网络设备:IPS,IDS,waf,SOC

最新推荐文章于 2024-07-29 14:11:21 发布
最新推荐文章于 2024-07-29 14:11:21 发布
阅读量1.6k 收藏 4
点赞数
分类专栏: 安全 文章标签: 网络设备基础知识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39811856/article/details/115250693
版权

IPS 入侵防御系统(Protect):

而入侵防御系统(IPS)却能有效地阻止攻击行为的发生,因为所有的网络流量在达到目标服务器之前,都需要流经IPS。所以在没有得到允许的情况下,恶意软件是无法触及服务器的。

IDS 入侵检测系统:

是一种通过实时监控网络流量来定位和识别恶意流量的软件。在网络系统中,IDS所处的位置是一个非常关键的设计因素,IDS一般会部署在防火墙之后,当攻击发生时,入侵检测系统只能发出警报,它并不能防止攻击的发生。基于主机的IDS只能够监控一个系统,它运行在你需要保护的主机之中。基于主机的IDS其另一个缺点就是,网络中的每一台主机都需要部署一个基于主机的IDS系统。你可以设想一下,如果你的环境中有5000台主机,这样一来你的部署成本就会非常高了

 

著名开源入侵检测系统(IDS/IPS):Snort

入侵检测系统所采用的技术可分为特征检测异常检测两种。
特征检测特征检测(Signature-based detection) 又称Misuse detection ,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。
异常检测异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

1)基于主机 (ossec)一般主要使用操作系统的审计、跟踪日志作为数据源,某些也会主动与主机系 统进行交互以获得不存在于系统日志中的信息以检测入侵。这种类型的检测系统不需要额外的硬件.对网络流量不敏感,效率高,能准确定位入侵并及时进行反应, 但是占用主机资源,依赖于主机的可靠性,所能检测的攻击类型受限。不能检测网络攻击。
2)基于网络 (snort)通过被动地监听网络上传输的原始流量,对获取的网络数据进行处理,从中提 取有用的信息,再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。此类检测系统不依赖操作系统作为检测资源,可应用于不同的操作系统 平台;配置简单,不需要任何特殊的审计和登录机制;可检测协议攻击、特定环境的攻击等多种攻击。但它只能监视经过本网段的活动,无法得到主机系统的实时状 态,精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统.
3)分布式这种入侵检测系统一般为分布式结构,由多个部件组成,在关键主机上采用主机入侵检测,在网络关键节点上采用网络入侵检测,同时分析来自主机系统的审计日志和来自网络的数据流,判断被保护系统是否受到攻击。

WAF (web应用防火墙):

WAF三大部件:执行前端、后端中心系统及数据库。

执行前端是WAF的执行引擎, 主要是根据规则进行过滤。根据规则匹配的结果,执行相应的动作。

后端中心系统主要是生成规则的逻辑,并与执行前端的nginx进行必要的数据交换

数据库就是存放规则和一些配置及状态的地方,可以根据实际情况,选择关系型数据库或者Nosql。

开发WAF是采用LUA编程语言,LUA还属于小众语言,没有像pycharm这种完整的IDE,LUA IDE的选择可以看自己需要,可以使用vscode+插件进行开发。

lua插件,用于语法高亮和语法说明

1602050219_5f7d58abd89d29714ff9f.png!small

Lua Debug用于调试和运行lua代码

1602050257_5f7d58d1b2c8f499ffa1b.png!small

按F5启动调试,可以看到lua运行成功的代码

1602050318_5f7d590ee5fc1ae81b3ad.png!small

WAF细节考虑

一直比较关注cloudflare的云WAF,基本上WAF规则可以考虑为三类:

 1️⃣通用的规则,比如sql、xss 规则,拦截恶意爬虫和扫描器等等的非常有效,这种基本上通用的。

2️⃣cms规则,就是根据不同的cms,根据相应的漏洞定制的规则,比如php网站,不可能存在java语言的漏洞,具有专一性。

3️⃣自定义规则,这就是根据自己的需求,自定义一些规则。根据入侵类型,再细分就会更多了,拦截shell、爬虫等等的,这里只是输了大概。

在github上面,最具参考的lua waf 就属 https://github.com/p0pr0ck5/lua-resty-waf 她了, 其它的并不是说不好,然而只有这个最接近Modsecurity的逻辑, 最突出的有点就是规则的弹性化,最接近Modsecrity的规则。 不过, https://github.com/starjun/openstar 里面的很多防御方法,也是可以借鉴的。

 

