入侵检测技术-矛与盾
一、IDS产品的“痛点”
1.误报率:“把好人当坏蛋了“”
2.漏报率:“把坏蛋当好人了”
二、用户抱怨IDS最多的两件事
1.海量事件:数量庞大,无从处理?
2.事件确认:很多事件信息不足,无法确认行为合理性,用户对很多事件不知道该做些什么。
三、IPS是IDS的 未来归宿
减少人参与:IPS检测技术的原理相同,把IDS串接在保护目标前,就成了IPS
- IDS:入侵检测系统
- IPS:入侵防御系统
四、位置不同,能力不同
1.IPS需要快速给出判断,是转还是丢,前后关联的时间不可能过长,因此IP适合比对方式检测;
2.IDS旁路取样,可以检自己关心的分析,比较,前后关联的时间可以长一些,适合模式匹配检测;
3.IPS是网关,提高入侵者的门槛,但不要太高,负责影响业务;
4.IDS是监控,高级入侵者才是关注的重点;
五、蜜罐网络-----虚假目标
进一步确认:
部署一个假目标,让入侵者“自由展示自己,通过其行为分析,以及通过”什么漏洞入侵检测系统。
1.蜜罐网络是一种入侵分析技术;
2.蜜罐网络是模拟实际工作网络,让入侵者误以为进入了实际工作网络,继续实施入侵行动;
3.蜜罐网络具有强大的监控能力,可以像“透明鱼缸”一样观察入侵者是如何实施攻击的;
4.当没有确认是入侵时,用户行为应该如何复制到工作网络中,或保留所有日志,让用户行为可以重放,不能影响用户的正常工作;
要点: - 蜜罐网络因为是模拟网络系统,数据多是静态的,容易引起入侵者的警觉;
- 蜜罐网络的自身控制能力很关键,在让入侵者释放恶意代码时,不能使得自己的系统失控;
六、入侵检测技术的延伸----沙箱(看行为表现)
1.让可疑文件行动起来,通过其行为表现是否具有恶意特征,判定其是否为恶意代码,可以用于检测大多数的、未知的软件,是目前防御APT攻击的主要手段之一。
2.文件型沙箱:虚拟文件运营环境 - WIndows可执行文件(PE)沙箱
- Office文件沙箱
- Adobe文件沙箱
- 网页文件沙箱
- Linux系统沙箱
- Android系统沙箱
七、入侵检测技术面临的挑战-----数据加密
1.计算机速度不再是问题,内嵌软件的加密成为低成本的可选择性;
2.各种方便的加密中间件,让用户只要设置几下,就可以保证出去的邮件、链接、聊天等应用软件都自动加密;
3.越来越多的非对称性加密,一次一密模式,让网络监听破解起来越来越困难;
4.传输内容加密,监控者无法识别,无法继续进行深度数据包检测DPI;
八、入侵检测技术面临的更多挑战-----网络逃逸技术
高级陶艺技术AET
利用IDS/IPS内部检测架构的缺陷与漏洞,原本是恶意代码因为换个“马甲”就变成”好人“了
1.创新攻击模式-----新方法
2.改变自我特征-----新面孔
3.干扰检测还原-----戴面具 - 协议宽松:重叠、乱序
- 检查漏洞:分并重组、延迟发送
- 字符集理解差异:各种注入与填充
九、入侵检测技术面临的更多挑战------沙箱逃逸
恶意软件的自我保护能力:虚拟环境网络与真实环境的判断
1.人机交互
2.故意冬眠
3.用户环境
4.硬件参数
十、入侵检测技术的未来发展
入侵检测技术越来越趋向于综合分析
1.检测技术加强:行为模式匹配增多;特征库继续增大,对变种的进行DNA检测;
2.检测覆盖面全:NIDS与HIDS相融合
3异常检测禁集:因为速度与空间不再受限制,流量统计技术建立行为基线模型成为趋势;
4.多为关联分析:纵向时间、横向地域、业务合规、敏感访问
5.依托安全云服务中心
未知代码分析中心----沙箱、蜜网;
URL信誉库-----服务者黑白名单;
3.用户信誉库(整数身份)-----访问者黑白名单;-----
入侵检测技术-矛与盾相关推荐
- 信息安全工程师笔记-入侵检测技术原理与应用
入侵检测:通过收集操作系统.系统程序.应用程序.网络包信息,发现系统中违背安全策略或危及系统安全的行为. 具有入侵检测功能的系统称为入侵检测系统,简称为IDS. 通用入侵检测模型 通用入侵检测框架模型 ...
