入侵检测与防御技术基础

最新推荐文章于 2024-06-08 18:28:03 发布
最新推荐文章于 2024-06-08 18:28:03 发布
阅读量6.4k 收藏 54
点赞数 6
分类专栏: 安全防护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/songfeihu0810232/article/details/103554962
版权

网络入侵简介

典型的入侵行为

  1. 篡改web网页;
  2. 破解系统密码;
  3. 复制/查看敏感数据;
  4. 使用网络嗅探工具获取用户密码;
  5. 访问未经允许的服务器;
  6. 其他特殊硬件获取原始网络包;
  7. 向主机植入特洛伊木马程序;

常见的入侵方式

  1. 未授权访问
  2. 拒绝服务
  3. 假冒和欺诈
  4. 线路窃听
  5. 计算机病毒
  6. 特洛伊木马
  7. 后门和陷阱
  8. 电磁辐射
  9. 盗窃

系统漏洞

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞问题具有时效性,随着时间的推移,旧的漏洞会不断消失,新的漏洞会不断出现。漏洞问题会长期存在。

病毒

病毒是一种恶意代码,可感染或附着在应用程序或文件中,一般通过邮件或文件共享进行传播,威胁用户主机和网络的安全。有些病毒会耗尽主机资源、占用网络带宽、窃取用户数据、控制主机权限等。反病毒功能可以通过维护更新病毒特征库保护网络安全,防止病毒文件侵害数据。

入侵检测系统

入侵检测(ID Intrusion Detection)通过监视各种操作,实时检测入侵行为的过程,是一种积极动态的安全防御技术。

入侵检测系统(IDS Intrusion Detection System)用于入侵检测的所有软硬件系统,一旦发现有违反安全策略的行为或者系统存在被攻击的痕迹时,立即启动安全机制进行应对,例如断开网络、关闭整个系统、向管理员告警等。

入侵检测系统的特点

  1. 监测速度快
  2. 隐蔽性好
  3. 视野更宽
  4. 较少的监测器
  5. 攻击者不易转移证据
  6. 操作系统无关性
  7. 不占用被保护的系统资源

入侵检测的原理

入侵检测采用误用检测或异常检测的方式,发现非授权或恶意的系统及网络行为,为防范入侵行为提供有效的手段。

在这里插入图片描述
入侵检测原理

在这里插入图片描述

入侵检测系统的结构

入侵检测的技术实现

异常检测模型(Anomaly Detection):首先总结正常操作应该具有的特征,当用户活动与正常行为有重大偏离时即被认为是入侵;异常检测可以发现未知的攻击方法。

误用检测模型(Misuse Detection):收集非正常操作的行为特征,建立相关的特征库;当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。误用检测适用于对已知模式的可靠检测。误用检测也称为特征检测(Signature-based Detection)

异常检测与误用检测的优缺点

异常检测

优点:
不需要专门维持操作系统缺陷特征库;
有效检测对合法用户的冒充检测;
缺点:
建立正常的行为轮廓和确定异常行为轮廓的阈值困难;
不是所有的入侵行为都会产生明显的异常;

误用检测

优点:
可检测所有已知的入侵行为;
能够明确入侵行为并提示防范方法;
缺点:
缺乏对未知入侵行为的检测;
对内部人员的越权行为无法进行检测;

入侵防御系统

入侵防御技术

入侵防御技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。入侵防御技术是种既能发现又能阻止入侵行为的新安全防御技术。通过检测发现网络入侵后,能自动丢弃入侵报文或阻断攻击源,从而从根本上避免攻击行为。

入侵防御技术优势

实时阻断攻击:设备采用直路方式部署在网络中,能够在检测到入侵时,实时对入侵活动和攻击性网络流量进行拦截,把其对网络的入侵降到最低。

深层防护:由于新型的攻击都隐藏在TCP/IP协议的应用层里,入侵防御能检测报文应用层的内容,还可以对网络数据流重组进行协议分析和检测,并根据攻击类型、策略等来确定哪些流量应该被拦截。

全方位防护:入侵防御可以提供针对蠕虫、病毒、木马、僵尸网络、间谍软件、广告软件、CGI(Common Gateway Interface)攻击、跨站脚本攻击、注入攻击、目录遍历、信息泄露、远程文件包含攻击、溢出攻击、代码执行、拒绝服务、扫描工具、后门等攻击的防护措施,全方位防御各种攻击,保护网络安全。

内外兼防:入侵防御不但可以防止来自于企业外部的攻击,还可以防止发自于企业内部的攻击。系统对经过的流量都可以进行检测,既可以对服务器进行防护,也可以对客户端进行防护。

不断升级,精准防护:入侵防御特征库会根据持续更新特征库,以保持最高水平的安全性。您可以从升级中心定期升级设备的特征库,以保持入侵防御的持续有效性

入侵防御系统

入侵防御系统(IPS, Intrusion Prevention System)是一种发现入侵行为时能实时阻断的入侵检测系统。IPS使得IDS和防火墙走向统一。

IPS有两种部署方式:

直路(Inline):串联在网络边界,在线部署,在线阻断。
旁路:

  • SPAN也叫作端口镜像或端口监控,接在交换机上,通过交换机做端口镜像;
  • TAP(Test Access Point)接在交换机与路由器之间,旁路安装拷贝数据到IPS。

入侵检测系统与入侵防御系统对比

IDS主要作用是监控网络状况,但不会对入侵行为采取动作。通常情况下,IDS设备会以旁路的方式接入网络中,与防火墙联动,发现入侵后通知防火墙进行阻断。

在这里插入图片描述

IPS会发现入侵行为并阻断入侵行为。与IDS不同的是,IPS会实时阻断入侵行为,是一种侧重于风险控制的安全机制。

在这里插入图片描述

网络与安全技术探索
关注
  • 6
    点赞
  • 54
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
入侵检测系统(IDS)与入侵防御系统(IPS)的简单理解
妖魔鬼怪快离开的博客
03-29 1万+
文章目录1.入侵检测系统(IDS)2.入侵防御系统(IPS) 1.入侵检测系统(IDS) IDS(Intrusion Detection Systems),中文意思是“入侵检测系统”。 依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 假如防火墙是一幢大厦的门锁,那么IDS就是这栋大楼里的监视系统。一旦非法份子进入了大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。 与防火墙不同的是,IDS入
学习笔记:入侵检测防御技术应用
TKE_yinian的博客
03-13 1570
功能介绍 NIP能够检测出多种类型的网络攻击,并能采取相应的措施保护内部网络免受恶意攻击。 Web应用防护: • 互联网中90%的应用都架设在Web平台上,包括网上银行、网络购物、网络游戏、门户网站、企业ERP/CRM等。不论是企业内部应用或是外部网络服务均离不开Web技术,Web技术在承载重要网络应用的同时,也存在着巨大的安全风险。目前,针对Web应用漏洞的攻击已经成为主流,占Web攻击的一半以...
你对入侵检测了解多少呢?
qq_49149766的博客
09-12 1615
有关入侵检测,你知道这些吗
入侵检测系统(IDS)和入侵防御系统(IPS)的区别
最新发布
网络技术联盟站
06-08 1205
你好,这里是网络技术联盟站,我是瑞哥。在当今信息化社会,网络已经成为人们生活和工作的重要组成部分。然而,随着网络的普及和发展,网络攻击的威胁也日益严重。从早期的蠕虫病毒到如今复杂的APT(高级持续性威胁),网络攻击手段不断演化,给个人、企业甚至国家带来了巨大的安全隐患。在这种背景下,网络安全技术的研究和应用显得尤为重要。入侵检测系统(IDS)和入侵防御系统(IPS)作为网络安全的重要防护措施,逐渐成为保障网络安全的关键技术。IDS和IPS在网络安全防护中起着至关重要的作用。
安全防御入侵检测与防范技术
学而思(xiejava的blog)
01-05 1794
安全防御中的入侵检测与防范技术主要涉及到入侵检测系统(IDS)和入侵防御技术(IPS)。 入侵检测系统(IDS)是一种对入侵行为自动进行检测、监控和分析的软件与硬件的组合系统。IDS通过从计算机网络或系统中的若干关键点收集信息,并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象。 入侵防御技术(IPS)是一种主动的安全防御技术,旨在防止恶意软件入侵和数据泄露。它通过实时监测和拦截网络流量中的威胁,保护网络和系统免受攻击。
学习笔记:入侵防御检测基础
TKE_yinian的博客
03-10 3185
入侵检测防御基础总体介绍入侵检测部署入侵检测技术的实现入侵防御系统部署方式对比 总体介绍 • 传统的信息安全方法采用严格的访问控制和数据加密策略来防护,但在复杂系统中,这些策略是不充分的,不能完全保证系统的安全。 • 在目前出现的各种安全威胁当中,从单纯的攻击转变获取利益。“网络威胁”经常是融合了病毒、黑客攻击、木马、僵尸、间谍等危害等于一身的混合体,因此单靠以往的防毒或者防黑技术往往难以抵御。...
【网络安全】网络入侵检测——入侵防御系统
Spontaneous_0的博客
10-11 778
入侵防御系统(IPS)是一种用于阻止网络或系统中潜在威胁的设备或软件应用。它可以帮助我们防止攻击者的入侵。IPS是IDS的一个扩展,它不仅可以检测威胁,还可以阻止威胁。
HCSCP1204 入侵检测防御技术基础 ISSUE 3.0.pptx
10-06
HCSCP1204 入侵检测防御技术基础 ISSUE 3.0
入侵检测技术与实例.ppt
10-07
总的来说,入侵检测技术是网络安全防御体系的关键部分,不断发展和演进以应对日益复杂的网络威胁。从最初的理论概念到现在的多元化技术应用,入侵检测已经成为保护网络安全不可或缺的一部分,为系统安全提供了有力的...
