内容安全(IPS入侵检测)

最新推荐文章于 2024-09-09 11:25:27 发布
最新推荐文章于 2024-09-09 11:25:27 发布
阅读量637 收藏 5
点赞数 3
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66993332/article/details/138542284
版权

入侵检测系统( IDS )---- 网络摄像头,侧重于风险管理,存在于滞后性,只能够进行风险发现,不能及时制止。而且早期的IDS误报率较高。优点则是可以多点进行部署,比较灵活,在网络中可以进行并联部署,对网络的影响小。

入侵防御系统( IPS )

IDS --- 侧重于风险管理的设备
IPS --- 侧重于风险控制的设备
IPS要接入网络中,需要进行串联部署,在后期加入时,可能会影响网络部署,导致流量中断,所以一般来说会提前部署好连接位置。

IPS的优势:

  1. 实时的阻断攻击
  2. 深层防护 --- 深入到应用层(IPS和IDS的工作范围都是2~7层
  3. 全方位的防护 --- IPS可以针对各种常见威胁做出及时的防御,提供全方位的防护(针对各种的行为)
  4. 内外兼防 --- 只要是通过设备的流量均可以进行检测,可以防止发自于内部的攻击
  5. 可以不断升级,精准防护

入侵检测的方法: 异常检测、误用检测

异常检测:
基于一个假定,即用户行为是可以预测的,遵循一致性模式的。例如:一个人每天一般上三次,这是一个假定性的正常规律,可能会有上下的微小浮动,不会被认为异常。但是如果他一天上了100次厕所,则标准偏离过大,则会被入侵检测认为异常。
误用检测:
误用检测其实就是创建了一个异常行为的特征库(常规手段)。 我们将一些入侵行为记录下来,总结成为特征,之后,检测流量和特征库进行对比,来发现威胁。

异常检测和误用检测的对比:

签名

针对网络上的入侵行为特征的描述,将这些特征通过HASH后和报文进行比对。
预定义签名

设备上自带的特征库,这个需要我们激活对应的License(许可证)后才能获取,需要付费。这个预定义签名库激活后,设备可以通过连接华为的安全中心进行升级。

自定义签名
自己定义威胁特征。
自定义签名和预定义签名可以执行的动作 
告警 --- 对命中签名的报文进行放行,但是会记录在日志中
阻断 --- 对命中签名的报文进行拦截,并记录日志
放行 --- 对命中签名的报文放行,不记录日志
这里以华为的防火墙USG6000V1为例:
注意:这里在进行更改时,一定要注意提交,否则配置不生效。修改的配置需要在提交后重启
模块后生效

总结:

