网络安全笔记总结

news2024/11/19 1:21:25

IAE引擎

3faeb9f8dab44165a443acafad9a29cd.png

 1.深度检测技术--DFI和DPI技术

DFI和DPI都是流量解析技术,对业务的应用、行为及具体信息进行识别,主要应用于流量分析及流量检测。

DPI:深度包检测技术
DPI是一种基于应用层的流量检测和控制技术,对流量进行拆包,分析包头和应用层的内容,从而识别应用程序和应用程序的内容。

大多数流量安全产品里的应用协议解析使用该技术,例如在网络中识别出http协议的五元组及各字段信息。

DFI:深度流检测技术
DFI是基于流量行为的应用识别技术,即识别不同应用的会话连接行为。流就是将一定时间内具有相同的目的地址、源地址、目的端口地址、源端口地址和传输协议进行聚合,即一条流就是一个会话。

DFI可以识别一次会话的包数、流量字节大小、连接速率、持续时间等流量特征数据。通过对流数据进行研究,可以用来鉴别应用类型、网络异常现象等信息,如持续大流量、瞬时高速流、广播流、较小流等现象。

两个技术的区别
DPI技术能精准检测识别应用及协议字段,适用于精细管理的业务需求;DFI能识别会话流行为,适用于高效识别、粗放管理的业务需求。

从识别准确率来看: DPI采用逐包解析技术,能够对流量中具体应用类型、协议等精细化字段进行识别,适用于精细管理的业务需求;DFI能对流量行为,会话行为进行分析,只提取流特征以及相关统计数据,无法精确识别应用层数据,适用于高效识别、粗放管理的业务需求。

从处理速度来看: DFI识别粒度粗,因此处理速度相对快,而采用DPI技术需要逐包进行拆包操作,因此处理速度会慢些。

从维护成本来看: DPI技术是对具体应用的识别,而客户往往会有新业务需求,随之会产生新协议和新应用,因此需要定时对DPI数据库进行更新,维护成本较大;而同一类型的新应用和旧应用在流量特征上不会有较大的变化,因此DFI技术的管理维护成本较小

1681c01b78e2485ea2f978615165ad39.png

 ————基于“特征字”的检测技术 : 最常用的识别手段,基于一些协议的字段来识别特征

————基于应用网关的检测技术 --- 有些应用控制和数据传输是分离的,比如一些视频流,一开始需要TCP建立连接,协商参数,这一部分我们称为信令部分。之后,正式传输数据后,可能就通过UDP协议来传输,流量缺失可以识别的特征。所以,该技术就是基于前面信令部分的信息进行识别和控制

————基于行为模式的检测技术 --- 比如我们需要拦截一些垃圾邮件,但是,从特征字中很难区分垃圾邮件和正常邮件,所以,我们可以基于行为来进行判断。比如,垃圾邮件可能存在高频,群发等特性,如果出现,我们可以将其认定为垃圾邮件,进行拦截,对IP进行封锁

三、

IDS --- 侧重于风险管理的设备

IPS --- 侧重于风险控制的设备

IPS的优势:

1.实时的阻断攻击;

2.深层防护 --- 深入到应用层;

3.全方位的防护 --- IPS可以针对各种常见威胁做出及时的防御,提供全方位的防护;

4.内外兼防 --- 只要是通过设备的流量均可以进行检测,可以防止发自于内部的攻击。

5.不断升级,精准防护

入侵检测的方法: 异常检测 、误用检测

异常检测:异常检测基于一个假定,即用户行为是可以预测的,遵循一致性模式的;

误用检测:误用检测其实就是创建了一个异常行为的特征库。我们将一些入侵行为记录下来,总结成为特征,之后,检测流量和特征库进行对比,来发现威胁

总结:在进行IPS模块检测之前,首先需要重组IP分片报文和TCP数据流;增加检测的精准性 在此之后需要进行应用协议的识别。这样做主要为了针对特定的应用进行对应精细的解码,并深入报文提取特征;最后,解析报文特征和 签名(特征库里的特征) 进行匹配。再根据命中与否做出对应预设的处理方案。

