国产网红女主播精品视频,欧美激情一级片一区二区,午夜久久久影院

網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來(lái)的新技術(shù)，它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體，實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作，使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計(jì)算機(jī)、存儲(chǔ)資源、數(shù)據(jù)資源、信息資源、知識(shí)資源、專(zhuān)家資源、大型數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)、傳感器等。當(dāng)前的互聯(lián)網(wǎng)只限于信息共享，網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。

自從計(jì)算機(jī)以網(wǎng)絡(luò)方式被連接開(kāi)始，網(wǎng)絡(luò)安全就成為一個(gè)重大問(wèn)題，隨著INTERNET的發(fā)展，安全系統(tǒng)的要求也與日俱增，其要求之一就是入侵檢測(cè)系統(tǒng)。

　　本文旨在介紹幾種常見(jiàn)的入侵檢測(cè)系統(tǒng)及其理論和實(shí)踐，需要指出的是，本文僅僅是一篇介紹性的文章,即使我推薦了許多可能的系統(tǒng)，在你相信其可靠性前，最好還是深入的研究一下他們。(NND,煩死我了,要敲4個(gè)字，以后我就簡(jiǎn)稱(chēng)ID得了。入侵檢測(cè)系統(tǒng)就是IDS ：-) )

　　一、什么是入侵檢測(cè)。

　　入侵檢測(cè)是指監(jiān)視或者在可能的情況下，阻止入侵或者試圖控制你的系統(tǒng)或者網(wǎng)絡(luò)資源的那種努力。

　　簡(jiǎn)而言之，它的工作方式是這樣的：你有臺(tái)機(jī)器，被連接到網(wǎng)絡(luò)上，也許就是被連到了INTERNET上，出于可以理解的原因,你也愿意為被授權(quán)者設(shè)置從網(wǎng)絡(luò)上訪問(wèn)你的系統(tǒng)的許可。比如，你有以臺(tái)連接到INTERNET上的WEB服務(wù)器，愿意讓客戶(hù)、職員和潛在客戶(hù)可以訪問(wèn)存儲(chǔ)在WEB服務(wù)器上的頁(yè)面。

　　然而，你并不愿意那些未經(jīng)授權(quán)的職員、顧客或者其他未經(jīng)授權(quán)的第三方訪問(wèn)系統(tǒng)。比如，你不愿意除了公司雇傭的網(wǎng)頁(yè)設(shè)計(jì)人員以外的人員可以修改儲(chǔ)存在機(jī)器上的頁(yè)面。典型的做法之一就是使用防火墻或者某種認(rèn)證系統(tǒng)來(lái)防止未經(jīng)授權(quán)的訪問(wèn)。

　　但是，在一些情況下，簡(jiǎn)單的使用防火墻或者認(rèn)證系統(tǒng)也可以被攻破。入侵檢測(cè)就是這樣以種技術(shù)，它會(huì)對(duì)未經(jīng)授權(quán)的連接企圖作出反應(yīng)，甚至可以抵御以部分可能的入侵。

　　那么

　　二、為什么要使用ID呢？

　　以下給出了使用ID的理由：

　　（1）你需要保護(hù)自己的數(shù)據(jù)安全和系統(tǒng)，而事實(shí)是在現(xiàn)在的INTERNET環(huán)境下，如果你僅僅使用普通的密碼和文件保護(hù)方式，你不可能永遠(yuǎn)保證你數(shù)據(jù)和系統(tǒng)的安全性。

　�。�2）對(duì)于保護(hù)數(shù)據(jù)來(lái)說(shuō)，沒(méi)有什么比系統(tǒng)的安全更重要了，想就這么把你的機(jī)器連上INTETNET而不作任何防護(hù)，甚至連管理員密碼都不設(shè)，就指望這臺(tái)機(jī)器會(huì)太平無(wú)事，那簡(jiǎn)直是近乎于癡心妄想。同樣，系統(tǒng)對(duì)核心文件或者授權(quán)數(shù)據(jù)庫(kù)（比如NT的SAM和UNIX的/ETC/PASSWORD或者/ETC/SHADOW）的保護(hù)也是非常重要的。