1、在进行IPS模块检测之前,首先需要重组IP分片报文和TCP数据流,以此增加检测的精准性。
2、在此之后需要进行应用协议的识别。这样做主要为了针对特定的应用进行对应精细的解码,并深入报文提取特征。
3、最后,解析报文特征和签名(特征库里的特征)进行匹配。再根据命中与否做出对应预设的处理方案。
Healer。。
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
入侵检测系统(IDS)和入侵防御系统(IPS)的区别
网络技术联盟站
06-08 1395
你好,这里是网络技术联盟站,我是瑞哥。在当今信息化社会,网络已经成为人们生活和工作的重要组成部分。然而,随着网络的普及和发展,网络攻击的威胁也日益严重。从早期的蠕虫病毒到如今复杂的APT(高级持续性威胁),网络攻击手段不断演化,给个人、企业甚至国家带来了巨大的安全隐患。在这种背景下,网络安全技术的研究和应用显得尤为重要。入侵检测系统(IDS)和入侵防御系统(IPS)作为网络安全的重要防护措施,逐渐成为保障网络安全的关键技术。IDS和IPS在网络安全防护中起着至关重要的作用。
入侵检测IPS下载
09-27
在GNS3(Generic Network Simulation 3)环境中使用入侵检测IPS,可以为网络工程师和安全专业人员提供一个高度真实的模拟平台。GNS3是一款强大的网络模拟工具,它允许用户构建和测试复杂的网络拓扑,包括路由器、...
网络安全自查表 各种网络安全设备巡检报告(防火墙、IPS、网络、主机)
11-13
网络安全自查表,包括安全设备、网络设备、主机、数据库等。每一类均有对应的检查项目,按照检查项目填写检查结果。
入侵检测系统的主要功能有哪些_深入解析IDS入侵检测异常检测误用检测的方法_零开始黑客笔记
程序员三九的博客
06-20 508
入侵检测系统(IDS)是保障网络安全的重要手段。IDS的异常检测误用检测各有其独特的机制和应用场景。本文将详细解析这两种检测方法的工作原理及优缺点。
入侵防御系统(IPS)网络安全设备介绍
wt334502157的博客
10-07 1万+
IPS设备是网络安全的关键组成部分,用于检测和防止恶意攻击和入侵尝试。它们通过流量分析、签名检测异常检测来实现这一目标,并可以采取各种防御措施。IPS设备还与其他安全设备集成,以提供全面的安全性和监控。然而,IPS设备也存在一些挑战和限制,需要不断演进以适应不断变化的网络威胁。在未来,IPS设备将继续发展,采用新技术来提高安全性和效率,以应对不断增加的网络威胁。
异常检测误用检测的差异
热门推荐
Winnycatty的博客
10-19 1万+
异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。 根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。 异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。 异常检测的局限在于并非所有的入侵都表现...
异常检测误用检测的简单对比
Pang_Yue__Fairy的博客
03-16 3687
我的理解是: 异常检测就是建立一个主体正常活动的模型,不符合这个模型的就告警;误用检测/滥用检测就是建立一个主体异常活动的模型,只有符合这个模型的才会告警; 异常检测就像建立一个白名单,不在这个名单里的统统毙掉;误用检测就像建立一个黑名单,在这个名单里的才会毙掉; 根据道哥的《白帽子讲Web安全》,白名单一般比黑名单好,虽然误报率可能会更高,但漏报率会更少,能用白名单还是用白名单比较好。 类比到法律的话,法律则是比较接近黑名单的思想,法无禁止皆可为。 ...
防火墙、IDS、IPS三个设备的具体功能
IT技术
08-07 4741
1、防火墙:NAT、访问控制、服务器负载均衡。 2、IDS、包检测分析、DDOS攻击检测和阻止、漏洞扫描。 IDS作为防火墙的补充,无法实时对阻断。 2、IPS:上网行为审计、数据库审计、异常流量阻断、web应用防护。 ...
[网络工程师]-防火墙-入侵防护系统IPS
m0_58983558的博客
10-28 3071
讲述了防火墙入侵防护系统IPS的原理和分类,并分析了优点和不足。
天阗入侵检测与管理系统V7.0.4.2快速使用手册.doc
04-10
"天阗入侵检测与管理系统V7.0.4.2快速使用手册" 天阗入侵检测与管理系统V7.0.4.2快速使用手册是为工程部上架提供...天阗入侵检测与管理系统V7.0.4.2是一种功能强大且灵活的安全产品,能够满足各种类型的网络安全需求。
网络安全的哨兵:入侵检测系统与入侵防御系统详解