告警 --- 对命中签名的报文进行放行,但是会记录再日志中

阻断 --- 对命中签名的报文进行拦截,并记录日志

放行 --- 对命中签名的报文放行,不记录日志

四、病毒

防病毒(AV) --- 传统的AV防病毒的方式是对文件进行查杀。

传统的防病毒的方式是通过将文件缓存之后,再进行特征库的比对,完成检测。但是,因为需

要缓存文件,则将占用设备资源并且,造成转发延迟,一些大文件可能无法缓存,所以,直接

放过可能造成安全风险。

代理扫描 --- 文件需要全部缓存 --- 可以完成更多的如解压,脱壳之类的高级操作,并且,检

测率高,但是,效率较低,占用资源较大。

流扫描 --- 基于文件片段进行扫描 --- 效率较高,但是这种方法检测率有限

病毒分类:

按照寄生方式和传染对象分类。计算机病毒可以分为引导型病毒、文件型病毒和复合型病毒。引导型病毒寄生在磁盘的引导区或主引导区,利用系统引导时对主引导区内容正确与否的判断缺陷进行感染;文件型病毒则寄生在文件中,如可执行文件或数据文件;复合型病毒同时具有引导型病毒和文件型病毒的寄生方式。
按照破坏程度分类。计算机病毒可以分为良性病毒和恶性病毒。良性病毒不会直接破坏系统或文件,但会占用资源,影响系统效率;恶性病毒则会直接破坏系统或文件,造成严重损失。
按照传播途径分类。计算机病毒可以分为单机病毒和网络病毒。单机病毒仅在单台计算机上传播,而网络病毒则通过计算机网络传播。
按照攻击的系统分类。计算机病毒可以分为攻击DOS系统的病毒、攻击Windows系统的病毒、攻击UNIX系统的病毒等。
按照病毒的链接方式分类。计算机病毒可以分为源码型病毒、嵌入型病毒、外壳型病毒和操作系统型病毒。源码型病毒在高级语言编译时插入到程序中;嵌入型病毒将病毒代码嵌入到现有程序中;外壳型病毒将自身代码包围在攻击对象四周;操作系统型病毒取代或加入到操作系统中。

五、URL过滤

URL ---- 资源定位符

URL过滤的方法:黑白名单 --- 如果匹配白名单,则允许该URL请求;如果匹配黑名单,则将拒绝URL请求:白名单的优先级高于黑名单。

本地缓存查询:远程分类服务查询 --- 如果进行了远程的查询,则会将查询结果记录在本地的缓存

中,方便后续的查询。 

自定义的URL分类 :自定义的优先级高于预定义的优先级的,如果远程分类服务查询也没有对应分类,则将其归类为“其他”,则按照其他的处理逻辑执行。

六、 HTTPS

第一种:配置SSL解密功能,这种方法需要提前配置SSL的解密策略,因为需要防火墙在中间充当中间人,所以,性能消耗较大,效率较低。

第二种方法:加密流量进行过滤

文件过滤技术 :是指针对文件的类型进行的过滤,而不是文件的内容,想要实现这个效果,我们的设备必须识别出承载文件的应用 --- 承载文件的协议很多,所以需要先识别出协议以及应用。

文件的类型和拓展名 --- 设备可以识别出文件的真实类型,但是,如果文件的真实类型无法识别,则将基于后缀的拓展名来进行判断,主要为了减少一些绕过检测的伪装行为。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1466742.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

信号系统之傅里叶变换属性

1 傅里叶变换的线性度 傅里叶变换是线性的,即具有均匀性和可加性的性质。对于傅里叶变换家族的所有四个成员(傅里叶变换、傅里叶级数、DFT 和 DTFT)都是如此。 图 10-1 提供了一个示例,说明均匀性如何成为傅里叶变换的一个属性。…

