IPS和IDS技术

最新推荐文章于 2024-04-12 13:29:35 发布
最新推荐文章于 2024-04-12 13:29:35 发布
阅读量1.2k 收藏 10
点赞数 3
分类专栏: 网络安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51045259/article/details/118445379
版权

目录

IPS技术原理--抵御2-7层已知威胁

入侵防御实现机制 

签名

签名过滤器 

例外签名

入侵防御对数据流的处理 

检测方向

IDS技术原理 --网络摄像头(旁观者)

 

IPS(Intrusion Prevention Systems)入侵防御、IDS(Intrusion Detection Systems) 入侵检测

IPS技术原理--抵御2-7层已知威胁

 

部署方式串联部署

工作范围2-7层

工作特点:根据已知的安全威胁生成对应的过滤器(规则),对于识别为流量的阻断,对于未识别的放通

目的IDS只能对网络环境进行检测,但却无法进行防御,IPS主要是针对已知威胁进行防御

入侵防御实现机制 

重组应用数据:进入IPS前,会先对IP分片报文重组和TCP流重组,确保应用层数据的连续性,有效检测出逃避入侵检测的攻击行为。

协议识别和协议解析:进入IPS前,根据内容识别出多种应用层协议。识别出应用层协议后,根据具体协议进行精细的解码并深入提取报文特征进行入侵检测。

特征匹配:将解析后的报文特征和签名进行匹配,如果命中了签名则进行响应。

响应处理:完成检测后会根据管理员配置的动作对匹配到的签名进行响应处理。 

签名

入侵防御签名用来描述网络中存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。

如果某个数据流匹配了某个签名中的特征项时,设备会按照签名的动作来处理数据流。

入侵防御签名分为预定义自定义签名。

预定义签名

IPS签名库中预先定义的签名。用户购买了带入侵防御升级功能的License后即可获得包含预定义签名的签名库,并且能够不断地从安全服务中心获取新的入侵防御版本来更新签名库。预定义签名的内容是固定的,不能被创建或修改。

每个预定义签名都有缺省的动作,分为:

  • 放行:指对命中签名的报文放行,不记录日志。
  • 告警:指对命中签名的报文放行,但记录日志。
  • 阻断:指丢弃命中签名的报文,阻断该报文所在的数据流并记录日志。

自定义签名

管理员根据网络流量特点对特定的入侵行为自行定义的签名。通常在预定义签名以外,管理员出于某种原因要阻止特定的行为时创建的。比如,员工使用QQ时,某些行为(并非预定义签名中检测的入侵行为)需要阻断,则可根据行为特征来设定自定义签名,动作为阻断,引入到配置文件中。当网络中某些入侵来临,而预定义签名库尚未更新的情况下,管理员分析入侵特征后也可创建自定义签名。而当预定义签名库更新后,便可使用预定义签名。

自定义签名的攻击特征使用正则表达式定义。正则表达式是一种模式匹配工具。管理员可以使用元字符灵活的配置自定义签名。

自定义签名的动作分为阻断和告警,您可以在创建自定义签名时配置签名的响应动作。

签名过滤器 

由于设备升级签名库后会存在大量签名,而这些签名没有进行分类,且有些签名所包含的特征本网络中不存在,需要设置签名过滤器对其进行管理,并过滤掉。

签名过滤器的动作分为:

  • 阻断:丢弃命中签名的报文,并记录日志。
  • 告警:对命中签名的报文放行,但记录日志。
  • 采用签名的缺省动作,实际动作以签名的缺省动作为准。 

签名过滤器的动作优先级高于签名缺省动作,当签名过滤器动作不采用缺省动作时以签名过滤器中的动作为准。

签名过滤器是满足指定过滤条件的集合。签名过滤器的过滤条件包括:签名的类别、对象、协议、严重性、操作系统等。只有同时满足所有过滤条件的签名才能加入签名过滤器中。例如,当只需要对HTTP类型的报文进行入侵防御,可以通过过滤条件只加入HTTP协议的签名。

例外签名

由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。

例外签名的动作分为:

  • 阻断:丢弃命中签名的报文并记录日志。
  • 告警:对命中签名的报文放行,但记录日志。
  • 放行:对命中签名的报文放行,且不记录日志。
  • 添加黑名单:是指丢弃命中签名的报文,阻断报文所在的数据流,记录日志,并可将报文的源地址或目标地址添加至黑名单。

例外签名的动作优先级高于签名过滤器。如果一个签名同时命中例外签名和签名过滤器,则以例外签名的动作为准。

例如:签名过滤器中过滤出一批符合条件的签名,且动作统一设置为阻断。但是员工经常使用的某款自研转件却被拦截了。观察日志发现,用户经常使用的该款自研软件命中了签名过滤器中某个签名,被误阻断了。此时管理员可将此签名引入到例外签名中,并修改动作为放行。

