007bug 的所有回復(716)
排序:
排序:
評論于 1年前,獲得 0 個贊
評論于 6個月前,獲得 0 個贊
數據庫審計系統的功能有以下這些:
Web的訪問控制:在Web數據庫中,用戶發起操作時,客戶端程序會先將自身的信息傳達給目標Web服務器,服務器會進行IP地址與客戶域名的解析,再進行訪問權限的判斷。如果服務器無法確定客戶域名,就有可能將信息誤發至其他域名,產生安全威脅。所以需要盡可能通過非特權用戶身份對服務器進行配置、運行;合理利用訪問控制機制;使用備份鏡像,避免敏感信息直接對外開放;檢查HTTP服務器腳本、CGI程序等,防止外部用戶觸及內部命令。
用戶身份驗證:通常包括用戶的用戶名、口令、賬號信息的識別與檢測。也會利用ASP Session和HTTP Headers信息來進行更深層的身份驗證。
授權管理:常用的權限控制方式有目錄級安全訪問控制與屬性安全訪問控制。目錄級的安全訪問控制允許用戶對目錄、文件等信息的訪問。而屬性安全訪問控制則會賦予用戶對目錄、文件等指定訪問屬性的權限控制。
監視追蹤:網絡數據監視追蹤最直觀的手段之一就是日志系統。完整的日志系統能夠綜合地記錄數據,并具有自動分類檢索功能,會如實地記錄一切正常/非正常的數據變動。
數據庫審計:數據庫審計能夠實時記錄網絡上的數據庫活動,對數據庫操作進行細粒度審計。除此之外,數據庫審計還能對數據庫遭受到的風險行為進行告警,如:數據庫漏洞攻擊、SQL注入攻擊、高危風險操作等。數據庫審計技術一般采用旁路部署,通過鏡像流量或探針的方式采集流量,并基于語法語義的解析技術提取出SQL中相關的要素(用戶、SQL操作、表、字段等)進而實時記錄來自各個層面的所有數據庫活動,包括:普通用戶和超級用戶的訪問行為請求,以及使用數據庫客戶端工具執行的操作。
數據庫脫敏:數據庫脫敏是一種采用專門的脫敏算法對敏感數據進行變形、屏蔽、替換、隨機化、加密,并將敏感數據轉化為虛構數據的技術。按照作用位置、實現原理不同,數據脫敏可以劃分為靜態數據脫敏(Static Data Masking, SDM )和動態數據脫敏(Dynamic Data Masking, DDM )。
數據庫安全運維:據庫安全運維產品是面向數據庫運維人員的數據庫安全加固與訪問管控產品,能夠有效提升數據庫日常運維管理工作的精細度及安全性。可以對運維行為進行流程化管理,提供事前審批、事中控制、事后審計、定期報表等功能,將審批、控制和追責有效結合,避免內部運維人員的惡意操作和誤操作行為,解決運維賬號共享帶來的身份不清問題,確保運維行為在受控的范疇內安全高效的執行。
評論于 4個月前,獲得 0 個贊
有以下這些可以提前檢測到APT攻擊的方案:
沙箱方案:這一方案是為了解決高級入侵手段引起的問題的,即解決特征匹配對新型攻擊的滯后性而產生的解決方案。攻擊者利用0day漏洞,使特征碼的匹配不成功,這樣我們就可以對癥下藥使用非特征匹配,利用沙箱技術識別0day漏洞攻擊和異常行為。沙箱方案的原理是將實時流量先引進虛擬機或者沙箱,通過對沙箱的文件系統、進程、網絡行為、注冊表等進行監控,監測流量中是否包含了惡意代碼。相較于一般傳統的特征匹配技術,沙箱方案對未知的惡意程序攻擊具有較好的檢測能力。
異常檢測方案:這一方案是同時解決兩大問題的,即為解決特征匹配和實時檢驗不足而產生的解決方案。這一方案是利用將網絡中正常行為產生的數據量建立一個模型,通過將所有數據量與這一標準模型進行對比,從而找出異常的數據量。正如警察在抓捕壞人時的方法是一致的,由于警察并不知道壞人的姓名,性別,長相已經其他行為特征,但是警察是知道好人的行為特征的,他可以利用這些行為特征建立一個可行的標準模型,當一個人的行為特征與現有的好人的行為特征模型大部分不相符時,警察就可以判斷這個人不是個好人,是一個危險人物。異常檢測的核心技術是基于連接特征的惡意代碼檢測規則、基于行為模式的異常檢測算法、元數據提取技術。