SOC 安全运营中心(SOC:Security Operations Center):

抛出问题,我们首先要收集各种日志,监听流量,让设备去发现流量中的威胁,我们来汇总报告数据,结合我们收集来的所有数据,去溯源,去发现更多的历史痕迹。

我们构建自己的SOC也是从流量和日志,还有策略方面考虑的, 用什么策略,又反过来也推动了工具的选择。这篇我们考虑不是如何存数据,而是我们采用一个什么的结构,可以从海量的日志来,取得我们想要的有用的数据,用机器和自动化的方式,代替人工甄别数据的工作量的耗时,提供一种思路。


1.png

ATOM_123
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
IDSIPS
悦分享
06-03 2663
为什么要有入侵检测产品数据包到防火墙解析到七层因没有相应的病毒和漏洞等特征库,只要符合安全域流向,病毒还是可以穿过防火墙,防火墙更倾向于访问控制和流量控制。 入侵检测产品,会将数据包与病毒库的特征码进行对比进行拦截,IDSIPS更倾向于黑客攻击的深度防御。IPSIDS的部署方式bypass旁路部署:通过交换机的SPAN(流量端口镜像),把流量引入IDS设备进行特征码对比,响应比较慢。交换机有管理口和监控口,管理口有IP地址用于管理,监控口也是引擎口用来抓取与分析流量,无IP地址。inline在线式部署:
信息安全-网安产品(WAF、蜜罐、漏洞扫描工具、安全事件系统)
jennycisp的博客
04-15 1078
WEB应用防火墙 (WAF) 旨在提供7层应用层级别的防护,主要是对web类型的应用的保护,好比web应用的贴身保镖,waf的安全能力是强大的,可对SQL注入、XSS跨站、CSRF,获取敏感信息、利用开源组件漏洞 ,暴力破解,爬虫,0day,webshell 进行防护。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…任何显著违反协议规范的请求都有可能被视为恶意的。
IDS IPS介绍
olivesun88的博客
10-02 3297
一、IDS入侵检测(旁路部署) 专业上讲IDS是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 打个比喻——假如防火墙是一幢大厦的门锁,那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。 与防火墙不同的是,IDS入侵检测系统是一个旁路监听设备,没有也不需要跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署的唯一要求是:ID
《跟我一起学“网络安全”》——安全设备
Cool_foolisher的博客
06-17 1028
本篇文章是《跟我一起学“网络安全”》的第七章,主要为大家介绍了企业里常用的安全设备,包括:IPSIDSWAF、隔离装置、蜜罐等。
IDS/IPS
A soul tortured by desire
09-22 1382
IDS基本概念 入侵检测系统(intrusion detection system)IDS,是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。 与防火墙不同的是,IDS入侵检测系统是一个旁路监听设备,没有也不需要跨接任何链路,无须网络流量流经它便可以工作; IDS的接入方式:并行接入(并联) IDS在交换式网络中的位置一般选择为:尽可能靠近攻击源,尽可能靠近受保护资源。 这些位置通常是: 服务器区域的交换机上 边界路由器的相邻交换机上 重点保护网段的局
IDSIPS
热门推荐
七天
03-13 1万+
文章目录一、入侵检测系统1、入侵检测系统的构成与功能2、入侵检测系统的分类2.1、按照检测类型划分2.2、按照检测对象划分3、入侵检测系统的部署二、入侵防御系统1、IPS主要的技术优势2、入侵防御系统的分类三、IDS、IRS、IPS的关联 一、入侵检测系统 入侵检测是指"通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图"。 入侵检测技术:是用来发现内部攻击、外部攻击和误操作的一种方法。它是一种动态的网络安全技术,利用不同的引|擎实时或定期地对网络数据源进行
IDS, IPS
安子自语
08-18 1146
IDS:Intrusion Detection System 入侵侦查系统:一种侧重于风险管理的安全产品; 相当于旁路部署; IPS:Intrusion Prevention System 入侵预防系统:一种侧重于风险控制的安全产品; 相当于直路部署; IDSIPS的关系并非取代和互斥,而是相互协作:没有部署IDS的时候,只能是凭感觉判断,应该在什么地方部署什
maiev-waf:众安开源waf引擎
02-03
maiev-waf:众安开源waf引擎
网安工具系列:雷池WAF简介、上手指南(官方版本+亲测有效)
02-16
网安工具系列:雷池WAF简介、上手指南(官方版本+亲测有效)
