入侵检测与防御技术基础

网络入侵简介

典型的入侵行为

  1. 篡改web网页;
  2. 破解系统密码;
  3. 复制/查看敏感数据;
  4. 使用网络嗅探工具获取用户密码;
  5. 访问未经允许的服务器;
  6. 其他特殊硬件获取原始网络包;
  7. 向主机植入特洛伊木马程序;

常见的入侵方式

  1. 未授权访问
  2. 拒绝服务
  3. 假冒和欺诈
  4. 线路窃听
  5. 计算机病毒
  6. 特洛伊木马
  7. 后门和陷阱
  8. 电磁辐射
  9. 盗窃

系统漏洞

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞问题具有时效性,随着时间的推移,旧的漏洞会不断消失,新的漏洞会不断出现。漏洞问题会长期存在。

病毒

病毒是一种恶意代码,可感染或附着在应用程序或文件中,一般通过邮件或文件共享进行传播,威胁用户主机和网络的安全。有些病毒会耗尽主机资源、占用网络带宽、窃取用户数据、控制主机权限等。反病毒功能可以通过维护更新病毒特征库保护网络安全,防止病毒文件侵害数据。

入侵检测系统

入侵检测(ID Intrusion Detection)通过监视各种操作,实时检测入侵行为的过程,是一种积极动态的安全防御技术。

入侵检测系统(IDS Intrusion Detection System)用于入侵检测的所有软硬件系统,一旦发现有违反安全策略的行为或者系统存在被攻击的痕迹时,立即启动安全机制进行应对,例如断开网络、关闭整个系统、向管理员告警等。

入侵检测系统的特点

  1. 监测速度快
  2. 隐蔽性好
  3. 视野更宽
  4. 较少的监测器
  5. 攻击者不易转移证据
  6. 操作系统无关性
  7. 不占用被保护的系统资源

入侵检测的原理

入侵检测采用误用检测或异常检测的方式,发现非授权或恶意的系统及网络行为,为防范入侵行为提供有效的手段。

在这里插入图片描述
入侵检测原理

在这里插入图片描述

入侵检测系统的结构

入侵检测的技术实现

异常检测模型(Anomaly Detection):首先总结正常操作应该具有的特征,当用户活动与正常行为有重大偏离时即被认为是入侵;异常检测可以发现未知的攻击方法。

误用检测模型(Misuse Detection):收集非正常操作的行为特征,建立相关的特征库;当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。误用检测适用于对已知模式的可靠检测。误用检测也称为特征检测(Signature-based Detection)

异常检测与误用检测的优缺点

异常检测

优点:
不需要专门维持操作系统缺陷特征库;
有效检测对合法用户的冒充检测;
缺点:
建立正常的行为轮廓和确定异常行为轮廓的阈值困难;
不是所有的入侵行为都会产生明显的异常;

误用检测

优点:
可检测所有已知的入侵行为;
能够明确入侵行为并提示防范方法;
缺点:
缺乏对未知入侵行为的检测;
对内部人员的越权行为无法进行检测;

入侵防御系统

入侵防御技术

入侵防御技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。入侵防御技术是种既能发现又能阻止入侵行为的新安全防御技术。通过检测发现网络入侵后,能自动丢弃入侵报文或阻断攻击源,从而从根本上避免攻击行为。

入侵防御技术优势

实时阻断攻击:设备采用直路方式部署在网络中,能够在检测到入侵时,实时对入侵活动和攻击性网络流量进行拦截,把其对网络的入侵降到最低。

深层防护:由于新型的攻击都隐藏在TCP/IP协议的应用层里,入侵防御能检测报文应用层的内容,还可以对网络数据流重组进行协议分析和检测,并根据攻击类型、策略等来确定哪些流量应该被拦截。

全方位防护:入侵防御可以提供针对蠕虫、病毒、木马、僵尸网络、间谍软件、广告软件、CGI(Common Gateway Interface)攻击、跨站脚本攻击、注入攻击、目录遍历、信息泄露、远程文件包含攻击、溢出攻击、代码执行、拒绝服务、扫描工具、后门等攻击的防护措施,全方位防御各种攻击,保护网络安全。

内外兼防:入侵防御不但可以防止来自于企业外部的攻击,还可以防止发自于企业内部的攻击。系统对经过的流量都可以进行检测,既可以对服务器进行防护,也可以对客户端进行防护。

不断升级,精准防护:入侵防御特征库会根据持续更新特征库,以保持最高水平的安全性。您可以从升级中心定期升级设备的特征库,以保持入侵防御的持续有效性

入侵防御系统

入侵防御系统(IPS, Intrusion Prevention System)是一种发现入侵行为时能实时阻断的入侵检测系统。IPS使得IDS和防火墙走向统一。

IPS有两种部署方式:

直路(Inline):串联在网络边界,在线部署,在线阻断。
旁路:

  • SPAN也叫作端口镜像或端口监控,接在交换机上,通过交换机做端口镜像;
  • TAP(Test Access Point)接在交换机与路由器之间,旁路安装拷贝数据到IPS。

入侵检测系统与入侵防御系统对比

IDS主要作用是监控网络状况,但不会对入侵行为采取动作。通常情况下,IDS设备会以旁路的方式接入网络中,与防火墙联动,发现入侵后通知防火墙进行阻断。

在这里插入图片描述

IPS会发现入侵行为并阻断入侵行为。与IDS不同的是,IPS会实时阻断入侵行为,是一种侧重于风险控制的安全机制。

在这里插入图片描述

参与评论 您还未登录,请先 登录 后发表或查看评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:技术黑板 设计师:CSDN官方博客 返回首页

打赏作者

安全防护技术

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值