防御笔记第九天(持续更新)

news2024/11/14 14:21:49

注意:攻击可能只是一个点,而防御需要全方面进行。

1.IAE引擎

2.DPI

DPI ----深度包检测 --- 针对完整的数据包,进行内容的识别和检测

3.基于特征字的检测技术

4,基于应用网关的检测技术

基于应用网关的检测技术 --- 有些应用控制和数据是分离的,比如一些视频流。一开始会
通过TCP协议链接之后,协商一些参数,这部分我们称为信令部分。之后证书传输数据流量,
使用UDP协议,而这部分流量是没有可以识别的特征的。所以,这些应用可以基于应用网关
来进行检测,即基于前面的信令信息来进行识别和控制。

5,基于行为模式的检测技术

DFI --- 深度流检测  --- 基于数据流进行识别检测的技术

6.DPI和DFI的对比

1,DFI仅对流量行为分析,只能对应用类型进行笼统的分类,无法做到精细的识别
2,如果流量进行加密的话,DPI可能在没有解密的情况无法进行识别,但是DFI不受影响

7.iPS(入侵防御)

8.IDS

IDS --- 入侵检测 --- 侧重于风险管理的设备 --- 仅能进行监控,但是不能直接处理。--- 存在
滞后性
早期IDS的误报率较高
其优点在于部署灵活,可以旁路部署,对原网络没有任何影响
IPS --- 入侵防御 ---- 侧重于风险控制的设备 --- 可以在发现风险的同时,处理问题。 ---- 需
要串联部署在网络中
IPS设备优势:
1,实时阻断攻击;
2,深层防护 --- 可以深入到应用层,进行精准的威胁识别;
3,全方位的防护
4,内外兼防
5,不断升级,精准防护
入侵检测的方法:
1,异常检测 --- 这种检测时基于一个假定,我们认为用户的行为是遵循一致性原则的

2,误用检测 --- 创建一个异常行为特征库,将入侵行为的特征记录下来,记录签名,之
后,根据到达的流量特征和签名进行比如,判断是否存在异常;
签名 --- 将异常行为的特征记录下来进行HSAH,之后,正常流量过来,也提取其特征
进行比对。
预定义签名 --- 设备上自身携带的有特征库,这个特征库需要购买liense(许可证)后
才可获取。(如果购买了liense后,可以对接华为的安全中心多特征库进行更新)
自定义签名 --- 网络管理员可以根据自定义的需求来创建威胁签名,

可以执行的动作 --- 放行

告警 --- 数据允许通过,但是会记录日志
阻断 --- 数据不允许通过,并且会记录日志

针对预定义签名,我们只能修改其默认的执行动作,以及启用与否,其他的都不能修改

所有的修改需要进行提交,不提交不生效,提交相当于重启了IPS模块,才能使新加的或者修
改的东西生效。

9.ID

ID --- 区分不同的签名
对象 --- 服务器,客户端,服务器和客户端 --- 针对设备的身份 --- 注意,一般我们将发起连
接的设备角色认定为客户端,响应连接并提供服务的角色认定为服务器。
严重性 --- 该行为一旦爆发之后,对我们网络系统的影响程度的评级
协议/应用程序 --- 这种攻击所承载的协议或者应用

如果勾选了关联签名,则该签名的命中条件变为规定时间内命中关联签名的次数或者阻断时间

报文 --- 逐包检测
消息 --- 一次完整的请求和应答的过程被认定为一个消息
数据流

按顺序检测 --- 勾选,则下面检查项列表中的检查项执行自上而下逐一匹配,如果匹配上,则
不再继续匹配。如果不勾选,则下面检查项列表中的检查项为“且”的关系

如果是匹配,则会检测数据包中和后面值里面完全相同的数据
前缀匹配,匹配以后面值开头的内容

10.IPS安全配置文件

如果选择采用签名的缺省动作,一个流量同时匹配上多个签名,如果所有动作都是告警,则直
接告警,如果有一个动作是阻断,则执行阻断操作

例外签名 --- 可以将部分签名放在例外签名中,可以执行单独的动作
后面隔离源IP和目标IP实质是阻断的同时将地址放入黑名单中,进行访问限制,超时时间为黑
名单中的老化时间

