当前位置：首页 » 软件开发

开发技术指南» 文章正文

    引言： -入侵者如何进入系统? -入侵者为什么要侵入系统? -入侵

 

 

入侵检测系统FAQ（全）

-入侵者为什么要侵入系统? 【程序编程相关:如何给Table减肥】

-入侵者如何进入系统? 【推荐阅读:C++ Builder 中园形、三角形按】

-典型的入侵过程? 【扩展信息:检测活动桌面是否激活】

-入侵者如何获得口令?

-一般的侵入类型有哪些?

-什么是漏洞(exploits)?

-什么是侦察(reconnaisance)[译注:原文如此,疑为reconnaissance?]

-什么是拒绝服务(dos)?

-现在的攻击有多危险?

-哪里可以找到现在攻击行为的统计?

2.架构

-入侵如何被检测?

-nids如何分辨流入数据?

-检测到被攻击后nids作些什么?

-除了nids还有什么类似的措施?

-我应该在网络的什么地方安装nids?

-如何让ids适合安全架构的其他部分?

-如何检测是否运行了ids?

3.对策

-如何提高winnt下的入侵检测与预防?

-如何提高win95/98下的入侵检测与预防?

-如何提高unix下的入侵检测与预防?

-如何提高macintosh下的入侵检测与预防?

-如何提高企业的入侵检测与预防?

-怎样在企业内实现入侵检测?

-被攻击后我应该作什么?

-有人说他们从我这里被攻击,我应怎么作?

-如何收集足够多的关于入侵者的证据?

4.产品

-有哪些自由软件(freeware)或者共享软件(shareware)的入侵检测系统?

-有哪些商业的入侵检测系统?

-什么是"网络查找"(network grep)系统?

-入侵者使用什么工具进入我的系统?

-我应该关心的其他的入侵检测系统?

6.资源

-哪里可以发现新的系统漏洞的更新?

-其他的有关安全与入侵检测的资源?

-有哪些值得注意的站点?

7.ids与防火墙(firewall)

-为什么有了防火墙还需要ids?

-有了入侵检测,还需要防火墙么?

-ids从哪里取得信息?防火墙么?

8.实现指南

-我应该问ids提供商哪些问题?

-我如何在持续(on-going)的基础上维护系统?

-我如何制止不适当的网络浏览?

-我如何建立我自己的ids(写代码)?

-nids合法么(既然这是一种窃听)?

-如何保护日志文件不被篡改证据?

9.nids的局限

-交换网络(固有的局限)

-资源局限

-nids攻击

-简单原因

-复杂原因

-工具

10.杂项

-哪些标准/互操作的努力

11.蜜罐与欺骗系统

-什么是蜜罐?

-蜜罐有哪些优点?

-蜜罐有哪些不利?

-如何设置我自己的蜜罐?

-蜜罐有哪些类型?

-建立一个可被攻击的系统的正反作用?

-有人们使用蜜罐的例子么?

-有哪些蜜罐的产品?

-什么是欺骗对策?

<正文>

1.介绍

1.1 什么是网络侵入检测系统(nids)?

入侵是指一些人(称为黑客, 骇客)试图进入或者滥用你的系统.词语

滥用的范围是很广泛的,可以包括从严厉的偷窃机密数据到一些次要的

事情,比如滥用你的电子邮件系统发垃圾邮件(虽然对我们中许多人呢,

这个是主要的).

侵入检测系统(ids)是用来检测这些入侵的系统.根据这个faq的打算,ids

可以有如下的分类:

网络侵入检测系统(nids) 监视网线的数据包并试图是否有黑客/骇客试图

进入系统(或者进行拒绝服务攻击dos).一个典型的例子是一个系统观察

到一个目标主机的很多不同端口的大量tcp连接请求(syn),来发现是否有人

正在进行tcp的端口扫描.一个nids可以运行在目标主机上观察他自己的

流量(通常集成在协议栈或服务本身),也可以运行在独立主机上观察整个

网络的流量(集线器, 路由器, 探测器[probe]).注意一个"网络"ids监视

很多主机,然而其他的只是监视一个主机(他们所安装的).

系统完整检验(siv) 监视系统文件试图发现是否有侵入者更改了文件(可能

留个后门).这样系统最著名的就是tripwire.一个siv也应该能监视其他

的组件,比如windows的注册表与chron的配置, 目的是发现知名的迹象.

他也应该能检测到一个一般用户偶然获得root/administrator级别权限.

这个领域更多的产品应该被认为是工具而不是一个系统:比如tripwire

类似的工具检测临界系统组件的更改,却不能产生实时的告警.

日志文件监视器(lfm) 监视网络设备产生的日志文件.
...   下一页

» 本期热门文章：

· 热门栏目：

» 相关精选文章

» 其它相关：