入侵检测与防御技术基础
网络入侵简介
典型的入侵行为
- 篡改web网页;
- 破解系统密码;
- 复制/查看敏感数据;
- 使用网络嗅探工具获取用户密码;
- 访问未经允许的服务器;
- 其他特殊硬件获取原始网络包;
- 向主机植入特洛伊木马程序;
常见的入侵方式
- 未授权访问
- 拒绝服务
- 假冒和欺诈
- 线路窃听
- 计算机病毒
- 特洛伊木马
- 后门和陷阱
- 电磁辐射
- 盗窃
系统漏洞
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞问题具有时效性,随着时间的推移,旧的漏洞会不断消失,新的漏洞会不断出现。漏洞问题会长期存在。
病毒
病毒是一种恶意代码,可感染或附着在应用程序或文件中,一般通过邮件或文件共享进行传播,威胁用户主机和网络的安全。有些病毒会耗尽主机资源、占用网络带宽、窃取用户数据、控制主机权限等。反病毒功能可以通过维护更新病毒特征库保护网络安全,防止病毒文件侵害数据。
入侵检测系统
入侵检测(ID Intrusion Detection)通过监视各种操作,实时检测入侵行为的过程,是一种积极动态的安全防御技术。
入侵检测系统(IDS Intrusion Detection System)用于入侵检测的所有软硬件系统,一旦发现有违反安全策略的行为或者系统存在被攻击的痕迹时,立即启动安全机制进行应对,例如断开网络、关闭整个系统、向管理员告警等。
入侵检测系统的特点
- 监测速度快
- 隐蔽性好
- 视野更宽
- 较少的监测器
- 攻击者不易转移证据
- 操作系统无关性
- 不占用被保护的系统资源
入侵检测的原理
入侵检测采用误用检测或异常检测的方式,发现非授权或恶意的系统及网络行为,为防范入侵行为提供有效的手段。
入侵检测原理
入侵检测系统的结构
入侵检测的技术实现
异常检测模型(Anomaly Detection):首先总结正常操作应该具有的特征,当用户活动与正常行为有重大偏离时即被认为是入侵;异常检测可以发现未知的攻击方法。
误用检测模型(Misuse Detection):收集非正常操作的行为特征,建立相关的特征库;当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。误用检测适用于对已知模式的可靠检测。误用检测也称为特征检测(Signature-based Detection)
异常检测与误用检测的优缺点
异常检测
优点:
不需要专门维持操作系统缺陷特征库;
有效检测对合法用户的冒充检测;
缺点:
建立正常的行为轮廓和确定异常行为轮廓的阈值困难;
不是所有的入侵行为都会产生明显的异常;
误用检测
优点:
可检测所有已知的入侵行为;
能够明确入侵行为并提示防范方法;
缺点:
缺乏对未知入侵行为的检测;
对内部人员的越权行为无法进行检测;
入侵防御系统
入侵防御技术
入侵防御技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。入侵防御技术是种既能发现又能阻止入侵行为的新安全防御技术。通过检测发现网络入侵后,能自动丢弃入侵报文或阻断攻击源,从而从根本上避免攻击行为。
入侵防御技术优势
实时阻断攻击:设备采用直路方式部署在网络中,能够在检测到入侵时,实时对入侵活动和攻击性网络流量进行拦截,把其对网络的入侵降到最低。
深层防护:由于新型的攻击都隐藏在TCP/IP协议的应用层里,入侵防御能检测报文应用层的内容,还可以对网络数据流重组进行协议分析和检测,并根据攻击类型、策略等来确定哪些流量应该被拦截。
全方位防护:入侵防御可以提供针对蠕虫、病毒、木马、僵尸网络、间谍软件、广告软件、CGI(Common Gateway Interface)攻击、跨站脚本攻击、注入攻击、目录遍历、信息泄露、远程文件包含攻击、溢出攻击、代码执行、拒绝服务、扫描工具、后门等攻击的防护措施,全方位防御各种攻击,保护网络安全。
内外兼防:入侵防御不但可以防止来自于企业外部的攻击,还可以防止发自于企业内部的攻击。系统对经过的流量都可以进行检测,既可以对服务器进行防护,也可以对客户端进行防护。
不断升级,精准防护:入侵防御特征库会根据持续更新特征库,以保持最高水平的安全性。您可以从升级中心定期升级设备的特征库,以保持入侵防御的持续有效性
入侵防御系统
入侵防御系统(IPS, Intrusion Prevention System)是一种发现入侵行为时能实时阻断的入侵检测系统。IPS使得IDS和防火墙走向统一。
IPS有两种部署方式:
直路(Inline):串联在网络边界,在线部署,在线阻断。
旁路:
- SPAN也叫作端口镜像或端口监控,接在交换机上,通过交换机做端口镜像;
- TAP(Test Access Point)接在交换机与路由器之间,旁路安装拷贝数据到IPS。
入侵检测系统与入侵防御系统对比
IDS主要作用是监控网络状况,但不会对入侵行为采取动作。通常情况下,IDS设备会以旁路的方式接入网络中,与防火墙联动,发现入侵后通知防火墙进行阻断。
IPS会发现入侵行为并阻断入侵行为。与IDS不同的是,IPS会实时阻断入侵行为,是一种侧重于风险控制的安全机制。
入侵检测与防御技术基础相关推荐
- 服务器安全检测和防御技术
目录 1.服务器安全风险 2.DOS攻击检测和防御技术 2.1 需求背景 2.2 DOS攻击介绍 2.3 DOS目的 2.4 DOS类型 2.5 SYN Flood 攻击及解决办法 (1)SYN Fl ...