　�。�3）在通過(guò)局域網(wǎng)連接到INTERNET的環(huán)境下，經(jīng)常會(huì)采用防火墻或者其他保護(hù)措施，如果在NT環(huán)境下，如果開(kāi)放了文件共享，或者允許TELNET，這臺(tái)機(jī)器就需要更好的保護(hù)，比如在防火墻中對(duì)137－139端口（屬于TCP/UDP），SMB協(xié)議下的NT文件共享加以限制、使用SSH取代UNIX環(huán)境下的TELNET連接。

　�。�4）ID還有進(jìn)一步的作用，由于被放置在防火墻和被保護(hù)的系統(tǒng)之間，ID等于是在系統(tǒng)之上增加了以層保護(hù)。比如，通過(guò)ID對(duì)敏感端口的監(jiān)測(cè)就可以判斷防火墻是否已經(jīng)被攻破，或者防護(hù)措施已經(jīng)被滅了。　

　　三、ID有哪些種類(lèi)呢？

　　ID可以分為兩大類(lèi)，

　�。�1）基于網(wǎng)絡(luò)的系統(tǒng)：這種ID放置于網(wǎng)絡(luò)之上，靠近被檢測(cè)的系統(tǒng)，它們監(jiān)測(cè)網(wǎng)絡(luò)流量并判斷是否正常。

　�。�2）基于主機(jī)的系統(tǒng)：這種系統(tǒng)經(jīng)常運(yùn)行在被監(jiān)測(cè)的系統(tǒng)之上，用以監(jiān)測(cè)系統(tǒng)上正在運(yùn)行的進(jìn)程是否合法。我還想補(bǔ)充最近出現(xiàn)的一種ID：位于操作系統(tǒng)的內(nèi)核之中并監(jiān)測(cè)系統(tǒng)的最底層行為。所有這些系統(tǒng)最近已經(jīng)可以被用于多種平臺(tái)�！�

　　基于網(wǎng)絡(luò)的ID

　　簡(jiǎn)介

　　基于網(wǎng)絡(luò)的IDS是指監(jiān)測(cè)整個(gè)網(wǎng)絡(luò)流量的系統(tǒng)，一塊網(wǎng)卡就可能會(huì)有兩種用途：

　　普通模式：受數(shù)據(jù)包里面所包含的MAC地址決定，數(shù)據(jù)被發(fā)送到目的主機(jī)。

　　任意模式（Promiscuous mode）：所有可以被監(jiān)測(cè)到的信息均被主機(jī)接收。

　　網(wǎng)卡可以在普通模式和任意模式之間進(jìn)行切換，同樣，使用操作系統(tǒng)的低級(jí)功能就可以完成這種變換�；诰W(wǎng)絡(luò)的IDS一般是需要把網(wǎng)卡設(shè)置成后以種模式�！�

　　包嗅探和網(wǎng)絡(luò)監(jiān)測(cè)

　　包嗅探和網(wǎng)絡(luò)監(jiān)測(cè)最初是為了監(jiān)測(cè)以太網(wǎng)的流量而設(shè)計(jì)的，最初的代表性產(chǎn)品就是NOVEL的LANALYSER和MS的NETWORK MONITOR。

　　這些產(chǎn)品一般會(huì)攔截它們?cè)诰W(wǎng)絡(luò)上可疑攔截的一切數(shù)據(jù)包，當(dāng)一個(gè)數(shù)據(jù)包被攔截后，可能會(huì)有以下幾種情況：

　　對(duì)包進(jìn)行累加，在截取的時(shí)間段內(nèi)對(duì)數(shù)據(jù)包進(jìn)行累加，用以確定該時(shí)間段內(nèi)網(wǎng)絡(luò)的負(fù)載，LANALYSER和MS的NM都在網(wǎng)絡(luò)負(fù)載的表示界面方面有很好的表現(xiàn)。

　　對(duì)數(shù)據(jù)包進(jìn)行分析：比如，當(dāng)你想對(duì)抵達(dá)一個(gè)WEB服務(wù)器的數(shù)據(jù)進(jìn)行分析時(shí)，你往往會(huì)先捕獲一些數(shù)據(jù)，然后進(jìn)行分析。