11.AV(反病毒)
防病毒侧重于文件以及邮件中病毒的查杀

代理扫描 --- 需要缓存文件,倒是效率较低,并且,文件过大,可能无法缓存,直接放过,造
成安全风险,但是,其检测力度较强可以应对压缩以及脱壳的情况
流扫描 --- 基于文件片段进行扫描,效率较高,但是检测力度较低;
病毒的传播途径

12.病毒的分类:

13.病毒的杀链

14.个别病毒的工作原理

15.防病毒流程:

病毒例外 --- 相当于是病毒的白名单,为了放置过渡防御的场景,将一些病毒放入例外之中,
则将检测到该病毒视为误报,则将文件直接放行
应用例外 --- 将特定的应用设置为例外,可以单独执行动作
宣告和删除附件 --- 只针对Pop3和SMTP协议
宣告 --- 不删除附件,但是会在邮件正文中添加提示信息
删除附件 --- 直接删除附件,并且会在邮件正文中添加提示信息
需求,内网用户有通过外网web服务器下载文件的需求,并且,外网用户有通过内网FTP服务
器上传文件的需求,针对这两种场景进行反病毒处理。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1972818.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

数据库方言

数据库方言,也称数据库领域特定语言(DSL),是针对特定数据库系统的专有扩展或子集,它允许用户在特定环境内使用更高效、更简洁的查询语句。 关键字(Keywords) 关键字是数据库方言中预定义的单词&…

Windows 安装Redis7.4版本图文教程

本章教程,主要介绍如何在Windows上安装Redis7.4版本的Redis,并以服务方式实现开机自启动。 1、下载安装包 通过百度网盘分享的文件:Redis-7.4.0-Windows-x64-cygwin-with-Service.zip 链接:https://pan.baidu.com/s/1NFGXrCwumDzl…

【计算机毕业设计】703学生考勤管理系统

🙊作者简介:拥有多年开发工作经验,分享技术代码帮助学生学习,独立完成自己的项目或者毕业设计。 代码可以私聊博主获取。🌹赠送计算机毕业设计600个选题excel文件,帮助大学选题。赠送开题报告模板&#xff…

软件测试 -- 黑盒、灰盒、白盒测试,冒烟测试、回归测试

软件测试目的:查找软件中缺陷(bug),保障软件质量。

IPV6公网暴露下的OPENWRT防火墙安全设置(只允许访问局域网中指定服务器指定端口其余拒绝)

首先是防火墙的常规配置和区域配置 标的有点乱但是选项含义都做了解释,看不懂可以直接按图抄作业。 其次是对需要访问的端口做访问放通 情况1 DDNS位于openwrt网关上,外网访问openwrt,通过端口转发访问内部服务器。此情况需要设置端口转发。 …

6-4 填充和步幅

在前面的例子 图6.2.1中,输入的高度和宽度都为 3 3 3,卷积核的高度和宽度都为 2 2 2,生成的输出表征的维数为 2 2 2\times 2 22。 正如我们在 6-2节中所概括的那样,假设输入形状为 n h n w n_{h}\times n_{w} nh​nw​&#xff…

大象机器人水星MercuryX1轮式人形机器人基于物体标记建模的键盘点按操作!

引言 在现代科技的推动下,机器人在日常生活和工作场景中的应用越来越广泛。本文将介绍MercuryX1,这款先进的机器人如何通过其手臂末端的摄像头识别并确定键盘的键位,从而进行精确的打字操作。通过这一案例,我们将展示MercuryX1在自…

xcode使用

1. 界面 1.1. Build Settings,Build Phases和Build Rules三个设置项 Build Settings(编译设置): 每个选项由标题(Title)和定义(Definition)组成。这里主要定义了Xcode在编译项目时的一些具体配置 Build Phases(编译资源):用于指定编译过程中项目所链接的原文件,依赖对象,库…