- 信安教程第二版-第10章入侵检测技术原理与应用
第10章 入侵检测技术原理与应用 10.1 入侵检测概述 193 10.1.1 入侵检测概念 193 10.1.2 入侵检测模型 193 10.1.3 入侵检测作用 194 10.2 入侵检测技术 1 ...
- 入侵检测技术目的-发现黑客
一.黑客常见的操作 1.制造并传播病毒木马 2.寝取隐私或敏感信息 3.控制你的计算机 4.服务器宕机(死机) 5网络瘫痪 二.常见的网络攻击手段: 网络攻击主要分为以下几种类型 (1)主动攻击:包含 ...
- 基于时间序列特征提取的车载网络系统入侵检测技术
目录 一.介绍 二.车载网络 三.针对的攻击 四.基于递归神经网络的入侵检测技术 五.总结 一.介绍 随着对物联网(IoT)需求的增长,通过网络提供并控制了诸如电力,天然气,水,铁路,飞机,汽车等各种 ...
- 综述类_网络入侵检测技术综述
文章目录 网络入侵检测技术综述 大纲 一.入侵检测系统分类 1.基于数据来源划分 2.基于检测技术划分 二.基于传统机器学习的入侵检测 1.入侵数据处理 2.监督机器学习技术 3.无监督机器学习技术 ...
- 信息安全-入侵检测技术原理与应用
一.入侵检测概述 1.1 入侵检测概念 入侵应与受害目标相关联,该受害目标可以是一个大的系统或单个对象 判断与目标相关的操作是否为入侵的依据:对目标的操作是否超出了目标的安全策略范围 入侵:指违背访问 ...
- 入侵检测技术是为保证计算机系统安全,计算机数据库的入侵检测技术
计算机数据库的入侵检测技术作为一种信息技术,是保证数据安全的技术.本文主要以入侵检测技术的相关认识作为切入点,研究和分析入侵检测技术相关模式. [关键词]计算机数据库 层次化 入侵检测 模型入侵检测 ...
- 计算机网络安全中应用入侵检测技术
1.计算机网络常见入侵方式 针对计算机网络的入侵主要指通过相应计算机程序在物理设施上进行的破坏,又或者编写的程序代码或计算机指令实现对未授权文件或网络的非法访问.继而入侵至网络中的行为.当前常见的计算 ...
- 【计算机网络学习笔记18】防火墙技术、入侵检测技术
[计算机网络学习笔记18]防火墙技术.入侵检测技术 一.防火墙 防火墙 (firewall) :一种访问控制技术,通过严格控制进出网络边界的分组,禁止任何不必要的通信,从而减少潜在入侵的发生,尽可能降 ...
最新文章
- C#3.0官方编码规范
- maven-assembly-plugin 和 maven-shade-plugin打包插件的区别
- Python自动化测试 (九)urllib2 发送HTTP Request
- springboot整合JWT使用
- 关于鸿蒙系统报告,华为鸿蒙操作系统研究报告:全景解构(21页)
- cronschedulebuilder 到时还没运行完_为什么我的软件编译时没问题,运行时却出错?...
- 函数的二义性与函数对象的传递问题(通过实现vector的to_string示例)
- 查询ElasticSearch:用SQL代替DSL
- Python异常处理try...except...finally raise assert
- (C语言)人名排序,字符串排序
- c语言 poll,c语言 linux 中 poll 的参数
- 多智能体通信:MAGNet用于深度多智能体强化学习的多智能体图网络
- 好用的parallel命令
- Linux 系统编程 --文件IO-write()、read()、lseek()函数
- 用FAI制作debian自动安装盘
- 我的世界服务器无限血,我的世界生物血量无限指令 | 手游网游页游攻略大全
- 关于NC6.X企业报表取不了数的问题及其解决方法。
- 将XP SP3集成到Windows XP安装光盘
- linux查看进程和端口信息的命令
- (小白都能听懂)的海明校验码
热门文章
- 零基础学python难吗-学习python12小时后,告诉你,学python真没你想的那么难!
- python和java选择哪个-观点|Java 与 Python:你应该选择哪个?
- python能做什么-学Python能做什么?
- 零基础学python知乎-零基础人员可以学习python吗?|Python培训基础教程
- python一对一视频教学-使用Python的Tornado框架实现一个一对一聊天的程序
- 怎么自学python-如何学习好Python这门课程?老男孩Python培训全套视频
- 步进电机选型计算实例_滚珠丝杠选型和电机选型计算
- Vue的babel-plugin-transform-remove-console依赖使用方法
- java中string类的常用方法举例说明
- 【排序】剑指offer:数组中重复的数字