1、深度行为检测技术
深度行为检测技术:是一种基于深度学习和机器学习的技术,它通过分析用户在网络中的行为模式,识别异常或潜在威胁行为,从而保护网络安全和内容安全
分类:
- 深度包检测技术(Deep Packet Inspection,DPI)
- 深度流检测技术(Deep Flow Inspection,DFI)
1.1 深度包检测技术
深度包检测技术:是一种基于网络层的安全技术,主要用于识别和控制网络流量。它可以检测每个数据包的内容,包括应用层协议、数据负载等,以确定数据包的来源、目的、类型等信息。
针对完整的数据包,进行内容的识别和检测
深度包检测技术可分为三类:
- 基于“特征字”的检测技术
- 基于应用网关的检测技术
- 基于行为模式的检测技术
1)基于“特征字”的检测技术
特征字:是指在特定的网络协议、应用程序或数据中具有独特标识意义的字符串或字节序列
基于特征字的包检测技术主要针对数据包中的特征字,例如Host字段、UA字段等等
可以通过User-Agent字段来识别PC端或手机端,从而进行控制等
2)基于应用网关的检测技术
基于应用网关的检测技术:有些应用控制和数据是分离的,比如一些视屏流。一开始会通过TCP协议链接之后,协商一些参数,这部分我们称为信令部分。只写正式传输数据流量通过UDP协议,而这部分流量是没有可以识别的特征的。因此,这些应用可以基于应用网关来进行检测,即基于前面的信令部分来进行识别和控制
3)基于行为模式的检测技术
基于行为模式的检测技术:是一种通过分析用户或系统的行为模式来识别异常或潜在威胁的方法。通过收集和分析用户或系统的行为数据,建立正常行为模式,并实时监测和比较当前行为与正常行为模式之间的差异,从而识别出异常或潜在威胁
例如,一个人每天都只发送两封邮件,那它的正常行为模式就是每天只发送二三封邮件,突然下周开始每天都发送五六封邮件,再下下周每天都发送二三十封邮件,那么此时可能会被识别为异常或威胁
工作原理:数据收集、模型建立、实时监控
1.2 深度流检测技术
深度流检测技术:基于数据流进行识别检测的技术,以流为基本研究对象,关注的是整个网络流数据的行为和特诊
DPI和DFI的对比:
- DFI仅对流量行为分析,只能对应用类型进行笼统的分类,无法做到精细的识别
- 如果流量进行加密的话,DPI在没有解密的情况下可能无法识别,但DFI不受影响
DPI和DF性能对比:
- 处理速度:DFI的处理速度相对快,因为它不需要对每个数据包进行深度分析。基于DFI的系统可以达到线速10Gbit/s,而基于DPI的带宽管理系统的处理能力仅达到1Gbit/s
- 维护成本:DFI的维护成本相对较低,因为同一类型的新应用与旧应用不会出现大的变化,因此不需要频繁升级流量行为模型。而基于DPI的带宽管理系统需要紧跟新协议和新型应用的产生而不断升级后台应用数据库
- 识别准确率:DPI能够提供精细的识别准确率,而DFI在应对复杂的网络攻击时表现出色
2、IDS入侵防御系统
IDS(Intrusion Detection System):入侵检测系统,是一种侧重于风险管理的网络安全设备,只能检测网络流量和系统活动,以识别潜在的安全威胁,不能直接处理。IDS通过收集和分析网络数据包、系统日志和其他相关信息,来检测可能的恶意行为、漏洞利用和攻击尝试。
优势:部署灵活,可以旁路部署,对原网络没有任何影响
劣势:具有一定的滞后性
早期的IDS误报率较高
3、IPS入侵防御系统
IPS(Intrusion Prevention System):入侵防御系统,一种侧重于风险控制的网络安全设备,用于检测和防止网络攻击。可以在检测风险的同时,处理问题,从而减少或消除潜在的损害
需要串联部署在网络中
优势:
- 实时阻断攻击
- 深层防护,可以深入到应用层,进行精准的威胁识别
- 全方位的防护
- 内外兼防
- 不断升级,精准防护
劣势:
- 误阻断:检测到攻击时会主动阻断,可能会误阻断一些合法的网络流量
- 配置复杂性:IPS的配置和管理相对于IDS较复杂
- 性能瓶颈:IPS在处理大量网络流量时,可能会成为性能瓶颈
4、入侵检测的方法
1)异常检测
异常检测:基于一个假定,我们认为用户的行为是遵循一致性原则的
2)误用检测
误用检测:创建一个异常行为特征库,将入侵行为的特征记录下来并记录成签名,之后根据到达的流量特征和签名进行对比,判断是否存在异常
签名:指用来描述网络入侵行为特征的一种方式,将异常行为的特征记录下来进行HSAH。通过比较报文特征和签名来检测入侵行为。
- 预定
最低0.47元/天 解锁文章
扫一扫
368
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
