【多选题】
当接到入侵检测系统的报告后,应做到:()
A、根据事先制定的程序处理
B、遏制入侵的扩展
C、跟踪入侵者
D、恢复被破坏的系统和数据
A、根据事先制定的程序处理
B、遏制入侵的扩展
C、跟踪入侵者
D、恢复被破坏的系统和数据
A、检测模型。首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即认为是入侵。 B、误用检测模型。收集非正常操作的行为特征,建立相关的特征库,当检测的用户和系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。 C、正常检测模型。收集正常操作的行为特征,建立相关的特征库,当检测的用户和系统行为与库中的记录不匹配时,系统就认为这种行为是入侵。
A、安装入侵检测工具既可以监控单位内部网络环境,也可以监控单位外部网络 B、监控和响应系统通常由软件实现,实时地监控网络,发现已知和未知的攻击 C、入侵检测工具完全独立于所监控的对象,攻击者即使成功穿透了系统,也不会破坏这些工具 D、检测到未授权的活动后,软件将按照预定的行为作出反应:报告入侵,登录事件或中断未认证的连接