入侵防御对数据流的处理 

 

当数据流命中的安全策略中包含入侵防御配置文件时,设备将数据流宋儒道入侵防御模块,并依次匹配入侵防御配置文件引用的签名。

当数据流命中多个签名,对该数据流的处理方式如下:

  1. 如果这些签名的实际动作都为告警时,最终动作为告警。
  2. 如果这些签名中至少一个签名的实际动作为阻断时,最终动作为阻断。 

当数据流命中了多个签名管理器时,设备会按照优先级最高的签名过滤器的动作来处理。

签名的实际动作由签名缺省动作、签名过滤器和例外签名配置的动作共同决定。

检测方向

当配置引用了入侵防御配置文件的安全策略时,安全策略的方向是会话发起的方向,而非攻击流量的方向。

保护内网服务端流量

保护内网客户端流量

IDS技术原理 --网络摄像头(旁观者)

 

 

部署方式旁路部署,可多点部署

工作范围2-7层

工作特点:根据部署位置监控到的流量进行攻击事件监控,属于一个事后呈现的系统,相当于网络上的监控摄像头

目的:传统防火墙只能基于规则执行“是”或“否”的策略,IDS主要是为了帮助管理员清晰的了解到网络环境中发生了什么事情。(只发现,不执行

 

text1.txt
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
白话学习防火墙 2 之IPSIDS
每天累计一滴水 十天后变成一大滴水 一百天后变成一杯水
07-17 574
IPS IDS IPS 入侵防御系统 入侵防御系统(IPS: Intrusion Prevention System)是电脑网络安全设施,是对防病毒软件(Antivirus Programs)和防火墙(Packet Filter, Application Gateway)的补充。 入侵防御系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够及时的断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。 IPS位于内网或者D
安全HCIP之IPS入侵防御
XiaoHG_CSDN的博客
10-11 583
IPS入侵防御 IPS:入侵防御系统; 签名过滤器:将多个IPS签名规则放在一个过滤器签名过滤器动作设置: 采用签名的缺省动作; 告警:将所有签名动作改为告警,日志; 阻断:将所有签名动作改为阻断,丢弃; 例外签名:针对特定签名不采用默认的签名动作,对部分签名自定义其签名动作签名动作优先级:例外签名动作 —> 过滤签名动作 —> 缺省签名动作; 调用IPS:在回话发起的安全策略方向调用IPS,不用管攻击方向,例如保护内网PC访问互联网免受攻击,只需在trust —>
入侵检测系统(IDS)和入侵防御系统(IPS)有什么区别?如何选择?
最新发布
HoewDec的博客
04-12 1647
与防火墙类产品、入侵检测产品可以实施的安全策略不同,入侵防御系统可以实施深层防御安全策略,即可以在应用层检测出攻击并予以阻断,这是防火墙所做不到的,当然也是入侵检测产品所做不到的。根据设置的过滤器,分析相对应的数据包,通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。德迅卫士采用自适应安全架构,有效解决传统专注防御手段的被动处境,为系统添加强大的实时监控和响应能力,帮助企业有效预测风险,精准感知威胁,提升响应效率,保障企业安全的最后一公里。
网络安全之防御保护(2)
kali0617的博客
04-22 248
接口对模式是一种特殊的二层模式,该模式的接口是成对出现,这一对接口之间转发数据不经过二层的。收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与库的记录相匹配时,系。单,不需要使用所有的签名,大量无用的签名也容易影响对常用签名的调测。筛选出来的这些签名,在签名过滤器会沿用签名本身的缺省动作。置做出调整,如修改签名过滤器、升级IPS特征库,必要的时候还可以使用例外签名和自定义签名。某攻击在一些场景下会构成威胁,但是在另一些场景,可能并不会造成危害,甚至一些特殊的业。
安全防御第二天--课堂问题总结
m0_56409728的博客
03-20 586
该篇文章主要介绍了防火墙处理多通道协议、NAT、VRRP、双机热备。以及IDSIDS与防火墙的区别,及入侵检测的方法。
【网络安全】网络入侵检测——入侵防御系统
Spontaneous_0的博客
10-11 650
入侵防御系统(IPS)是一种用于阻止网络或系统潜在威胁的设备或软件应用。它可以帮助我们防止攻击者的入侵。IPSIDS的一个扩展,它不仅可以检测威胁,还可以阻止威胁。
IDSIPS讲解
12-04
IPS检测攻击的方法也与IDS不同。目前有很多种IPS系统,它们使用的技术...IDSIPS系统有一些重要的区别。如果你要购买有效的安全设备,如果你使用IPS而不是使用IDS,你的网络通常会更安全。 台湾人的PPT,写的还可以。