基于連接特征的惡意代碼檢測方案:是用來檢測已知的木馬通信行為。基于行為模式的異常檢測算法包含可疑加密文件傳輸等。
全流量審計方案:這一方案的核心思想是通過對檢測到的流量進行應用識別,還原所發生的異常行為。它的原理是對流量進行更為深刻的協議解析和應用還原,識別這些網絡行為中是否包含有攻擊行為。當檢測到可疑性攻擊行為時,回溯分析與之相關的流量。包含了大數據存儲處理,應用識別和文件還原等技術。這一方案具備強大的實時檢測能力和事后回溯能力,是將計算機強大的存儲能力與安全人員的分析能力相結合的完整解決方案。
基于記憶的檢測系統方案:這是一個由全流量審計與日志審計相結合形成的系統,APT攻擊發生的時間很長,我們應該對長時間內的數據流量進行更加深入,細致的分析。
基于深層次協議解析的異常識別方案:可以仔細檢查發現是哪一種協議,一個數據在哪個地方出現了異常,直到找出它的異常點時停止檢測。
攻擊溯源方案:通過已經提取出來的網絡對象,可以重建一個時間內可疑的所有內容。通過將這些事件重新排列順序,可以幫助我們迅速的發現攻擊源。
評論于 2年前,獲得 0 個贊
exec() -執行一個外部程序
passthru()一執行外部程序并且顯示原始輸出
proc_ open0一執行一個命令 ,并且打開用來輸入/輸出的文件指針。
shell, _exec()&” -通過shell環境執行命令,并且將完整的輸出以字符串的方式返回。
system()一執行外部程序,并且顯示輸出
popen0 -通過popen()的參數傳遞一 條命令,并對popen(所打開的文件進行執行。
執行函數包括但不限于,上述幾個。
同樣的道理、只要命令的參數可控就能夠執行系統命令。
例如:
system( $cmd ); 或者system("ping -c3'. $target );
當$cmd可以空就能執行任意命令,
而當$target可控的話,可以用管道符等特殊字符截斷從而執行任意命令。
$target = ‘a | whoami’;
評論于 2年前,獲得 0 個贊
后臺管理存在的常見問題如下:
網站管理員身份及密碼被竊取:后臺管理頁面缺少安全限制,外部任何人都可以訪問和嘗試登錄,導致管理員的口令被猜測;
后臺管理網頁存在安全漏洞:管理認證應用程序缺少安全性輸入檢查,導致SQL注入攻擊,或者存在認證旁路;
內部管理權限分配不合理:網站安全管理沒有細分系統管理、網頁發布、安全審計等角色,導致管理員權限過于集中,形成內部安全隱患。
評論于 4個月前,獲得 0 個贊
有以下這些可以提前檢測到APT攻擊的方案:
沙箱方案:這一方案是為了解決高級入侵手段引起的問題的,即解決特征匹配對新型攻擊的滯后性而產生的解決方案。攻擊者利用0day漏洞,使特征碼的匹配不成功,這樣我們就可以對癥下藥使用非特征匹配,利用沙箱技術識別0day漏洞攻擊和異常行為。沙箱方案的原理是將實時流量先引進虛擬機或者沙箱,通過對沙箱的文件系統、進程、網絡行為、注冊表等進行監控,監測流量中是否包含了惡意代碼。相較于一般傳統的特征匹配技術,沙箱方案對未知的惡意程序攻擊具有較好的檢測能力。
異常檢測方案:這一方案是同時解決兩大問題的,即為解決特征匹配和實時檢驗不足而產生的解決方案。這一方案是利用將網絡中正常行為產生的數據量建立一個模型,通過將所有數據量與這一標準模型進行對比,從而找出異常的數據量。正如警察在抓捕壞人時的方法是一致的,由于警察并不知道壞人的姓名,性別,長相已經其他行為特征,但是警察是知道好人的行為特征的,他可以利用這些行為特征建立一個可行的標準模型,當一個人的行為特征與現有的好人的行為特征模型大部分不相符時,警察就可以判斷這個人不是個好人,是一個危險人物。異常檢測的核心技術是基于連接特征的惡意代碼檢測規則、基于行為模式的異常檢測算法、元數據提取技術。