　　包嗅探工具在近年有了長(zhǎng)足的發(fā)展，象ETHEREAL和新版的MSNM都可以對(duì)數(shù)據(jù)包進(jìn)行詳盡的分析。

　　最后羅嗦以句（NND，洋人就是P多）：工具本身無(wú)善惡，全在人心，通過(guò)對(duì)連接到UNIX的TELNET連接進(jìn)行包嗅探，就可能可以截取用戶(hù)的密碼，任何一個(gè)入侵者一旦得手，首先的事情就是會(huì)安裝包嗅探器（NND，那是說(shuō)高手，象俺最多在自己的機(jī)器上裝個(gè)嗅探器，嘿嘿）　

　　包嗅探與任意模式

　　所有包嗅探都需要網(wǎng)卡被設(shè)置為任意模式，因?yàn)閮H在此模式下，所有通過(guò)網(wǎng)卡的數(shù)據(jù)可以被傳送到嗅探器，包嗅探的使用前提是安裝他的機(jī)器上使用者具有管理員權(quán)限

　　還有一點(diǎn)需要引起注意的是交換機(jī)的使用，請(qǐng)注意，不是HUB（NND，當(dāng)我們中國(guó)人沒(méi)見(jiàn)過(guò)交換機(jī)啊�。�，在交換機(jī)內(nèi)，一個(gè)接口所接收的數(shù)據(jù)并不是一定會(huì)轉(zhuǎn)發(fā)到另一個(gè)接口，所以，在這種情況下，包嗅探器并不一定可以發(fā)揮其作用�！�

　　基于網(wǎng)絡(luò)的ID：嗅探器的發(fā)展

　　不幸的是，從安全的角度來(lái)看，包嗅探器好處有限。要去捕獲每一個(gè)數(shù)據(jù)包，然后是分析、手工采取行動(dòng)，實(shí)在是一件煩瑣之至的事情，但是，如果用軟件來(lái)代替我們的勞動(dòng)呢？

　　這就是基于網(wǎng)絡(luò)的ID要干的活。比如經(jīng)常使用的ISS RealSecure Engine和Network Flight Recorder.

[page_break]　　以下給出RealSecure Engine這種ID的作用：

　　監(jiān)測(cè)網(wǎng)絡(luò)上的數(shù)據(jù)傳輸情況。

　　如果數(shù)據(jù)為正常數(shù)據(jù)，允許其通過(guò)（或者留待以后分析），如果數(shù)據(jù)包被認(rèn)為可能會(huì)危害目的地系統(tǒng)的安全，則發(fā)出"connection closed"（使用TCP協(xié)議時(shí)）或者"port unreachable’（使用ICMP時(shí)）以截?cái)鄶?shù)據(jù)發(fā)送方和接收方之間的連接。

　　在這種情況下，RealSecure可以在防火墻后建立起以個(gè)有效的阻止系統(tǒng)，當(dāng)然，也有在防火墻的位置直接使用RS的，而我（原作者－不是土鱉我啊�。┎唤ㄗh大伙采用這種方法。

　　基于網(wǎng)絡(luò)的ID還有一些別的功能，比如：　

　　監(jiān)測(cè)明顯的端口掃描。在攻陷系統(tǒng)之前，攻擊者一般會(huì)掃描系統(tǒng)以發(fā)現(xiàn)系統(tǒng)的缺陷，一般說(shuō)來(lái)，INTERNET上來(lái)自以臺(tái)主機(jī)的端口掃描往往是有人開(kāi)始攻擊的先兆。

　　對(duì)常見(jiàn)的攻擊方式加以監(jiān)測(cè)。通過(guò)80端口連接到以臺(tái)WEB服務(wù)器應(yīng)該看來(lái)是以件很正常的事情，但是有些同樣通過(guò)80端口進(jìn)行的連接就可能是禍心內(nèi)藏哦，看看這個(gè)命令你就知道了：

　　“GET /../../../etc/passwd HTTP/1.0”

