网络安全相关的知识

news2024/11/27 2:50:19

一、 什么是IDS?

IDS是英文"Intrusion Detection Systems"的缩写,中文意思是"入侵检测系统"。专业上讲就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。

二、IDS和防火墙有什么不同?

防火墙只是防御为主,通过防火墙的数据便不再进行任何操作,IDS则进行实时的检测,发现入侵行为即可做出反应,是对防火墙弱点的修补;防火墙可以允许内部的一些主机被外部访问,IDS则没有这些功能,只是监视和分析用户和系统活动。

三、IDS工作原理?

有三种 IDS 检测方法通常用于检测事件:

(1)基于签名的检测会将签名与观察到的事件进行比较,以识别可能的事故。这是最简单的检测方法,因为它只使用字符串比较运算来比较当前的活动单元(例如将一个数据包或一个日志条目与一个签名列表进行比较)。

(2)基于异常的检测会将视为异常活动的行为定义与观察到的事件进行比较,以识别重大违规。在测定以前未知的威胁方面,此方法可能非常有效。

(3)有状态的协议分析将预先确定的每个协议状态的良性协议活动通常接受的定义资料与观察到的事件进行比较,以识别违规。

四、IDS的主要检测方法有哪些详细说明?

异常检测模型(Anomaly Detection)

当某个事件与一个已知的攻击特征(信号)相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓,当一个事情在轮廓以外,就认为是异常,IDS就会告警。

特征:IDS核心是特征库(签名),符合特征库的就被干掉。

误用检测模型(Misuse Detection)

收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵,误用检测模型也称为特征检测。

五、 IDS的部署方式有哪些?

共享模式和交换模式:从 HUB 上的任意一个接口,或者在交换机上做端口镜像的端口上收集信息。

隐蔽模式:在其他模式的基础上将探测器的探测口 IP 地址去除,使得 IDS 在对外界不可见的情况下正常工作。

Tap 模式:以双向监听全双工以太网连接中的网络通信信息,能捕捉到网络中的所有流量,能记录完整的状态信息使得与防火墙联动或发送 Reset 包更加容易。

In-line 模式:直接将 IDS 串接在通信线路中,位于交换机和路由器之间。这种模式可以将威胁通信包丢弃,以实时阻断网络攻击。

混合模式:通过监听所有连接到防火墙的网段,全面了解网络状况。

六、IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?

IDS的签名:入侵防御签名用来描述网络中存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。如果某个数据流匹配了某个签名中的特征项时,设备会按照签名的动作来处理数据流。入侵防御签名分为预定义和自定义签名。

签名过滤器作用:

由于设备升级签名库后会存在大量签名,而这些签名没有进行分类,且有些签名所包含的特征本网络中不存在,需要设置签名过滤器对其进行管理,并过滤掉。

签名过滤器的动作分为:

阻断:丢弃命中签名的报文,并记录日志。

告警:对命中签名的报文放行,但记录日志。

采用签名的缺省动作,实际动作以签名的缺省动作为准。

例外签名配置作用: 就是为了就是用于更细致化的进行IPS流量的放行。

阻断:丢弃命中签名的报文,并记录日志。

告警:对命中签名的报文放行,但记录日志。

放行:对命中的报文方向=行,且不记录日志。

七、什么是恶意软件?

恶意软件是指损坏或破坏端点设备的正常使用的恶意应用程序或代码。当设备被恶意软件感染时,你可能会经历未经授权的访问、数据泄露或设备被锁定,直至你支付赎金为止。

八、恶意软件有哪些特征?

恶意软件8大特征: 1、强制安装:指未明确提示用户或未经用户许可,在用户计算机或其他终端上安装软件的行为。 2、难以卸载:指未提供通用的卸载方式,或在不受其他软件影响、人为破坏的情况下,卸载后仍然有活动程序的行为。 3、浏览器劫持:指未经用户许可,修改用户浏览器或其他相关设置,迫使用户访问特定网站或导致用户无法正常上网的行为。 4、广告弹出:指未明确提示用户或未经用户许可,利用安装在用户计算机或其他终端上的软件弹出广告的行为。 5、恶意收集用户信息:指未明确提示用户或未经用户许可,恶意收集用户信息的行为。 6、恶意卸载:指未明确提示用户、未经用户许可,或误导、欺骗用户卸载其他软件的行为。 7、恶意捆绑:指在软件中捆绑已被认定为恶意软件的行为。 8、其他侵害用户软件安装、使用和卸载知情权、选择权的恶意行为。

九、恶意软件的可分为那几类?