基于連接特征的惡意代碼檢測方案:是用來檢測已知的木馬通信行為。基于行為模式的異常檢測算法包含可疑加密文件傳輸等。
全流量審計方案:這一方案的核心思想是通過對檢測到的流量進行應用識別,還原所發生的異常行為。它的原理是對流量進行更為深刻的協議解析和應用還原,識別這些網絡行為中是否包含有攻擊行為。當檢測到可疑性攻擊行為時,回溯分析與之相關的流量。包含了大數據存儲處理,應用識別和文件還原等技術。這一方案具備強大的實時檢測能力和事后回溯能力,是將計算機強大的存儲能力與安全人員的分析能力相結合的完整解決方案。
基于記憶的檢測系統方案:這是一個由全流量審計與日志審計相結合形成的系統,APT攻擊發生的時間很長,我們應該對長時間內的數據流量進行更加深入,細致的分析。
基于深層次協議解析的異常識別方案:可以仔細檢查發現是哪一種協議,一個數據在哪個地方出現了異常,直到找出它的異常點時停止檢測。
攻擊溯源方案:通過已經提取出來的網絡對象,可以重建一個時間內可疑的所有內容。通過將這些事件重新排列順序,可以幫助我們迅速的發現攻擊源。
評論于 2年前,獲得 0 個贊
0day漏洞和1day漏洞最主要的區別是是否有第二個人知道,0day漏洞一般只有一個或者幾個人知道并且沒有被公布,如果利用則可以打穿服務器。1day漏洞是剛剛公布但是還沒有poc或者exp,一般只剛公布一天的漏洞,如果利用雖不如0day但也可以打穿服務器。
如何處理0day或者1day漏洞方法如下:
作為管理員或用戶,可能無能為力。最好的情況是永遠不要使用未打補丁版本的軟件。這在 Linux 社區中通常很常見,在 Linux 社區中,許多用戶不會安裝.0發行版。相反,他們將等待.1版本(例如Ubuntu 19.10.1)。通過避免最初發布的版本,可能會免受第一批產品中至少任何未發現的0day漏洞的影響。這并不意味著.1版本將修補所有的0day漏洞。如果有的話,甚至在下一個主要版本之前,它們都可能未被發現。經常在新聞中看到存在一段時間的軟件中發現的新漏洞。
作為開發人員,最好的辦法是招募盡可能多的版本測試人員。這是開源軟件比專有軟件更具優勢的地方。在源代碼公開的情況下,任何人都可以審查和測試代碼。而且,Beta開源軟件通常面向公眾發布,因此任何人都可以進行測試。另一方面,付費軟件通常不會向公眾發布Beta(當然,也有例外)。當應用程序的beta測試人員數量有限時,發現的bug較少,從而導致0day漏洞的可能性更高。
評論于 11個月前,獲得 0 個贊
網絡安全管理要做的具體工作如下:
根據重要程度采取不同的管理措施:根據工作的重要程度確定系統的安全等級;根據確定的安全等級確定安全管理范圍;根據安全管理范圍分別進行安全管理。比如對安全等級較高的系統實施分區控制等。
制定嚴格的安全制度:如機房出入管理制度、設備管理制度、軟件管理制度、備份制度等。
制定嚴格的操作規程:遵循職責分離和多人多責的原則,各司其職,各負其責,做到事事有人管,人人不越權。
制定完備的系統維護制度:系統維護前應報主管部門批準,維護時要詳細記錄故障原因、維護內容、系統維護前后的狀況等。
制定應急恢復措施:制定好應急恢復措施以便在緊急情況下盡快恢復系統正常運行。
加強人員管理:調離人員有安全保密義務,并及時收回其相關證件和鑰匙,工作人員調離時還要及時調整相應的授權并修改相關口令。
評論于 9個月前,獲得 0 個贊
物聯網安全系統中心控制系統包括以下模塊:
工程管理模塊:在測試系統中,一個測試套可以視為一個工程。工程管理模塊主要是負責管理測試工程,具體有測試項目說明、測試配置腳本、結果探測腳本等。根據測試項的不同有序排列。
協議支撐模塊:其主要負責實現安全測試控制協議的支撐,主要有建立和維護與代理之間的連接,發送以及接收測試控制模塊發送的IUT探測報文以及接受IUT響應等。
