<网络安全>《9 入侵防御系统IPS》

news2024/11/15 20:59:50

1 概念

IPS( Intrusion Prevention System)是电脑网络安全设施,是对防病毒软件(Antivirus Programs)和防火墙(Packet Filter, Application Gateway)的补充。 入侵预防系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

IPS是主动防御

2 目的

防火墙可以根据IP地址(IP-Addresses)或服务端口(Ports)过滤数据包。但是,它对于利用合法IP地址和端口而从事的破坏活动则无能为力。因为,防火墙极少深入数据包检查内容。即使使用了DPI技术 [1](Deep Packet Inspection 深度包检测技术),其本身也面临着许多挑战。

每种攻击代码都具有只属于它自己的特征 (signature), 病毒之间通过各自不同的特征互相区别,同时也与正常的应用程序代码相区别。杀毒软件就是通过储存所有已知的病毒特征来辨认病毒的。

在ISO/OSI网络层次模型(见OSI模型) 中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。除病毒软件主要在第五到第七层起作用。IPS为了弥补防火墙和除病毒软件二者在第四到第五层之间留下的空档。

应用入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻止入侵,防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙 和防病毒软件的补充来投入使用。在必要时,它还可以为追究攻击者的刑事责任而提供法律上有效的证据 (forensic)。

3 企业级入侵防御系统一般功能

一般能对网络中的多种网络协议http、ftp、pop3、smtp、NFS、telnet、ssh等进行深度审计,可以对网络蠕虫、间谍软件、木马软件、溢出攻击、数据库攻击、高级威胁攻击、暴力破解等多种深层攻击行为进行主动阻断。通过对内外部用户的网络行为进行解析、记录、汇报,实现事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源。

  1. 用户管理
    系统提供丰富的用户认证方式以及用户同步方式,标准的树形结构用户管理方式更好的满足企业对于用户管理要求。

  2. 身份认证
    具备丰富身份认证方式,可有效的区分用户;是部署差异化授权和审计策略、有效防御身份冒充、权限扩散与滥用等的管理基础。

  3. 入侵防御
    具有网络攻击防护、Web攻击防护、拒绝服务攻击防护、网络病毒防护、恶意URL防护五大攻击防御体系,可构建多维立体防御解决方案,达到全面高效的防御效果。

  4. 自定义应用
    系统具备自定义应用功能,管理员可根据协议、目标端口、IP.域名等维度创建应用特征,进而针对企业应用进行审计、流量统计和控制。

  5. 于协议指令防护
    系统对HTTP、FTP、Telnet等协议实现指令级的防护,可以阻断利用FTP、HTTP等常用协议进行网络攻击的行为。

  6. 丰富的报表
    提供了多视角和丰富易用的报表。便于客户单位不同职责的管理员从不同视角进行管理,对安全事件、网络流量、安全日志等提供全方位的报告。

  7. 漏洞防御
    入侵防御系统具备3000+漏洞的积累,能够抵御利用漏洞对网络发起的攻击行为。

4 IDS和IPS关系

入侵检测系统(IDS)对那些异常的、可能是入侵行为的数据进行检测和报警,告知使用者网络中的实时状况,并提供相应的解决、处理方法,是一种侧重于风险管理的安全产品。

入侵防御系统(IPS)对那些被明确判断为攻击行为,会对网络、数据造成危害的恶意行为进行检测和防御,降低或是减免使用者对异常状况的处理资源开销,是一种侧重于风险控制的安全产品。

IDS和IPS的关系,并非取代和互斥,而是相互协作:没有部署IDS的时候,只能是凭感觉判断,应该在什么地方部署什么样的安全产品,通过IDS的广泛部署,了解了网络的当前实时状况,据此状况可进一步判断应该在何处部署何类安全产品(IPS等)。

①IDS产品在网络中是旁路式工作;

②IPS产品在网络中是串接式工作。
在这里插入图片描述

5 IPS分类

单机入侵预防系统(HIPS: Hostbased Intrusion Prevension System)和网络入侵预防系统(NIPS: Network Intrusion Prevension System)两种类型。

6 IPS 技术应用

  1. 入侵阻断技术与应用

屏蔽指定IP地址;

屏蔽指定网络端口;

屏蔽指定域名;

封锁指定URL、阻断特定攻击类型;