钓鱼

钓鱼攻击装作是可靠来源,通过电子邮件、网站、短信或其他形式的电子通信来窃取敏感信息。这些攻击为恶意软件提供了一种传递机制。常见的攻击会窃取用户名、密码、信用卡详细信息和银行信息。这些类型的恶意软件攻击可能会导致身份盗窃或直接从某人的个人银行帐户或信用卡中盗取资金。

例如,网络罪犯可能假扮成一家知名银行,发送电子邮件来提醒某人其帐户因可疑活动而被冻结,敦促他们单击电子邮件中的链接来解决问题。一旦他们点击了链接,就会安装恶意软件。

供应链攻击

此类恶意软件通过访问源代码、构建流程或更新合法应用中的机制来攻击软件开发人员和提供商。一旦网络罪犯发现了不安全的网络协议、未受保护的服务器基础结构或不安全的编码实践,他们就会闯入、更改源代码并在构建和更新过程中隐藏恶意软件。

间谍软件

间谍软件的工作原理是在未经他人同意或提供充分通知的情况下自行安装在设备上。安装后,它可以监视在线行为、收集敏感信息、更改设备设置并降低设备性能。

广告程序

与间谍软件一样,广告程序会在未经他人同意的情况下自行安装到设备上。但对于广告程序来说,重点是展示激进的广告,通常是弹出式的,通过点击量赚钱。这些广告经常会降低设备的性能。更危险的广告程序类型还可以安装其他软件、更改浏览器设置,并使设备容易受到其他恶意软件的攻击。

病毒

病毒旨在通过记录、破坏或删除设备的数据来干扰其正常运行。它们常常通过诱骗人们打开恶意文件将自己传播到其他设备。

攻击和攻击工具包

攻击利用软件中的漏洞来绕过计算机的安全保护措施,从而感染设备。恶意黑客会扫描包含关键漏洞的过时系统,然后通过部署恶意软件来攻击它们。通过在攻击中包含 shellcode,网络罪犯可以下载更多恶意软件,这些恶意软件会感染设备和侵入组织。

攻击工具包包含一系列攻击,可扫描不同类型的软件漏洞。如果检测到任何漏洞,这些工具包就会部署其他恶意软件。可能会被感染的软件包括 Adobe Flash Player、Adobe Reader、Web 浏览器、Oracle Java 和 Sun Java。Angler/Axpergle、Neutrino 和 Nuclear 是几种常见的攻击工具包。

攻击和攻击工具包通常依赖于恶意网站或电子邮件附件来破坏网络或设备,但有时它们也会隐藏在合法网站的广告中,甚至网站都不知道。

无文件恶意软件

此类网络攻击描述了大量不依赖文件(如受感染的电子邮件附件)来破坏网络的恶意软件。例如,它们可能通过利用漏洞的恶意网络数据包到达,然后安装仅存在于内核内存中的恶意软件。无文件威胁尤其难以发现和删除,因为大多数防病毒程序都不是构建来扫描固件的。

特洛伊木马

特洛伊木马依赖于用户在不知不觉中下载它们,因为它们看起来是合法的文件或应用。一旦下载,它们就可以:

• 下载并安装其他恶意软件,例如病毒或蠕虫。

• 使用受感染的设备进行点击欺诈。

• 记录按键和你访问的网站。

• 将有关受感染设备的信息(例如密码、登录详细信息和浏览历史记录)发送给恶意黑客。

• 让网络罪犯控制受感染的设备。

蠕虫

蠕虫主要存在于电子邮件附件、短信、文件共享程序、社交网站、网络共享和可移动驱动器中,通过利用安全漏洞和复制自身在网络中传播。蠕虫可能会窃取敏感信息、更改安全设置或阻止访问文件,具体取决于其类型。

十、恶意软件的免杀技术有哪些?

免杀大概可以分为两种情况:

二进制的免杀(无源码),只能通过通过修改asm代码/二进制数据/其他数据来完成免杀。

有源码的免杀,可以通过修改源代码来完成免杀,也可以结合二进制免杀的技术。
免杀也可以分为这两种情况:

静态文件免杀,被杀毒软件病毒库/云查杀了,也就是文件特征码在病毒库了。免杀方式可能是上面的两种方式,看情况。

动态行为免杀,运行中执行的某些行为被杀毒软件拦截报读。行为免杀如果没有源码就不是很好搞了。

十一、反病毒技术有哪些?

特征码技术:基于对已知病毒分析、查解的反病毒技术

虚拟机技术:启发式探测未知病毒的反病毒技术

十二、反病毒网关的工作原理是什么?

防病毒网关是一种网络设备,用以保护网络内(一般是局域网)进出数据的安全。主要体现在病毒杀除、关键字过滤(如色情、反动)、 垃圾邮件阻止的功能,同时部分设备也具有一定防火墙(划分Vlan)的功能。

利用反病毒特性保证网络的安全的场合: 

1.内网可以访问外网,且需要经常从外网下载文件

2.内网部署的服务器经常接受外网用户上传的文件

3.反病毒功能主要是检测文件

4.图片不是可执行文件---静态文件

5.可执行文件---动态文件

十三、反病毒网关的工作过程是什么?

