计算机网络安全的理论与实践第2版【美】王杰,(编辑修改稿)

计算机网络安全的理论与实践第2版【美】王杰,(编辑修改稿)内容摘要：

优点 : 成本低 无干扰 抗入侵 缺点 : 无法分析加密包 网络流量大时，会无法分析数据而产生漏判 某些入侵行为难以定义 难以判断入侵行为是否成功 《 计算机网络安全的理论与实践（第 2版） 》 . 【 美 】 王杰 , 高等教育出版社 , 2020年 机检系统 (HBD)  HBD 分析系统事件和用户行为并且向管理员发出警告  检查事件日志去定义可疑行为  检查系统日志，保存系统文件记录  检查系统配置  为事件日志保存拷贝以防攻击者修改 《 计算机网络安全的理论与实践（第 2版） 》 . 【 美 】 王杰 , 高等教育出版社 , 2020年 HBD 优缺点 优点 : 不会因为数据在传输过程中被加密而受影响 不需要特殊的硬件设备 通过检查系统日志，更精确的分析系统行为 缺点 : 需要使用更多的系统管理资源 消耗更多的计算资源 直接危害主机操作系统的攻击会影响机检系统的执行 不能安装在路由器和交换器等设备上 《 计算机网络安全的理论与实践（第 2版） 》 . 【 美 】 王杰 , 高等教育出版社 , 2020年 第九章 内容概要  基本概念  网检和机检  特征检测  统计分析  行为推理  诱饵系统 《 计算机网络安全的理论与实践（第 2版） 》 . 【 美 】 王杰 , 高等教育出版社 , 2020年 特征检测  也称操作检测或规则检测  检查当前事件是否可以接受  两种特征检测 :  网络特征  分析数据包的行为  行为特征  分析事件的用机行为  一系列行为规则 :  普通用户不能拷贝系统文件  用户不能直接读写硬盘  用户不应该访问其他用户的个人目录  连续三次登录失败后用户不应该继续尝试登录  … 《 计算机网络安全的理论与实践（第 2版） 》 . 【 美 】 王杰 , 高等教育出版社 , 2020年 特征分类 《 计算机网络安全的理论与实践（第 2版） 》 . 【 美 】 王杰 , 高等教育出版社 , 2020年 混合特征实例 网络特征 行为特征 混合特征 用户用 FTP登录后使用 cd 和 ls 指令 用户浏览 \ etc目录和passwd文件 用户从远程浏览系统文件 用户用 FTP登录后使用 put指令 上传到系统的文件有病毒和木马特征 用户从远程将可疑文件上传到主机系统 用户用 FTP登录后使用 put指令 用户修改系统文件和注册表 用户从远程修改系统文件 某种万维网攻击 读系统可执行文件 网络攻击成功 混合特征实例 《 计算机网络安全的理论与实践（第 2版） 》 . 【 美 】 王杰 , 高等教育出版社 , 2020年 局外人行为和局内人滥用权限  局内人 :系统中具有登录权限的用户  局外人 :没有登录权限的用户  利用局外人行为的检测 :  攻击者可能在目标系统中安装特洛伊木马，劫持 TCP连接或尝试扫荡攻击  利用局内人滥用。