安装 electron 报错解决

1. 报错 大概率由镜像问题导致 2. 解决 2.1 打开 npm 配置 npm config edit 2.2 添加配置 registryhttps://registry.npmmirror.comelectron_mirrorhttps://cdn.npmmirror.com/binaries/electron/electron_builder_binaries_mirrorhttps://npmmirror.com/mirrors/electron…

Tensor安装和测试

1: 打开git官方 https://github.com/NVIDIA/TensorRT 2: 下载得到:TensorRT-10.2.0.19.Linux.x86_64-gnu.cuda-11.8.tar.gz 3: 下载后配置环境变量,上面地址记得改成真实地址。 4: 如果想python使用tensorrt,那么 解压后目录&#xff0c…

深入理解单元测试与JUnit:从基础概念到实践操作

文章目录 前言一、单元测试是什么?单元测试的特点单元测试的好处 二、junit是什么?三、操作步骤1.junit安装2.maven新建项目3. 新建java文件4. 生成测试类5. 编写测试方法6. 测试结果 总结 前言 随着软件开发行业的不断发展,测试的重要性日益…

清华和字节联合推出的视频理解大模型video-SALMONN(ICML 2024)

video-SALMONN: Speech-Enhanced Audio-Visual Large Language Models 论文信息 paper:https://arxiv.org/abs/2406.15704 code:https://github.com/bytedance/SALMONN/ AI也会「刷抖音」!清华领衔发布短视频全模态理解新模型 | ICML 2024 …

Python数值计算(10)——PPoly对象

在scipy中,scipy.interpolate下还有一个PPoly的类,用于表示插值多项式,很多插值算法的结果,都以该类的实例返回,因此有必要了解该类的使用方法。要使用该类,首先要引入相应的模块: from scipy.…

基于docker的 nacos安装部署

一、拉取镜像 拉取nacos官方镜像,这里使用默认命令 docker pull nacos/nacos-server二、创建挂载目录 创建本地的映射文件application.properties mkdir -p /home/docker/nacos/conf /home/docker/nacos/logstouch /home/docker/nacos/conf/application.propert…

举个栗子!Tableau 技巧(280):创建点象限图( Dot Quadrant Chart )

之前分享过 🌰 :四象限图 和 葡萄干布丁图。今天,我们将两者的呈现方式结合起来,创建如下的点象限图( Dot Quadrant Chart ),可以帮助数据粉在有限的看板区域内展示更多的数据信息。 那么,如何在 Tableau 中…

一文弄清Java的四大引用及其两大传递

开场白 Hello大家好呀,我是CodeCodeBond✊最近在复习很多很多的基础知识,有了很多新的感悟~ 话不多说,直接发车✈ 四大引用 问题切入点 在学习 Thread线程利用ThreadLocalMap实现线程的本地内存(变量副本)的时候&…

简单的docker学习 第1章 docker 概述

Docker 学习笔记 本文是b站动力节点docker学习视频的笔记整理,主要用于自己学习复习使用,视频具体地址为 : 动力节点docker 第一章 docker 概述 1.1 课程引人入 1.1.1 开发/运维互掐 ​ 开发与测试和运维间的矛盾,主要是由于环境的不同而…

flutter 做代码混淆

第一种、手动混淆 修改代码中出现次数多的 类目 方法 。修改静态资源的名字,转静态资源为webp 第二种、使用flutter 自带的命令行工具进行混淆 混淆 Dart 代码 | Flutter 中文文档 - Flutter 中文开发者网站 - Flutter 使用pragma(vm:entry-point) 装饰器修改方…

【界面开发实战】使用DevEco Studio编写支付宝首页

效果展示 知识点 层叠布局 上一篇文章已经介绍了,这篇文章中不再赘述,如果想了解的话可以去看上一篇文章,链接如下: http://t.csdnimg.cn/CnBZMhttp://t.csdnimg.cn/CnBZM 弹性布局 作用:提供更加有效的方式对容器…

YOLOV5 改进:替换backbone为MobileVIT

1. 介绍 yolov5替换主干网络的步骤如下,依旧和之前的一样 2. 更改common文件 将下面代码加入common最下面即可: from einops import rearrange import torch import torch.nn as nn# Transformer Attention模块定义 class TAttention(nn.Module):def __init__(self, dim, …