　　鑒別各種IP欺騙。用于完成IP和MAC地址之間轉(zhuǎn)換的ARP協(xié)議往往是攻擊的重點(diǎn)，通過(guò)在以太網(wǎng)上向目的地址發(fā)布載有虛假ARP數(shù)據(jù)的數(shù)據(jù)包，入侵者可以將自己偽裝成位于另外一個(gè)系統(tǒng)上，這樣的結(jié)果就是各種拒絕服務(wù)攻擊，當(dāng)大型服務(wù)器（如DNS或者身份認(rèn)證服務(wù)器）遭到攻擊時(shí)，入侵者可以將數(shù)據(jù)包轉(zhuǎn)發(fā)到自己的系統(tǒng)上�；诰W(wǎng)絡(luò)的IDS通過(guò)登記ARP包，對(duì)信息源（以太網(wǎng)地址）進(jìn)行認(rèn)定，如果確認(rèn)信息來(lái)自于已經(jīng)被攻陷的系統(tǒng)，則會(huì)對(duì)入侵者進(jìn)行攔截。　

　　如果探測(cè)到了有問(wèn)題的行動(dòng)，基于網(wǎng)絡(luò)的ID會(huì)自行采取行動(dòng)，包括重新配置附近的防火墻以攔截所有來(lái)自入侵者的數(shù)據(jù)流.　

　　基于主機(jī)的ID簡(jiǎn)介

　　當(dāng)數(shù)據(jù)包抵達(dá)目的主機(jī)后，防火墻和網(wǎng)絡(luò)監(jiān)控已經(jīng)無(wú)能為力了，但是還有以個(gè)辦法可以試試，那就是“基于主機(jī)的ID”

　　基于主機(jī)的ID又可以分成兩大類(lèi)：

　　網(wǎng)絡(luò)監(jiān)測(cè)：這種監(jiān)測(cè)對(duì)抵達(dá)主機(jī)的數(shù)據(jù)進(jìn)行分析并試圖確認(rèn)哪些是潛在的威脅，任何連接都可能是潛在的入侵者所為，請(qǐng)注意，這點(diǎn)與基于網(wǎng)絡(luò)的ID不同，因?yàn)樗鼉H僅對(duì)已經(jīng)抵達(dá)主機(jī)的數(shù)據(jù)進(jìn)行監(jiān)測(cè)，而后者則是對(duì)網(wǎng)絡(luò)上的流量進(jìn)行監(jiān)控。如次一來(lái)就不需要把網(wǎng)卡設(shè)置成××模式了。

　　主機(jī)監(jiān)測(cè)：任何入侵企圖（或者成功的入侵）都會(huì)在監(jiān)測(cè)文件、文件系統(tǒng)、登錄記錄或其他主機(jī)上的文件中留下痕跡，系統(tǒng)管理員們可以從這些文件中找到相關(guān)痕跡。

　　外來(lái)連接監(jiān)測(cè)：

　　主機(jī)可以在數(shù)據(jù)包真正抵達(dá)主機(jī)之前對(duì)試圖進(jìn)入主機(jī)的數(shù)據(jù)包進(jìn)行監(jiān)測(cè)，以避免其進(jìn)入系統(tǒng)后可能造成的損害。

　　可供選擇的處理方式有：

　　監(jiān)測(cè)未經(jīng)授權(quán)的試圖通過(guò)TCP或者UDP端口進(jìn)行的連接，比如如果有人試圖通過(guò)未開(kāi)放任何服務(wù)的端口進(jìn)行連接，就往往意味著有人在尋找系統(tǒng)漏洞。

　　監(jiān)測(cè)端口掃描：在此我再推薦一種方式：調(diào)整防火墻或者調(diào)整本地IP配置（可以使用LINUX下的IPCHAINS）以拒絕來(lái)自可能的入侵者的連接請(qǐng)求。

　　值得推薦的兩個(gè)文件是ISS的RealSecure Agent和PortSentry.　

　　注冊(cè)行為監(jiān)測(cè)

　　即使網(wǎng)管做了最大的努力，安裝了最新的IDS，入侵者也有可能使用無(wú)法被監(jiān)測(cè)到的的手段來(lái)入侵系統(tǒng)，造成這種情況的重要可能之一就是入侵者使用包嗅探恩公工具已經(jīng)取得了用戶(hù)密碼并能夠合法登錄系統(tǒng)。

　　HOSTSENTRY這樣的產(chǎn)品的任務(wù)之一就是尋找系統(tǒng)的不尋常操作，對(duì)用戶(hù)試圖進(jìn)行注冊(cè)和注銷(xiāo)進(jìn)行監(jiān)控，并就這些活動(dòng)中不正�；蛘呶丛A(yù)料的部分向系統(tǒng)管理員報(bào)警�！�

　　根操作監(jiān)控

　　入侵者的最終目的是為了掌握被入侵主機(jī)上的根用戶(hù)權(quán)限，如果一臺(tái)WEB服務(wù)器規(guī)劃的好的話，除了極少數(shù)的計(jì)劃好的維修時(shí)間以外，根用戶(hù)應(yīng)該很少會(huì)有什么操作，但是根用戶(hù)們也很少按照計(jì)劃去進(jìn)行檢修，而是逮空就干，但是即使是這樣，入侵者也很有可能在兔子都不拉屎的時(shí)間或者地方干出些什么事情來(lái)。

　　需要防御的戰(zhàn)線還有以條：監(jiān)視根用戶(hù)或系統(tǒng)管理員的任何操作。許多UNIX系統(tǒng)允許根用戶(hù)執(zhí)行包括登錄、監(jiān)測(cè)在內(nèi)的所有運(yùn)算，而象LOGCHECK這樣的工具則可以對(duì)這些登錄記錄加以監(jiān)控并提請(qǐng)網(wǎng)管注意。

　　如果使用了開(kāi)放源代碼的操作系統(tǒng)，網(wǎng)管們只有一個(gè)選擇：改進(jìn)內(nèi)核。如何改進(jìn)不在本文的討論范圍之內(nèi)，畢竟INTERNET網(wǎng)上這樣的資源很多。

　　監(jiān)測(cè)文件系統(tǒng)

　　不管你的愿望如何良好，ID怎么賣(mài)命，你也不敢保證系統(tǒng)固若金湯，而系統(tǒng)一旦被攻陷，入侵者就會(huì)立即開(kāi)始更改系統(tǒng)的文件，或者更改一些設(shè)置以廢掉ID們的武功（哦！要練神功，必先自宮！�。�

　　在軟件的安裝過(guò)程中，不可避免的會(huì)更改系統(tǒng)設(shè)置，這些設(shè)置更改一般會(huì)在系統(tǒng)的文件或者LIBRARY的變化中體現(xiàn)出來(lái)。

　　類(lèi)似于TRIPWIRE，F(xiàn)CHECK和AIDE的程序被設(shè)計(jì)用于檢測(cè)系統(tǒng)內(nèi)的文件變動(dòng)，并向系統(tǒng)管理員報(bào)告。

　　在所有系統(tǒng)文件上使用MD5或者其他的加密、校驗(yàn)和等手段，將這些設(shè)置儲(chǔ)存進(jìn)數(shù)據(jù)庫(kù)，當(dāng)文件變化時(shí)，校驗(yàn)和也會(huì)發(fā)生變化。

　　注意所有文件的創(chuàng)建和修改時(shí)間，以及它們的時(shí)戳。

　　對(duì)SUID命令的使用加以監(jiān)控，任何變化或者新的SUID命令被安裝、刪除，都可能會(huì)是問(wèn)題的征兆。

　　不管Tripwire, Fcheck, AIDE玩得怎么花，它們的工作原理就是上面那些東西，它們的作用是保證那些數(shù)據(jù)庫(kù)和加密的校驗(yàn)和沒(méi)出問(wèn)題。因?yàn)椴慌懦@樣一種可能，入侵者水平很高，高到足以理解操作系統(tǒng)和IDS，直接就把加密的校驗(yàn)和數(shù)據(jù)庫(kù)都改得天衣無(wú)縫�！�

　　基于內(nèi)核的ID

　　基于內(nèi)核的ID還是以種新生事務(wù)，但是成長(zhǎng)很快，尤其是在和LINUX的配合方面。

　　現(xiàn)在有兩種基于LINUX的不同的基于內(nèi)核的ID，它們是OPENWALL和LIDS。它們?cè)诜乐咕彌_區(qū)溢出方面有了長(zhǎng)足進(jìn)展，增強(qiáng)了文件系統(tǒng)的保護(hù)，攔截信號(hào)并使入侵系統(tǒng)變得更加困難。LIDS也采取了一定措施以防止根用戶(hù)執(zhí)行一些操作，比如安裝嗅探器或者更改防火墻規(guī)則等等。　