为零日漏洞提供热补丁。

  1. 软件白名单技术与应用
  2. 网络流量清洗技术与应用

网络流量清技术原理
网络流量清洗系统的技术原理:通过异常网络流量检测,而将原本发送给目标设备系统的流量牵引到流量清洗中心,当异常流量清洗完毕后,再把清洗后留存的正常流量转送到目标设备系统。
网络流量清洗系统的主要技术方法如下:
1.流量检测
2.流量牵引与清洗
3.流量回注
网络流量清洗技术应用
1.畸形数据报文过滤
2.抗拒绝服务攻击
3.Web 应用保护
4.DDoS 高防IP 服务

  1. 可信计算技术与应用

建立以安全芯片(TPM)为信任根的完整性度量机制,使得计算系统平台运行时可鉴别组件的完整性,防止篡改计算组件运行。
可信计算的技术原理是首先构建一个信任根,再建立一条信任链,从信任根开始到硬件平台,到操作系统,再到应用,一级认证一级,一级信任一级,把这种信任扩展到整个计算机系统,从而确保整个计算机系统的可信。一个可信计算机系统由可信根、可信硬件平台、可信操作系统、可信应用系统组成。
可信度量根RTM是一个软件模块;
可信存储根RTS由可信平台模块TPM芯片和存储根密钥SRK组成
可信报告根RTR由可信平台模块TPM芯片和根密钥 EK组成
可信计算是网络信息安全的核心关键技术,中国基于自主密码算法建立起以TCM为核心的自主可信计算标准体系。
可信计算密码支撑平台:以密码技术为基础实现平台自身的完整性身份可信性和数据安全性等安全功能。该平台主要由可信密码模块(TCM)和TCM 服务模块(TSM)两大部分组成。

  1. 可信计算技术应用

1.计算平台安全保护
利用 TPM/TCM 安全芯片对计算平台的关键组件进行完整性度量和检查,防止恶意代码篡改BIOS、操作系统和应用软件
2.可信网络连接
可信网络连接 (Trusted Network Connect,TNC)利用TPM/TCiM
安全芯片实现平台身份认证和完整性验证,从而解决终端的安全状态认证、接入后控制问题。TNC的组成结构分为完整性度量层、完整性评估层、网络访问层。
3.可信验证
可信验证的技术原理是基于可信根,构建信任链,一级度量一级,一级信任一级,把信任关系扩大到整个计算节点,从而确保计算节点可信。

  1. 数字水印技术与应用

数字水印是指通过数字信号处理方法,在数字化的媒体文件中嵌入特定的标记。 水印分为:可感知的、不易感知的
数字水印技术组成:水印的嵌入+水印的提取 数字水印的嵌入方法分为:空间域方法、变换域方法

原理
1.空间域方法:空间域方法是将水印信息直接叠加到数字载体的空间域上
2.变换域方法:利用扩展频谱通信技术水影 变换域方法是利用扩展频谱通信技术,先计算图像的离散余弦变换(DCT),再将水印叠加到DCT域中值最大的前L个系数上(不包括直流分量),通常为图像的低频分量。典型的算法为
NEC算法,该算法首先由作者的标识码和图像的 Hash 值等组成密钥以该密钥为种子来产生伪随机序列,再对图像做 DCT 变换
数字水印常见的应用场景主要有:版权保护、信息隐藏、信息溯源、访问控制等。

  1. 网络攻击陷阱技术原理

1.蜜罐主机技术
2.陷阱网络技术
主要应用场景为恶意代码监测、增强抗攻击能力、网络态势感知。

  1. 入侵容忍及系统生存技术与应用

入侵容忍及系统生存技术主要有:分布式共识、主动恢复、门限密码、多样性设计等。 分布式共识:避免单一缺陷

主动恢复:通过自我清除技术,周期性让系统迁移转变到可信的状态,破坏攻击链条;

门限密码: 可以用于保护秘密,门限密码算法通常用(n,k)形式表示,N
表示参与者的个数,K表示门限值(也称为阙值),表示获取秘密最少需要的参与者个数;

多样性设计: 可以避免通用模式的失效,如操作系统的多样性可增强抗网络蠕虫攻击能力。

1.弹性 CA 系统
CA私钥是 PKI系统的安全基础,一旦CA私钥泄漏,数字证书将无法得到信任。
2.区块链
区块链由众多对等的节点组成,利用共识机制、空码算法来保持区块数据和交易的完整性、一致性,形成一个统一的分布式账本。区块链是一个去中心化的分布式数据库,数据安全具有较强的入侵容忍能力。
通过弹性 CA系统、区块链可以看出,入侵容忍的核心就是分布式,一个坏了,还有另外一个可以用。