IDS IPS 流量回放包
05-20
IPS检测攻击的方法也与IDS不同。目前有很多种IPS系统,它们使用的技术都不相同。但是,一般来说,IPS系统都依靠对数据包的检测。IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入...
入侵检测与防范技术IDSIPS
12-28
一份关于网络安全的报告,主要介绍网络安全方面的入侵手段和防范措施
NSX分布式IDS IPS技术方案介绍.pptx
10-10
NSX分布式IDS IPS技术方案介绍.pptx
NSX分布式IDS IPS技术方案介绍.pdf
10-10
NSX分布式IDS IPS技术方案介绍.pdf
入侵检测系统 IDS 简析
man50nai的博客
09-12 1108
是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术防火墙相当于门,IDS相当于摄像头,对通过防火墙的流量进行记录,弥补防火墙不足IDS用于检测通过防火墙的流量,对于某些利用漏洞侵入到终端的流量进行监测和告警主要是针对防火墙一些涉及不到的面,来采取措施。
IDS(入侵检测系统)
lin152235的博客
09-10 4073
IDS(入侵检测系统):长时间的监测识别入侵者识别入侵行为检测和监视已成功的入侵为对抗入侵提供信息与依据,防止事态扩大作用:对系统的运行状态进行监视,发现各种企图、过程、结果,来保证系统资源的安全(完整性、机密性、可用性)。是一个软件与硬件的组合系统。异常:当某个时间与一个已知的攻击特征(信号)相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓,当一个事件在这个轮廓以外发生,就认为是异常,IDS就会告警。特征:IDS核心是特征库(签名
安全防御 --- 入侵检测 --- IDSIPS
weixin_62443409的博客
04-03 4542
(相当于一个摄像头。用户可以将自己身份伪装成合法的,或者通过后门进入,绕过或者攻破防火墙,此时防火墙相当于虚设)
华为安全 HCIP722笔记
u014576453的博客
03-20 9295
华为安全722题库知识点总结。
入侵防御(IPS)技术
热门推荐
曹世宏的博客
06-06 3万+
入侵防御简介 IPS定义: IPS(Intrusion Prevention System)入侵防御系统,是一种安全机制,通过分析网络流量,检测入侵(包括缓冲区溢出攻击、木马、蠕虫等),并通过一定的响应方式,实时地止入侵行为,保护企业信息系统和网络架构免受侵害。 入侵防御的优势: 入侵防御是种既能发现又能阻止入侵行为的新安全防御技术。通过检测发现网络入侵后,能自动丢弃入侵报文或者阻断攻击源,从而...
思科IPS系统的signatures和告警
weixin_34146410的博客
11-14 802
思科IPS的检测是基于signatures来完成的,而思科的signatures分为三种: 内置的signatures、经过修改的signatures、用户自定义的signatures。 ü内置的signatures:内置的signatures是思科预定制嵌入到IPS签名,是没有经过调整的,目前大约有1000多种,内置的signatures不能被重名命...
IPS和WAF区别
从菜鸟到菜菜鸟
04-13 8105
WAF与IPS的区别总结 谁是最佳选择? Web应用防护无疑是一个热门话题。由于技术的发展成熟和人们对便利性的期望越来越高,Web应用成为主流的业务系统载体。在Web上“安家”的关键业务系统蕴藏的数据价值引起攻击者的青睐,网上流传的Web漏洞挖掘和攻击工具让攻击的门槛降,也使得很多攻击带有盲目和随机性。比如利用GoogleHacking原理的批量查找具有已知漏洞的应用程序,还有SQL批量注...
IPSIDS有什么区别
03-31
IPSIDS都是网络安全常用的技术,但是它们的实现和应用有所不同。 - IDS(入侵检测系统):IDS通过分析网络流量、日志和其他数据源,检测网络的异常行为和攻击行为,并向管理员发出警报。IDS在检测到恶意行为后并不会主动采取措施,只会发出警报,由管理员根据警报信息来处理。 - IPS(入侵防御系统):IPS也能够检测网络的异常行为和攻击行为,但不同的是,它能够主动地采取措施来保护网络的安全。当IPS检测到恶意行为时,它可以自动地执行一系列的动作,如阻止恶意流量、拦截攻击源等。 总的来说,IDSIPS都是用来保护网络安全技术,但IDS主要是用来检测网络的异常行为和攻击行为,而IPS则可以主动地采取措施来防御这些攻击行为。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值