代理管理模塊:其主要是負責與測試代理相關各類事情,包括測試代理的加入、測試代理的建立以及測試代理的維護等。
測試控制模塊:測試控制模塊可以根據安全測試前預配置,向安全測試代理發送測試套件,而且可按照測試命令控制測試代理活動信息,并且能夠將各個代理的響應測試數據和測試結果進行匯總。
結果處理模塊:負責接收測試過程中響應的各類響應數據,并對數據報文進行分析處理,得出測試結果,最終以安全測試報告的形式展示給用戶。
圖形化用戶接口(GUI)界面模塊:指的是人機交互界面,它是指人與計算機之間數據交換的工具,是人與計算機進行相互的信息交換的平臺。
數據管理模塊:數據管理模塊是對安全測試過程中的所有交互的數據以及結果數據信息進行數據庫的保存,并能夠隨時提取數據進行數據的查詢等,方便測試用戶進行參考。
評論于 6個月前,獲得 0 個贊
產生原因是很多上傳文件的后端邏輯在實現時,僅僅驗證了文件后綴名和Content-Type,沒有對上傳文件的內容進行驗證。通常情況下這樣的處理邏輯僅僅是不嚴謹,不會造成太大的安全隱患。ActionScript中又提供了多種API能夠讓Flash發送網絡請求。這樣如果能夠將任意后綴的Flash文件上傳到目標域中,就能夠在攻擊者可控的域下讓受害者訪問一個精心構造的惡意頁面,來對目標域進行跨域的數據劫持。
Flash 跨域數據劫持漏洞利用條件如下:
目標網站的文件上傳邏輯沒有驗證文件內容;
上傳的文件沒有做域隔離處理;
服務端沒有強制設置Content-Disposition響應頭;
訪問上傳的文件沒有session限制;
評論于 5個月前,獲得 0 個贊
apt攻擊常用的手段就是釣魚攻擊,釣魚攻擊操作簡單且成功率較高,釣魚攻擊都是針對人,人和機器相比總有漏洞且容易攻擊,而且現在防護釣魚攻擊的設備較少且防御力較弱,這導致apt攻擊者較喜歡使用釣魚攻擊。并且使用釣魚攻擊是利用人性的弱點,成功率高,而且這種釣魚漏洞普遍存在黑客等攻擊者不需要很費勁的去尋找,最主要的是利用這種漏洞進行攻擊的成本低,降低攻擊成本可以有效提高攻擊效率。
APT攻擊是一種高級持續性威脅攻擊,針對該攻擊的防御手段有以下這些:
使用威脅情報:這包括APT操作者的最新信息、從分析惡意軟件獲取的威脅情報、已知的C2網站、已知的不良域名、電子郵件地址、惡意電子郵件附件、電子郵件主題行、以及惡意鏈接和網站。威脅情報在進行商業銷售,并由行業網絡安全組共享。企業必須確保情報的相關性和及時性。威脅情報被用來建立“絆網”來提醒你網絡中的活動。
建立強大的出口規則:除網絡流量(必須通過代理服務器)外,阻止企業的所有出站流量,阻止所有數據共享和未分類網站。阻止SSH、FTP、Telnet或其他端口和協議離開網絡。這可以打破惡意軟件到C2主機的通信信道,阻止未經授權的數據滲出網絡。
收集強大的日志分析:企業應該收集和分析對關鍵網絡和主機的詳細日志記錄以檢查異常行為。日志應保留一段時間以便進行調查。還應該建立與威脅情報匹配的警報。
聘請安全分析師:安全分析師的作用是配合威脅情報、日志分析以及提醒對APT的積極防御。這個職位的關鍵是經驗。
對未知文件進行檢測:一般通過沙箱技術罪惡意程序進行模擬執行,通過對程序的行為分析和評估來判斷未知文件是否存在惡意威脅。
對終端應用監控:一般采用文件信譽與嘿白名單技術在終端上檢測應用和進程。
使用大數據分析方法:基于大數據分析的方法,通過網路取證,將大數據分析技術和沙箱技術結合全面分析APT攻擊。
評論于 9個月前,獲得 0 個贊
常用的DNS查詢方式有以下這些:
本地解析:客戶端的日常DNS解析記錄將被保存在本地的DNS緩存中,客戶端可以使用本地緩存信息及時應答。當其他程序提出DNS查詢請求后,該請求將被傳達給DNS客戶端程序。DNS客戶端優先使用本地緩存信息進行解析。如果可以解析到待查詢的域名,則將解析結果傳回應用程序,此過程不需要向DNS服務器查詢。