06-23
入侵检测系统(Intrusion Detection System, IDS)和入侵防御系统(Intrusion Prevention System, IPS)作为网络安全的关键技术,为防御网络威胁提供了有效手段。本文将详细解析入侵检测系统和入侵防御系统的概念、...
IPS如何实现深度检测和入侵抵御
03-03
传统的防火墙和入侵检测系统(IDS)往往只能提供基本的访问控制和异常检测,而IPS则能够更深入地理解协议、内容和行为模式,从而更好地防御各种安全威胁。 IPS的深度检测主要包括以下几个方面: 1. **协议分析与...
网络安全概论——入侵检测系统IDS
VN520的博客
04-13 3380
因为很大一部分的入侵是利用了系统的脆弱性,通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。假定所有入侵行为都是与正常行为不同的,如果建立系统正常行为轨迹,那么理论上可以通过统计那些不同于我们已建立的特征文件的所有系统状态的数量来识别入侵企图,把所有与正常轨迹不同的系统状态视为可疑企图。误用检测系统的关键问题是如何从已知入侵中提取金和编写特征,使得其能够覆盖该入侵的所有可能的变种,而同时不会匹配到非法入侵活动(把真正入侵与正常行为区分开来)
误用检测异常检测的优缺点
网工小小威
07-02 9059
误用检测技术 优点:检测准确度高,技术相对成熟,便于系统维护等 缺点:入侵信息的收集和更新困难,难以检测本地入侵和新的入侵行为,维护特征库的工作量巨大 异常检测技术 优点:能够检测新的入侵或从未发送的入侵;对操作系统的依赖性较小;可检测出属于滥用权限型的入侵 缺点:报警率高,行为模型建立困难 ...
【信息收集】防火墙、WAF、IPS、IDS介绍及 WAF检测的python实现(十一)
微雨停了的博客
04-18 9224
文章目录一、防火墙、WAF、IPS、IDS介绍1.1 防火墙 (Firewall)1.2 WAF (Web Application Firewall) Web应用防火墙1.3 IDS (Intrusion Detection System) 入侵检测系统1.4 IPS (Intrusion Prevention System) 入侵防御系统二、WAF分类2.1 云WAF2.2 硬件WAF2.3 软件WAF2.4开源型WAF2.5 网站内置的WAF三、WAF功能2.1 审计2.2 访问控制设备2.3 Web应
六、防御保护---防火墙内容安全
ZL_1618的博客
04-13 1065
3,内嵌白名单功能:当大型网页中内嵌了其它网页链接时,如果只将主网页加入白名单,则该主网页下内嵌的其它网页都将无法正常访问,内嵌白名单功能通过用户HTTP请求中的referer字段(标识用户从哪个网页跳转过来)去匹配内嵌白名单从而实现对内嵌网页的访问,其包括以下两种方式;比如微博或者抖音提交帖子的时候,包括我们搜索某些内容的时候,其事只都是通过HTTP之类的协议中规定的动作来实现的,包括邮件附件名称,FTP传递的文件名称,这些都属于应用内容的过滤。包括,一些携带病毒,木马的钓鱼邮件,也属于垃圾邮件。
入侵检测系统的类型
2301_76161259的博客
04-12 3109
IDS可以基于检测入侵的方法、检测入侵的反应/响应方法、体系结构或虚拟机来分类,如图3所示。图1:IDS不同的分类方法。
内容安全的:反病毒、入侵防御(IPS)、URL过滤简介、文件过滤和内容过滤简介
GUOJUNWEI11的博客
11-20 1439
入侵防御是一种安全机制,通过分析网络流量,检测入侵(包括缓冲区溢出攻击、木马、蠕虫等),并通过一定的响应方式,实时地中止入侵行为,保护企业信息系统和网络架构免受侵害。介绍URL过滤特性的概述以及URL过滤与DNS过滤的关系。员工在工作时间随意地访问与工作无关的网站,严重影响了工作效率。员工随意访问非法或恶意的网站,造成公司机密信息泄露,甚至会带来病毒、木马和蠕虫等威胁攻击。在内部网络拥堵时段,无法保证员工正常访问与工作相关的网站(如公司主页、搜索引擎等),影响工作效率。
【JAVA】Tomcat性能优化、安全配置、资源控制以及运行模式超详细
最新发布
A的博客
09-09 1415
nio(new I/O),是Java SE 1.4及后续版本提供的一种新的I/O操作方式(即java.nio包及其子包)。Java nio是一个基于缓冲区、并能提供非阻塞I/O操作的Java API,因此nio也被看成是non-blocking I/O的缩写。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值