读]

    任何影响重大攻击可能会持续几天、几周、几个月甚至几年。请仔细考虑你最近几年听说过的美国间谍案件。这些人并不是拿走一份档案就罢手。按照新闻报道,他们的间谍活动持续了2～8年!重大的计算机误用通常包括计划、测试、...[继续阅读]

    你应该与你选择的厂商建立长期关系,这一步非常重要。这个步骤处理得怎样将决定你最终是得到闲置件(shelfware,永远都不能安装好的软件)、雾件(vaporware,从来都不存在的软件)还是有效的可操作系统。关键在于你应该提出合理的并能...[继续阅读]

    行为数据辨析与传统的辨析不同,因为它研究的是来自于系统日志的事件记录所代表的过去行为以及网络通信量,是一个强调入侵检测的判定支持功能的过程。行为数据辨析的益处包括检测黑客及内部人员,同时允许分析员进行损失评...[继续阅读]