直接解析:該方法向主機所設定的DNS服務器進行查詢解析。當DNS客戶端程序不能從本地緩存中得到所需解析結果時,就會向主機所設定的DNS服務器發送查詢請求,要求局部DNS服務器進行域名解析。局部DNS服務器收到查詢請求后,首先查看該查詢請求是否能被應答,若能被應答,則返回查詢結果;若不能應答,則查看自身的DNS緩存后返回查詢結果。
遞歸解析:若局部DNS解析服務器不能應答該DNS解析請求,則該請求需要通過其他DNS服務器解析查詢。其中一種方式是遞歸解析。局部DNS服務器自己向其他DNS服務器進行查詢。由該域名的根域名服務器逐級向下查詢,查詢結果返回給局部DNS服務器,再向客戶端應答。
迭代解析:局部DNS服務器不能應答DNS查詢時的另一種查詢方式是迭代解析。在迭代解析中,局部DNS服務器并不自己查詢該解析結果,而是把能解析該域名的IP地址返回給主機,供主機查詢。主機的DNS查詢程序得到該IP地址后向該IP地址查詢DNS解析結果,直到查詢到解析結果為止。
反向查詢:在計算機網絡中,反向DNS查找或反向DNS解析(rDNS)是查詢的域名系統(DNS)來確定相關的域名的IP地址——通常的“轉發”的反向DNS查找域名的IP地址。
評論于 7個月前,獲得 0 個贊
網絡安全等級保護是:
- 信息系統安全等級保護是國家信息安全保障工作的基本制度、基本策略、基本方法。開展信息系統安全等級保護工作不僅是加強國家信息安全保障工作的重要內容,也是一項事關國家安全、社會穩定的政治任務。信息系統安全等級保護測評工作是指測評機構依據國家信息安全等級保護制度規定,按照有關管理規范和技術標準,對未涉及國家秘密的信息系統安全等級保護狀況進行檢測評估的活動。公安機關等安全監管部門進行信息安全等級保護監督檢查時,系統運營使用單位必須提交由具有等級測評資質的機構出具的等級測評報告。
信息系統的安全保護等級分為以下五級:
第一級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統受到破壞后,會對國家安全造成特別嚴重損害。
評論于 5天前,獲得 0 個贊
計算機病毒的生命周期主要有以下兩個階段:
計算機病毒的復制傳播階段:這一階段有可能持續一個星期到幾年。計算機病毒在這個階段盡可能地隱蔽其行為,不干擾正常系統的功能。計算機病毒主動搜尋新的主機進行感染,如將病毒附在其他的軟件程序中,或者滲透操作系統。同時,可執行程序中的計算機病毒獲取程序控制權。在這一階段,發現計算機病毒特別困難,這主要是因為計算機病毒只感染少量的文件,難以引起用戶警覺。
計算機病毒的激活階段:計算機病毒在該階段開始逐漸或突然破壞系統。計算機病毒的主要工作是根據數學公式判斷激活條件是否滿足,用作計算機病毒的激活條件常有日期、時間、感染文件數或其他。
降低計算機病毒危害的措施有以下這些:
安裝和維護防病毒軟件:防病毒軟件可識別惡意軟件并保護我們的計算機免受惡意軟件侵害。安裝來自信譽良好的供應商的防病毒軟件是預防和檢測感染的重要步驟。始終直接訪問供應商網站,而不是點擊廣告或電子郵件鏈接。由于攻擊者不斷地制造新病毒和其他形式的惡意代碼,因此保持我們使用的防病毒軟件保持最新非常重要。
謹慎使用鏈接和附件:在使用電子郵件和網絡瀏覽器時采取適當的預防措施以降低感染風險。警惕未經請求的電子郵件附件,并在單擊電子郵件鏈接時小心謹慎,即使它們貌似來自我們認識的人。
阻止彈出廣告:彈出窗口阻止程序禁用可能包含惡意代碼的窗口。大多數瀏覽器都有一個免費功能,可以啟用它來阻止彈出廣告。
使用權限有限的帳戶:瀏覽網頁時,使用權限有限的賬戶是一種很好的安全做法。如果我們確實受到感染,受限權限可防止惡意代碼傳播并升級到管理賬戶。
禁用外部媒體自動運行和自動播放功能:禁用自動運行和自動播放功能可防止感染惡意代碼的外部媒體在我們的計算機上自動運行。