Linux内核漏洞检测防御2022看雪安全开发者峰会(公
11-19
【标签】"Linux内核漏洞检测防御20"突出了这个话题的关键点,即针对20年代的Linux内核漏洞的检测防御技术。随着技术的发展,新的攻击手段和漏洞不断涌现,因此,了解和掌握最新的检测防御策略至关重要。 在...
入侵检测技术
12-16
此外,入侵检测技术还与防火墙、安全信息和事件管理系统(SIEM)、蜜罐等其他安全措施协同工作,共同构建全面的防御体系。在理解入侵检测技术时,还需要了解其局限性,如误报率、漏报率、性能开销以及对抗策略等问题...
入侵检测与安全审计.ppt
10-07
总的来说,入侵检测与安全审计是网络安全防御的重要防线,通过多种技术和策略,它们能够提供实时监控、快速响应和深入分析,以增强网络的安全防护能力。然而,随着网络攻击手段的不断演进,IDS 也需要持续更新和完善...
入侵检测系统(IDS)和入侵防御系统(IPS)有什么区别?如何选择?
HoewDec的博客
04-12 2564
与防火墙类产品、入侵检测产品可以实施的安全策略不同,入侵防御系统可以实施深层防御安全策略,即可以在应用层检测出攻击并予以阻断,这是防火墙所做不到的,当然也是入侵检测产品所做不到的。根据设置的过滤器,分析相对应的数据包,通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。德迅卫士采用自适应安全架构,有效解决传统专注防御手段的被动处境,为系统添加强大的实时监控和响应能力,帮助企业有效预测风险,精准感知威胁,提升响应效率,保障企业安全的最后一公里。
【网络安全】2.2 入侵检测防御系统
Andy0214的专栏
09-28 4574
入侵检测防御系统是一种设备或软件,它们可以监视网络或系统的活动,寻找可能的恶意行为或违反策略的行为。当IDPS发现这样的行为时,它可以采取一些动作,例如发送警告,阻止活动,或者向其他安全设备(如防火墙)发送信号。举个例子,假设你的网络中有一台计算机突然开始发送大量的数据到外部。这可能是一个恶意软件在试图偷取你的数据。如果你有一个IDPS,它可以发现这种异常行为,并采取相应的措施。
1.入侵检测/防护基本概念
njwxbmu的博客
07-04 622
1. 入侵检测基本概念 2. 安全设备的作用及缺点 3. IDS/IPS的简单分类 4. 入侵检测/防护面临的问题 5. 入侵检测/防护技术发展趋势
安全防御 --- 入侵检测 --- IDS、IPS
weixin_62443409的博客
04-03 4670
(相当于一个摄像头。用户可以将自己身份伪装成合法的,或者通过后门进入,绕过或者攻破防火墙,此时防火墙相当于虚设)
网络防火墙与入侵检测系统(IDS/IPS):深入研究现代防火墙和IDS/IPS技术,提供配置和管理建议
baidu_38876334的博客
09-03 892
例如,基于应用程序的防火墙(Application-Aware Firewall)可以识别并控制特定应用程序的流量,从而提供更精细的访问控制。在不断演变的威胁环境中,持续关注和更新网络安全措施至关重要,以确保数据和系统的完整性和可用性。持续更新和培训: 确保防火墙和IDS/IPS设备上的软件和规则保持更新,并为团队提供定期的安全培训。技术案例: Snort是一个开源的网络IDS,通过检测网络流量中的特征模式来识别潜在的攻击。制定明确的策略: 确定哪些流量是允许的,哪些是禁止的,并根据实际需求进行配置。
IDS(入侵检测系统)、IPS(入侵防御系统)和防火墙到底有啥区别?
网络技术联盟站
11-21 971
IDS(入侵检测系统):IDS 主要用于监视网络流量,检测潜在的安全威胁和异常活动。当 IDS 检测到异常活动时,它生成警报,通知管理员有可能发生入侵。IDS 本身不采取主动措施阻止流量,而是依赖管理员采取后续行动。IPS(入侵防御系统):IPS 与 IDS 类似,也用于监视网络流量并检测潜在的威胁。不同之处在于,IPS 具有主动防御能力。当 IPS 检测到潜在入侵时,它可以采取主动措施,例如阻止流量、重置连接、发出警报等,以防止入侵的成功。
入侵检测系统(IDS)和入侵防御系统(IPS)对比分析
tigerman20201的博客
06-19 618
入侵检测系统(IDS)和入侵防御系统(IPS)是两种不同的网络安全设备,它们都可以用来检测防御网络入侵行为,但是它们的工作方式和功能有所区别。IDS和IPS都是重要的网络安全设备,它们可以相互配合,共同提升网络安全防护能力。
入侵检测防御技术基础详解
"HCSCP1204 入侵检测防御技术基础 ISSUE 3.0.pptx" 本文将详细探讨入侵检测防御技术基础知识,这些技术是现代网络安全的重要组成部分,旨在弥补传统安全策略的不足。入侵检测技术是为了及时发现并应对未经...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值