- 终端安全检测与防御技术
终端安全风险 利用僵尸网络,来实现渗透.监视.窃取敏感数据等目的 僵尸网络的主要危害: 看不见的风险 各种病毒变种和恶意代码隐藏在应用流量中,传统的边界防御基于静态特征检测技术,会存在特征库不全.更新 ...
- 基于博弈理论的入侵检测与响应模型综述
基于博弈理论的入侵检测与响应模型综述 作者:中国保密协会科学技术分会 2020-05-07 20:52:01 安全 应用安全 当前网络规模急剧增加,各类入侵过程也逐渐向复杂化,多样化和分布式的趋势发展 ...
- 基于机器学习的入侵检测系统
导 语 在过去十年中,机器学习技术取得了快速进步,实现了以前从未想象过的自动化和预测能力.随着这一技术的发展促使研究人员和工程师为这些美妙的技术构思新的应用.不久,机器学习技术被用于加强网络安全系统. ...
- [当人工智能遇上安全] 6.基于机器学习的入侵检测和攻击识别——以KDD CUP99数据集为例
您或许知道,作者后续分享网络安全的文章会越来越少.但如果您想学习人工智能和安全结合的应用,您就有福利了,作者将重新打造一个<当人工智能遇上安全>系列博客,详细介绍人工智能与安全相关的论文. ...
- 异常检测之浅谈入侵检测
打开微信扫一扫,关注微信公众号[数据与算法联盟] 转载请注明出处:http://blog.csdn.net/gamer_gyt 博主微博:http://weibo.com/234654758 Gith ...
- 二十四.基于机器学习的入侵检测和攻击识别——以KDD CUP99数据集为例
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步.前文分享了Web渗透的第一步工作,涉及网站信息.域名信息.端口信息.敏感信息及指纹 ...
- c++ 写x64汇编 5参数_怀念9年前用纯C和汇编写的入侵检测软件
在翻出12年前用C#写的自我管理软件之后,进一步激发了本猫的怀旧情怀. 上一篇在此: 竟然无意间翻出12年前自己用C#写的程序 这不,昨天竟然又找出2010年写的一款Windows系统入侵检测及防御小 ...
- java入侵检测源码_Java Web中的入侵检测及简单实现
作者:EasyJF开源团队 大峡 一.简介 在Java Web应用程中,特别是网站开发中,我们有时候需要为应用程序增加一个入侵检测程序来防止恶意刷新的功能,防止非法用户不断的往Web应用中重复发送数据 ...
最新文章
- 解决MyBatis中 Could not set property ~ o f ~异常
- C#ReadLine()和ReadKey()区别
- vs编译器 printf 控制台输出_【语言教程】通过语言了解GCC编译器工作过程
- 图像缩放算法_技术专栏|基于无人机LK光流算法的适用性及其优化方法探究
- zcmu1734: 18岁
- 关于sql中的with(nolock)
- em模型补缺失值_基于EM算法数据单变量缺失处理方法研究
- “70后”清华教授,任大学校长
- php数组基础知识,PHP 数组基础知识小结
- List.Sort用法
- arcgis 批量计算几何_ArcGIS数据统计
- HDU 4001 To Miss Our Children Time DP
- 视频教程-网络安全技术(CCNA-HCNA)-网络技术
- 构建系统发育树~序列对比 MEGA、MAFFT(图文教程)
- 数据结构——图的应用
- win10 截图工具
- 雷军的本命年:轮回中的挫败、幸运和逆袭
- 淘宝天猫店铺微信公众平台建设指南
- sk_buff 详解(一)
- 使用随机森林填补缺失值