举报文档 收藏
/1
帮帮创意 > 企业行政 > 入侵检测的分类..doc

入侵检测的分类..doc

入侵检测的分类..doc
内容要点:
入侵检测的分类:按照数据来源:– 基于主机: 系统获取数据的依据是系统运行所在的主机, 保护的目标也是系统运行所在的主机– 基于网络:系统获取的数据是网络传输的数据包,保护的是网络的运行– 混合型入侵检测性能关键参数:? 误报 (false positive):如果系统错误地将异常活动定义为入侵? 漏报 (false negative):如果系统未能检测出真正的入侵行为选择入侵检测方式:1)基于主机系统代理软件被安装在一台被监控的服务器上,代理软件跟踪记录这台服务器上的非授权访问企图或其它恶意行为。2)基于网络代理软件被安装在局域网网段或防火墙后来监视和分析网络传输流。监视入侵端口:网络上的通讯都是通过端口通讯的,不同的端口作用不同。使用浏览器查看网页,是通过 80 端口,在 IRC 中聊天是通过 6667 端口。而类似于 NETSPY 等特洛依木马软件,则通过 7306 或者其他端口进行通信,泄露资料。如果用软件监视 7306 等相应端口,就可以监视网络黑客的入侵。 (例如 NukeNabber 软件可设定监视 7306 端口,如果有人扫描该端口或试图进入你的 7306 端口,就会发出手警告,同时提示攻击者的地址)监视系统线程:由于特洛依木马程序的端口可任意改变,就产生了很多黑客程序变种。此时,要监视所有端口就比较困难。在这种情况下,就需要监视操作系统的线程。也就是说,看看电脑目前有多少端口在通讯。可以用检测软件 TCPVIEW 来进行线程监视。

发表评论

暂无评论,赶快抢占沙发吧。

ET****1

推荐内容

在线客服
写作定制

扫一扫微信联系老师

招募写手

写手微信联系老师