Radware-WAF:Radware的WAF脚本
04-06
Radware-WAF Cloud WAF API用户的Python脚本 拉主,全局配置和帮助器 在python3中运行相同的API调用,并解析html或json以进行后续调用 Radware Cloud WAF Postman收集和环境 对于邮递员 可以运行脚本以使api用户...
Smooth-Sec:IDS/IPS Linux 发行版。-开源
06-08
Smooth-Sec 是一个轻量级且完全就绪的 IDS/IPS(入侵检测/预防系统)Linux 发行版,基于 Debian 7(wheezy),可用于 32 位和 64 位架构。 该发行版包括最新版本的 Snorby、Snort、Suricata、PulledPork 和 Pigsty。 简单的设置过程允许在几分钟内部署完整的 IDS/IPS 系统,即使对于 Linux 经验最少的安全初学者也是如此。 加入社区,分享您的经验、技巧和想法。
bunto:现代的WAF和SSG
05-13
Bunto是一个Web应用程序框架,可以用作个人,项目或组织站点的简单静态站点生成器。 Linux OS X 视窗ri里代码船Ruby宝石CLA 由Suriyaa Kudo,Tom Preston-Werner,Parker Moore和许多! Bunto是一个Web应用程序框架...
网络安全之WAF攻防实战笔记
09-21
网络安全之WAF攻防实战笔记,行业大神学习总结。 这份文档分为技巧篇和实战篇,技巧篇介绍了各种服务器、数据库、应用层、WAF层的特性,在实战篇中,我们将灵活运用各种技巧去绕过WAF防护。有些姿势或许早已失效,但...
IDS/IPS基础介绍
samtaoys的博客
06-11 6305
IDS/IPS概述入侵检测系统 instruction detection system入侵防御系统 instruction prevention system网络安全系统中用于防御或者检测黑客攻击的产品IDS/IPS厂商绿盟科技、天融信、启明星辰Firewall vs IDS/IPS1.前面主要用于访问控制,后者主要用于实现深度防御2.前者侧重流量路径控制,后者侧重病毒过滤部署方式1.在线式部署...
IDSIPS
Lazy_ass的博客
09-23 558
IDS它是入侵检测系统:它可以监控到恶意的请求流量和响应流量;它是被动检测的,它可以部署在旁路上(通过镜像流量口) IPS它是入侵防御系统: 它可以发现恶意的请求流量并且有效的阻止;它是主动检测,所以它一般我们可以部署在干路上 IDSIPS系统: 它们一般都是有开源的网络监控引擎封装而成的;例如:snort和suricata以及zeek等他们都是一些开源的网络监控引擎 suricata它的工作原理是怎么样的? 当我们将这个引擎安装在了系统中;并且采集了某个网卡接口的流量;这些...
IPS/IDS
a1245678899的博客
01-12 311
入侵检测系统/入侵防御系统
IPSIDS
最新发布
qq_73792226的博客
07-29 1192
IDS(入侵检测系统,Intrusion Detection System)和IPS(入侵防御系统,Intrusion Prevention System)是网络安全领域中的两个重要概念,它们在保护网络免受恶意攻击方面发挥着不同的作用。下面将分别详解IDSIPS,并比较它们之间的区别。 一.IDS(入侵检测系统) 定义与功能 IDS是一种安全系统,用于监视网络或系统的运行状况,以发现潜在的攻击企图、攻击行为或攻击结果。它通过分析网络数据包、审查日志文件、检测异常行为或特定的攻击模式来提供网络安全防护
防火墙、IDSIPSWAF、蜜罐
09-23
防火墙(Firewall)是一种网络安全设备,用于监控和控制网络流量,以保护内部网络免受未经授权的访问和恶意攻击。 IDS(Intrusion Detection System)是一种网络安全设备或软件,用于检测和警告可能的网络入侵行为。它监视网络流量,分析和识别异常行为和攻击迹象,并生成警报。 IPS(Intrusion Prevention System)是一种网络安全设备或软件,既可以检测和警告可能的网络入侵行为,也可以采取主动措施来阻止攻击。它可以根据检测到的攻击行为自动阻断或禁止相关的网络流量。 WAF(Web Application Firewall)是一种专门用于保护Web应用程序的网络安全设备或软件。它通过监控和过滤进入Web应用程序的网络流量,识别和阻止可能的攻击,如SQL注入、跨站脚本攻击等。 蜜罐(Honeypot)是一种被设计成看似易受攻击的系统或网络,用于吸引攻击者并收集有关攻击行为的信息。它可以用于监测攻击趋势、收集攻击样本和研究攻击技术。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ATOM_123

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值