  1. 隐私保护技术与应用

隐私保护类型及技术原理
1.身份隐私

2.属性隐私

3.社交关系隐私

4.位置轨迹隐私

7 网络安全前沿技术发展动向

  1. 网络威胁情报服务
    网络威胁情报是指有关网络信息系统遭受安全威胁的信息,主要包括安全漏洞、攻击来源IP 地址、恶意邮箱、恶意域名、攻击工具等。

  2. 域名服务安全保障
    域名服务的常见安全风险阐述如下:
    (1)域名信息篡改。(2)域名解析配置错误。 (3)域名劫持 (4)域名软件安全漏洞。

  3. 同态加密技术
    同态加密是指一种加密函数对明文的加法和乘法运算再加密,与加密后对密文进行相应的运算,结果是等价的。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1420642.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

PMP成绩查询及电子版证书下载

PMP项目管理--学习专栏https://blog.csdn.net/xmws_it/category_10954848.html?spm1001.2014.3001.5482 2023年11月25日PMP考试成绩今日凌晨开始发布,按照往年的情况,成绩都是分批出的,如果暂时没查到成绩的同学请耐心等待,预计…

【webrtc】m98 : vs2019 直接构建webrtc及moduletest工程 2

字数有限制,我们继续 【webrtc】m98 : vs2019 直接构建webrtc及unitest工程 1modules_unittests 构建 Build started... 1>------ Build started: Project: modules_unittests, Configuration: GN Win32 ------ 1>ninja: Entering directory `G:\CDN\rtcCli\m98\src\o…

Git怎样用?(下载到本地,和在本地初始化)

全局设置: 点击第二个 输入: 例如;邮箱是随意地 git config --global user.name "名字" git config --global user.email "邮箱" 获取git仓库 本地初始化: 创建仓库 右键第二个 输入 git init 克隆&#…

力扣hot100 子集 回溯 超简洁

Problem: 78. 子集 文章目录 思路复杂度Code 思路 &#x1f468;‍&#x1f3eb; 参考题解 复杂度 时间复杂度: 添加时间复杂度, 示例&#xff1a; O ( n ) O(n) O(n) 空间复杂度: 添加空间复杂度, 示例&#xff1a; O ( n ) O(n) O(n) Code class Solution {List<Li…

wsl-ubuntu 安装 nginx

wsl-ubuntu 安装 nginx 1. 安装 nginx2. 确认 nginx 启动状态3. 重启 nginx4. 停止 nginx 1. 安装 nginx sudo apt install nginx2. 确认 nginx 启动状态 systemctl status nginx3. 重启 nginx systemctl restart nginx4. 停止 nginx systemctl stop nginx完成&#xff01;…

网络安全防御保护 Day4

要点一&#xff1a;防火墙的智能选路 就近选路&#xff1a; 在访问不同运营商的服务器时直接通过对应运营商的链路&#xff0c;以此来提高通信效率&#xff0c;避免绕路。 策略路由&#xff08;PBR&#xff09;&#xff1a; 这是一种基于用户定义的策略&#xff08;如业务需求、…

【云上建站】快速在云上构建个人网站1——概述及获取虚拟机

快速在云上构建个人网站1——概述及获取虚拟机 前言-个人建站一、云服务简介1、云服务2、优点首先&#xff0c;云服务器是按需租赁的&#xff0c;其次&#xff0c;云服务器公司会负责服务器的维护管理&#xff0c; 3、主流应用网站建设测试学习数据管理制图渲染 二、获取ECS1、…

PetaPixel专访尼康工程师 深度解读尼康相机的设计之道

值此尼克尔镜头成立90周年之际&#xff0c;国外知名媒体PetaPixel采访了尼康设计中心前川明哉&#xff08;Akiya Maekawa&#xff09;先生和尼康UX企划部&#xff08;影像事业部&#xff09;日野光輝&#xff08;Mitsuteru Hino&#xff09;先生&#xff0c;通过与他们的对话&a…

选型 之 工业相机篇

一、概述 23年24年行情不会好&#xff0c;公司各种想办法裁员&#xff0c;在大陆这个大熔炉中只能不断地提炼。我个人主要是在工业领域做2D图像算法和3D算法&#xff0c;但是现在出去都需要全能人才 方案、算法、运动控制等&#xff0c;我目前最大的短板就是方案&#xff0c;在…