　　內(nèi)核保護(hù)和文件系統(tǒng)保護(hù)

　　顯而易見(jiàn)的是，雖然最終效果相近，LIDS系統(tǒng)和TRIPWIRE系統(tǒng)差別很大，它們都可以用于阻止入侵者出于未經(jīng)授權(quán)的目的使用系統(tǒng)。

　　乍看之下，雖然象TRIPWIRE這樣的系統(tǒng)確實(shí)是一個(gè)監(jiān)測(cè)文件系統(tǒng)的好東西，人們也可能會(huì)認(rèn)為他意義不大，人們的共識(shí)是：一旦你的系統(tǒng)被內(nèi)在的入侵者攻陷，最好的辦法就是關(guān)機(jī)重裝系統(tǒng)。損失已然造成，系統(tǒng)已然玩完，你還是老老實(shí)實(shí)從恢復(fù)盤(pán)上重裝系統(tǒng)得了。而LIDS提供的服務(wù)則更有誘惑一些，如果說(shuō)一般的家伙是在屋子里面已經(jīng)被糟踐得一塌糊涂后才來(lái)跑來(lái)告訴你門(mén)開(kāi)著的話，LIDS可能會(huì)使你的系統(tǒng)免遭損失。　

　　從理論上說(shuō)，我也同意以上分析，但是如果將LIDS和TRIPWIRE同時(shí)運(yùn)行，肯定會(huì)帶來(lái)更好的安全性。雖然LIDS在保護(hù)文件系統(tǒng)方面有著獨(dú)到之處，但是如果再加上象TRIPWIRE這樣的文件系統(tǒng)監(jiān)視器，用他作為一個(gè)“獨(dú)立的”審計(jì)方，效果肯定會(huì)更好，因?yàn)镠ACKER有可能會(huì)挫敗LIDS的努力。

　　小結(jié)

　　使用最新的工具可能會(huì)抵御一切已知形式的入侵，不幸的是，隨著日常實(shí)踐，新的威脅和軟件的安全漏洞卻在不斷的被發(fā)現(xiàn)。

[page_break]　　在任何環(huán)境下，非常重要的一點(diǎn)是知道你可能面對(duì)的所有威脅，要警惕你系統(tǒng)里面可能存在的潛在漏洞并加以修補(bǔ)，以免遭受基于這些漏洞的攻擊。

　　舉個(gè)例子來(lái)說(shuō)，以臺(tái)通過(guò)防火墻被連接到INTERNET 的主機(jī)可以說(shuō)會(huì)免于大多數(shù)種攻擊，但是機(jī)器里的CGI程序則會(huì)使機(jī)器暴露出脆弱的以面，要尤其注意并確定CGI程序已經(jīng)被合適的配置，數(shù)據(jù)在執(zhí)行前已經(jīng)被確認(rèn)合法有效。而一個(gè)ID程序則會(huì)被放在WEB服務(wù)器和防火墻之間以攔截任何可疑的連接。

　　隨時(shí)更新

　　隨著新的入侵手段的發(fā)現(xiàn)，上面我們所闡述的工具也在不斷更新，所以及時(shí)更新工具也是非常重要的。

　　在安裝了相應(yīng)的軟件以后，用戶(hù)有必要經(jīng)常訪問(wèn)一些和安全有關(guān)的頁(yè)面和郵件列表，同時(shí)，如果你所安裝的軟件或者防火墻報(bào)告說(shuō)其自身出現(xiàn)缺陷或者其他被入侵的問(wèn)題，千萬(wàn)不要為了面子而不去向軟件提供商需求幫助（老外也這么要面子嗎？嘿嘿）

　　Which Tools?