更改密碼:如果我們認為我們的計算機受到感染,應該及時更改我們的密碼(口令)。這包括可能已緩存在我們的網絡瀏覽器中的任何網站密碼。創建和使用強密碼,使攻擊者難以猜測。
保持軟件更新:在我們的計算機上安裝軟件補丁,這樣攻擊者就不會利用已知漏洞。如果可用,請考慮啟用自動更新。
資料備份:定期將我們的文檔、照片和重要電子郵件備份到云或外部硬盤驅動器。如果發生感染,我們的信息不會丟失。
安裝或啟用防火墻:防火墻可以通過在惡意流量進入我們的計算機之前阻止它來防止某些類型的感染。一些操作系統包括防火墻;如果我們使用的操作系統包含一個防火墻,請啟用它。
使用反間諜軟件工具:間諜軟件是一種常見的病毒源,但可以通過使用識別和刪除間諜軟件的程序來最大程度地減少感染。大多數防病毒軟件都包含反間諜軟件選項,確保啟用。
監控賬戶:尋找任何未經授權的使用或異常活動,尤其是銀行賬戶。如果我們發現未經授權或異常的活動,請立即聯系我們的賬戶提供商。
避免使用公共Wi-Fi:不安全的公共Wi-Fi可能允許攻擊者攔截我們設備的網絡流量并訪問我們的個人信息。
評論于 10個月前,獲得 0 個贊
主機型入侵檢測系統性能要求如下:
穩定性:主機型入侵檢測系統在主機正常工作狀態下都應該工作穩定,不應造成被檢測主機停機或死機現象。檢測產品在主機上安裝運行的穩定性。在產品運行界面下,至少做三次完整的產品功能操作,包括之前的入侵模擬、事件分析、事件報警、事件報告等功能操作。檢測產品在整個測試操作過程中是否會出現失去響應、非正常退出等不穩定的情況,并且這些不穩定的情況能夠固定或高頻率重現,與主機型入侵檢測系統安裝運行的宿主機軟硬件環境也無關。驗證主機型入侵檢測系統實際運行穩定性情況。
CPU資源占用量:主機型入侵檢測系統的CPU占有率不應明顯影響主機的正常工作。檢測產品在主機上安裝運行的穩定性。在產品運行界面下,至少做三次完整的產品功能操作,包括之前的入侵模擬、事件分析、事件報警、事件報告等功能操作。檢測產品在整個測試操作過程中是否會出現長時間大量占用CPU資源的情況,并且這種占用情況會固定或高頻率重現,與主機型入侵檢測系統安裝運行的宿主機軟硬件環境也無關。大量占用CPU資源的情況將嚴重影響到主機其他程序的運行,主要表現可能為程序停滯、程序非正常退出等。驗證主機型入侵檢測系統實際運行CPU資源占用量情況。
內存占用量:主機型入侵檢測系統占用內存空間不應影響主機的正常工作。檢測產品在主機上安裝運行的穩定性。在產品運行界面下,至少做三次完整產品功能操作,包括之前的入侵模擬、事件分析、事件報警、事件報告等功能操作。檢測產品在整個測試操作過程中是否會出現主機內存使用長時間超過實際物理內存空間,占用虛擬內存的情況,并且這種占用情況會固定或高頻率重現,與主機型入侵檢測系統安裝運行的宿主機軟硬件環境也無關。大量占用內存資源的情況將嚴重影響到主機其他程序的運行,主要表現可能為程序停滯、程序非正常退出等。驗證主機型入侵檢測系統實際運行內存資源占用量情況。
用戶登錄和資源訪問:主機型入侵檢測系統不應影響所在目標主機上的合法用戶登錄及文件資源訪問。檢測產品在主機上安裝運行對正常用戶登錄和資源訪問的影響情況。在產品運行界面下,至少做三次完整產品功能操作,包括之前的入侵模擬、事件分析、事件報警、事件報告等功能操作。檢測產品在整個測試操作過程中是否會出現影響合法用戶登錄或者正常的文件資源訪問操作等情況,并且這種不正常情況會固定或高頻率重現,與主機型入侵檢測系統安裝運行的宿主機軟硬件環境也無關。驗證主機型入侵檢測系統實際用戶登錄和資源訪問影響的情況。
網絡通信:主機型入侵檢測系統不應影響所在目標主機的正常網絡通信。檢測主機型入侵檢測系統在宿主機上運行時不出現非受控大網絡通信情況的產生。在產品運行界面下,至少做三次完整產品功能操作,包括之前的入侵模擬、事件分析、事件報警、事件報告等功能操作。