力扣hot100 电话号码的字母组合 回溯

Problem: 17. 电话号码的字母组合 文章目录 思路复杂度&#x1f49d; Code 思路 &#x1f468;‍&#x1f3eb; 参考题解 复杂度 时间复杂度: O ( 3 8 ) O(3^8) O(38) 空间复杂度: O ( 3 8 ) O(3^8) O(38) &#x1f49d; Code class Solution {String[] map { "…

AMC系列可编程智能电测仪表功能以及选型

功能&#xff1a; AMC 系列可编程智能电测仪表是针对电力系统、工矿企业、公用设施、智能大厦的电力监控需求而设计的智能仪表&#xff0c;它集成电力参数的测量(如单相或者三相的电流、电压、有功功率、无功功率、视在功率、频率、功率因数)以及电能监测和考核管理。采用高亮…

单片机学习笔记---静态数码管显示

目录 数码管是什么&#xff1f; 一位数码管的引脚定义 四位一体的数码管引脚定义 数码管的原理图解析 数码管怎么显示数据&#xff1f;&#xff08;总结代码显示&#xff09; 今天开始学习数码管&#xff0c;它比LED和独立按键复杂一点 数码管是什么&#xff1f; LED数码…

【Docker Registry】docker 镜像仓库实战

Docker Registry 镜像仓库 (Docker Registry) 负责存储、管理和分发镜像&#xff0c;并且提供了登录认证能力&#xff0c;建立了仓库的索引。 镜像仓库管理多个 Repository&#xff0c; Repository 通过命名来区分。每个 Repository 包含一个或多个镜像&#xff0c;镜像通过镜…

AMEYA360详解蔡司原位液体电化学显微解决方案

基于蔡司全系列电子显微镜的原位液体电化学显微解决方案具有在真实液氛下的高分辨成像、多模态全面表征以及灵活扩展的创新优势。本期分享液氛SEM的原位多模态分析方法&#xff0c;以及高分辨成像的全新案例。 创新突破1&#xff1a;液氛SEM的原位多模态分析 蔡司原位液体电化学…

C# Socket 允许控制台应用通过防火墙

需求&#xff1a; 在代码中将exe添加到防火墙规则中&#xff0c;允许Socket通过 添加库引用 效果&#xff1a; 一键三联 若可用记得点赞评论收藏哦&#xff0c;你的支持就是写作的动力。 源地址: https://gist.github.com/cstrahan/513804 调用代码: private static void …

AI投资或成科技裁员罪魁祸首

最近的科技裁员让许多人对这个行业的稳定性产生了疑问。然而&#xff0c;仔细观察发现&#xff0c;这些裁员并不是经济困境的迹象&#xff0c;而是科技公司为了重新调整优先事项并投资未来而进行的战略举措。科技行业正投入数十亿美元用于人工智能&#xff08;AI&#xff09;&a…

BIO、NIO编程与直接内存、零拷贝

一、网络通信 1、什么是socket&#xff1f; Socket 是应用层与 TCP/IP 协议族通信的中间软件抽象层&#xff0c;它是一组接口&#xff0c;一般由操作 系统提供。客户端连接上一个服务端&#xff0c;就会在客户端中产生一个 socket 接口实例&#xff0c;服务端每接受 一个客户端…

iTunes Connect 中修改后的内购(IPA)审核所需的时间

引言 在 iOS 开发过程中&#xff0c;将应用上传到 App Store 是一个重要的步骤。应用审核和 IAP 商品审核是分开的&#xff0c;审核一般需要等待一周左右。如果审核通过&#xff0c;我们会收到 Apple 发来的反馈邮件&#xff0c;根据邮件中的指示进行后续操作。如果已经上架的…

顺序表的奥秘:高效数据存储与检索

&#x1f37f;顺序表 &#x1f9c0;1、顺序表的实现&#x1f365;1.1 创建顺序表类&#x1f365;1.2 插入操作&#x1f365;1.3 查找操作&#x1f365;1.4 删除操作&#x1f365;1.5 清空操作 &#x1f9c0;2、ArrayList的说明&#x1f9c0;3、ArrayList使用&#x1f365;3.1 A…

jQuery 遍历 —— W3school 详解 简单易懂(十八)

什么是遍历&#xff1f; jQuery 遍历&#xff0c;意为“移动”&#xff0c;用于根据其相对于其他元素的关系来“查找”&#xff08;或选取&#xff09;HTML 元素。以某项选择开始&#xff0c;并沿着这个选择移动&#xff0c;直到抵达您期望的元素为止。 下图展示了一个家族树…