第八篇【传奇开心果系列】python的文本和语音相互转换库技术点案例示例:Google Text-to-Speech虚拟现实(VR)沉浸式体验经典案例

传奇开心果博文系列 系列博文目录python的文本和语音相互转换库技术点案例示例系列 博文目录前言一、雏形示例代码二、扩展思路介绍三、虚拟导游示例代码四、交互式学习示例代码五、虚拟角色对话示例代码六、辅助用户界面示例代码七、实时语音交互示例代码八、多语言支持示例代…

vue 手势解锁功能

效果 实现 <script setup lang"ts"> const canvasRef ref<HTMLCanvasElement>() const ctx ref<CanvasRenderingContext2D | null>(null) const width px2px(600) const height px2px(700) const radius ref(px2px(50))const init () > …

Java面试问题集锦

1.JDK、JRE、JVM 三者有什么关系&#xff1f; JDK&#xff08;全称 Java Development Kit&#xff09;&#xff0c;Java开发工具包&#xff0c;能独立创建、编译、运行程序。 JDK JRE java开发工具&#xff08;javac.exe/java.exe/jar.exe) JRE&#xff08;全称 Java Runtim…

MyBatis之Mapper.xml文件中parameterType,resultType,resultMap的用法

MyBatis之自定义数据类型转换器 前言1.parameterType2.resultType3.resultMap实例代码总结 前言 今天我们来学习Mapper.xml&#xff08;编写SQL的&#xff09;文件中&#xff0c;增删改查标签中&#xff0c;使用parameterType属性指定传递参数类型&#xff0c;resultType属性指…

C# OpenCvSharp 利用白平衡技术进行图像修复

目录 效果 灰度世界(GrayworldWB)-白平衡算法 完美反射(SimpleWB)-白平衡算法 基于学习的(LearningBasedWB)-白平衡算法 代码 下载 C# OpenCvSharp 利用白平衡技术进行图像修复 OpenCV xphoto模块中提供了三种不同的白平衡算法&#xff0c;分别是&#xff1a;灰度世界(G…

Linux进一步研究权限-----------ACL使用

一、使用情况 1.1、场景: 某个大公司&#xff0c;在一个部门&#xff0c;有一个经理和手下有两个员工&#xff0c;在操控一个Linux项目,项目又分为三期做&#xff0c;然而一期比较重要&#xff0c;经理带着员工做完了&#xff0c;公司就觉得技术难点已经做完攻克了&#xff0…

npm install报错解决记录

npm install报错解决记录 常见错误类型 权限错误: EACCES: permission denied EPERM: operation not permitted网络错误: ECONNREFUSED: Connection refused ETIMEDOUT: connect ETIMEDOUT包解析错误: Cannot find module ‘xxx’ Error: No compatible version found编译错误…

飞行机器人专栏(十三)-- 智能优化算法之粒子群优化算法与多目标优化

一、理论基础 1.1 引言 粒子群优化算法&#xff08;Particle Swarm Optimization, PSO&#xff09;自1995年由Eberhart和Kennedy提出以来&#xff0c;已经成为解决优化问题的一种有效且广泛应用的方法。作为一种进化计算技术&#xff0c;PSO受到社会行为模式&#xff0c;特别是…

互联设备-中继器-路由器等

网卡的主要作用 1 在发送方 把从计算机系统要发送的数据转换成能在网线上传输的bit 流 。 2 在接收方 把从网线上接收来的 bit 流重组成计算机系统可以 处理的数据 。 3 判断数据是否是发给自己的 4 发送和控制计算机系统和网线数据流 计算机的分类 1、台式机 2、小型机和服…