　　使用什么軟件呢？　

　　以上我們已經(jīng)探討了好幾種有著不同功能的工具。為了盡量保證你的環(huán)境的安全性，根據(jù)功能來(lái)選擇工具就變得非常重要。工具之間“尺有所短，寸有所長(zhǎng)”的情況很突出，所以，你的安全防線的第以關(guān)應(yīng)該就是防火墻，然后，在防火墻后側(cè)安裝基于網(wǎng)絡(luò)的IDS用于監(jiān)視防火墻，再以后呢（老外就是TMD煩），就應(yīng)該是連接監(jiān)測(cè)工具，比如PORTSEBTRY或者HOSTSENTRY之類(lèi)的，最后呢，你還可以用LOGCHECK之類(lèi)的工具來(lái)監(jiān)測(cè)那些最終的進(jìn)入者。

　　當(dāng)您選擇入侵檢測(cè)系統(tǒng)時(shí)，要考慮的要點(diǎn)有：

　　1.系統(tǒng)的價(jià)格
　　當(dāng)然，價(jià)格是必需考慮的要點(diǎn)，不過(guò)，性能價(jià)格比、以及要保護(hù)系統(tǒng)的價(jià)值可是更重要的因素。

　　2.特征庫(kù)升級(jí)與維護(hù)的費(fèi)用
　　象反病毒軟件一樣，入侵檢測(cè)的特征庫(kù)需要不斷更新才能檢測(cè)出新出現(xiàn)的攻擊方法。

　　3.對(duì)于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，最大可處理流量(包/秒PPS)是多少
　　首先，要分析網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)所布署的網(wǎng)絡(luò)環(huán)境，如果在512K或2M專(zhuān)線上布署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，則不需要高速的入侵檢測(cè)引擎，而在負(fù)荷較高的環(huán)境中，性能是一個(gè)非常重要的指標(biāo)。

　　4.該產(chǎn)品容易被躲避嗎
　　有些常用的躲開(kāi)入侵檢測(cè)的方法，如：分片、TTL欺騙、異常TCP分段、慢掃描、協(xié)同攻擊等。

　　5.產(chǎn)品的可伸縮性
　　系統(tǒng)支持的傳感器數(shù)目、最大數(shù)據(jù)庫(kù)大小、傳感器與控制臺(tái)之間通信帶寬和對(duì)審計(jì)日志溢出的處理。

　　6.運(yùn)行與維護(hù)系統(tǒng)的開(kāi)銷(xiāo)

　　產(chǎn)品報(bào)表結(jié)構(gòu)、處理誤報(bào)的方便程度、事件與事志查詢(xún)的方便程度以及使用該系統(tǒng)所需的技術(shù)人員數(shù)量。

　　7.產(chǎn)品支持的入侵特征數(shù)
　　不同廠商對(duì)檢測(cè)特征庫(kù)大小的計(jì)算方法都不一樣，所以不能偏聽(tīng)一面之辭。

　　8.產(chǎn)品有哪些響應(yīng)方法
　　要從本地、遠(yuǎn)程等多個(gè)角度考察。自動(dòng)更改防火墻配置是一個(gè)聽(tīng)上去很“酷”的功能，但是，自動(dòng)配置防火墻可是一個(gè)極為危險(xiǎn)的舉動(dòng)。

　　9.是否通過(guò)了國(guó)家權(quán)威機(jī)構(gòu)的評(píng)測(cè)
　　主要的權(quán)威測(cè)評(píng)機(jī)構(gòu)有：國(guó)家信息安全測(cè)評(píng)認(rèn)證中心、公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心。

網(wǎng)絡(luò)的神奇作用吸引著越來(lái)越多的用戶(hù)加入其中，正因如此，網(wǎng)絡(luò)的承受能力也面臨著越來(lái)越嚴(yán)峻的考驗(yàn)―從硬件上、軟件上、所用標(biāo)準(zhǔn)上......，各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢(shì)，對(duì)應(yīng)發(fā)展，這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。

溫馨提示：喜歡本站的話，請(qǐng)收藏一下本站！

當(dāng)前位置:蘿卜系統(tǒng) > 網(wǎng)絡(luò)技術(shù)教程 > 詳細(xì)頁(yè)面

入侵檢測(cè)系統(tǒng)原理、實(shí)戰(zhàn)與選購(gòu)

本類(lèi)教程下載

系統(tǒng)下載排行

當(dāng)前位置:蘿卜系統(tǒng) > 網(wǎng)絡(luò)技術(shù)教程 > 詳細(xì)頁(yè)面

入侵檢測(cè)系統(tǒng)原理、實(shí)戰(zhàn)與選購(gòu)

本類(lèi)教程下載

系統(tǒng)下載排行

入侵檢測(cè)系統(tǒng)原理、實(shí)戰(zhàn)與選購(gòu)