【DDD】学习笔记-薪资管理系统的测试驱动开发

回顾薪资管理系统的设计建模 在 3-15 课&#xff0c;我们通过场景驱动设计完成了薪资管理系统的领域设计建模。既然场景驱动设计可以很好地与测试驱动开发融合在一起&#xff0c;因此根据场景驱动设计的成果来开展测试驱动开发&#xff0c;就是一个水到渠成的过程。让我们先来…

rem适配方案

目录 一&#xff0c;rem实际开发适配方案 二&#xff0c;rem适配方案技术使用&#xff08;市场主流&#xff09; 方案一&#xff1a; 方案二&#xff1a;​编辑 一&#xff0c;rem实际开发适配方案 ① 按照设计稿与设备宽度的比例&#xff0c;动态计算并设置html根标签的fo…

【自然语言处理-二-attention注意力 是什么】

自然语言处理二-attention 注意力机制 自然语言处理二-attention 注意力记忆能力回顾下RNN&#xff08;也包括LSTM GRU&#xff09;解决memory问题改进后基于attention注意力的modelmatch操作softmax操作softmax值与hidder layer的值做weight sum 计算和将计算出来的和作为memo…

Jetpack Compose 架构层

点击查看&#xff1a;Jetpack Compose 架构层 官网 本页面简要介绍了组成 Jetpack Compose 的架构层&#xff0c;以及这种设计所依据的核心原则。 Jetpack Compose 不是一个单体式项目&#xff1b;它由一些模块构建而成&#xff0c;这些模块组合在一起&#xff0c;构成了一个完…

基于YOLOv8/YOLOv7/YOLOv6/YOLOv5的人脸表情识别系统(附完整资源+PySide6界面+训练代码)

摘要&#xff1a;本篇博客呈现了一种基于深度学习的人脸表情识别系统&#xff0c;并详细展示了其实现代码。系统采纳了领先的YOLOv8算法&#xff0c;并与YOLOv7、YOLOv6、YOLOv5等早期版本进行了比较&#xff0c;展示了其在图像、视频、实时视频流及批量文件中识别人脸表情的高…

【elementUi-table表格】 滚动条 新增监听事件; 滚动条滑动到指定位置;

1、给滚动条增加监听 this.dom this.$refs.tableRef.bodyWrapperthis.dom.scrollTop 0let _that thisthis.dom.addEventListener(scroll, () > {//获取元素的滚动距离let scrollTop _that.dom.scrollTop//获取元素可视区域的高度let clientHeight this.dom.clientHeigh…

springboot+vue项目基础开发(17)路由使用

路由 在前端中,路由指的是根据不同的访问路径,展示不同的内容 vue Router的vue.js的官方路由 安装vue Router 再启动 在src下面新建router文件,创建index.js 代码 import {createRouter,createWebHashHistory} from vue-router //导入组件 import Login from @/views/Log…

SparkSQL学习03-数据读取与存储

文章目录 1 数据的加载1.1 方式一&#xff1a;spark.read.format1.1.1读取json数据1.1.2 读取jdbc数据 1.2 方式二&#xff1a;spark.read.xxx1.2.1 读取json数据1.2.2 读取csv数据1.2.3 读取txt数据1.2.4 读取parquet数据1.2.5 读取orc数据1.2.6 读取jdbc数据 2 数据的保存2.1…

RT-Thread-快速入门-2-时钟与定时器

时钟与定时器 阅读须知 定义与作用 定义 系统时钟 系统时钟在RT-Thread中用于管理时间&#xff0c;为系统运行提供时间基准。系统时钟由硬件计时器&#xff08;通常是CPU的内部定时器或外部定时器&#xff09;提供时钟节拍&#xff0c;这些时钟节拍通常以固定频率中断CPU&#…

opengl 学习纹理

一.纹理是什么&#xff1f; 纹理是一个2D图片&#xff08;甚至也有1D和3D的纹理&#xff09;&#xff0c;它可以用来添加物体的细节&#xff1b;类似于图像一样&#xff0c;纹理也可以被用来储存大量的数据&#xff0c;这些数据可以发送到着色器上。 采样是指用纹理坐标来获取纹…