1.网络流量进入智能感知引擎后,首先智能感知引擎对流量进行深层分析,识别出流量对应的协议类型和文件传输的方向。

2.判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。

3判断是否命中白名单。命中白名单后,FW将不对文件做病毒检测。

针对域名和URL,白名单规则有以下4种匹配方式:

前缀匹配

后缀匹配

关键字匹配

精确匹配

4.病毒检测:设备对传输文件进行特征提取,并将提取后的特征与病毒特征库中的特征进行匹配。如果匹配成功,则判定该文件为病毒文件,并送往反病毒处理模块进行处理;如果特征不匹配,则直接放行该文件

5.响应处理:设备检测出传输的文件为病毒文件后,通常有如下2种处理动作。

告警:允许病毒文件通过,同时记录病毒日志,供网络管理员分析并采取进一步措施。

阻断:禁止病毒文件通过,同时记录病毒日志,供网络管理员分析并采取进一步措施。\

十四、反病毒网关的配置流程是什么?

申请并激活license

加载特征库

配置AV Profile

配置安全策略

其他配置

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/429083.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

TexMaker(Latex编辑器)软件的“文献引用”操作:Xelatex方式运行的操作方法

一、说明 1. 针对问题 本文主要讲解使用TexMaker进行**.bib的方法**的文献引用时,如何使用Xelatexpdf的方式完成文献引用。某些文章强调使用PDFlatex进行编译,但有时候会因为论文模板不同,无法运行padflatexPDF。所以,这里给出xe…

常用模块和模板引擎

私人博客 许小墨のBlog —— 菜鸡博客直通车 系列文章完整版,配图更多,CSDN博文图片需要手动上传,因此文章配图较少,看不懂的可以去菜鸡博客参考一下配图! 系列文章目录 前端系列文章——传送门 后端系列文章——传送…

Android---导致OOM的常见原因

目录 内存溢出OOM 单应用可用的最大内存 导致 OOM 的常见原因 内存实时监控 内存溢出OOM 单应用可用的最大内存 dalvik.vm.heapstartsize,它表示堆分配的初始大小。 dalvik.vm.heapgrowthlimit,它表示单个进程内存限定值。 dalvik.vm.heapsize&#…

LeetCode每日一题 1023. 驼峰式匹配 --双指针

Halo,这里是Ppeua。平时主要更新C语言,C,数据结构算法......感兴趣就关注我吧!你定不会失望。 🌈个人主页:主页链接 🌈算法专栏:专栏链接 我会一直往里填充内容哒! &…

Vue UI组件库(Element UI库)

1 移动端常用 UI 组件库 1. Vant Vant 4 - 轻量、可定制的移动端组件库 (vant-ui.github.io) 2. Cube UI cube-ui Document (didi.github.io) 3. Mint UI Mint UI (mint-ui.github.io) 2.PC 端常用 UI 组件库 1.Element UI Element - 网站快速成型工具 2.IView UI iView / Vi…

SpringBoot集成WebSocket实现及时通讯聊天功能!!!

1&#xff1a;在SpringBoot的pom.xml文件里添加依赖: <!-- websocket --> <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-websocket</artifactId> </dependency> 2&#xff1a;在配置中…

C++简单工厂模式

目录 什么是简单工厂模式 简单工厂模式的实现 总结 什么是简单工厂模式 简单工厂模式是一种创建型设计模式&#xff0c;它提供了一种创建对象的最佳方式。在软件开发中&#xff0c;我们经常需要创建各种各样的对象&#xff0c;但是直接使用 new 关键字来创建对象会使代码变得…

Node http模块

文章目录Node http模块概述创建http服务获取请求报文练习搭建http服务url模块解析url操作url设置响应报文练习搭建网页Node http模块 概述 http模块提供了创建 HTTP 服务器和客户端的功能。 创建http服务 // 导入http模块 const http require("http");// 创建服…

React | React的JSX语法

✨ 个人主页&#xff1a;CoderHing &#x1f5a5;️ Node.js专栏&#xff1a;Node.js 初级知识 &#x1f64b;‍♂️ 个人简介&#xff1a;一个不甘平庸的平凡人&#x1f36c; &#x1f4ab; 系列专栏&#xff1a;吊打面试官系列 16天学会Vue 11天学会React Node专栏 &#…

商医通项目总结

一、项目概述 简介 尚医通即为网上预约挂号系统&#xff0c;网上预约挂号是近年开展的一项便民就医服务&#xff0c;旨在缓解看病难、挂号难的就医难题。网上预约挂号全面提供的预约挂号业务从根本上解决了这一就医难题。随时随地轻松挂号&#xff0c;不用排长队 微服务项目…

【数据结构】-归并排序你真正学会了吗??

作者&#xff1a;小树苗渴望变成参天大树 作者宣言&#xff1a;认真写好每一篇博客 作者gitee&#xff1a;gitee 如 果 你 喜 欢 作 者 的 文 章 &#xff0c;就 给 作 者 点 点 关 注 吧&#xff01; 文章目录前言一、递归版本二、非递归版本三、总结前言 今天我们再来将一个…

亮剑「驾舱」产品矩阵,百度要做智能化「卷王」

2023年&#xff0c;汽车智能化开启新一轮加速度。 伴随着汽车行业变革从“电动化”的上半场进入“智能化”的下半场&#xff0c;中国正成为智能驾驶技术领域的引领者和汽车智能化的核心战场。 据高工智能汽车研究院发布的《2023-2025年中国智能汽车产业链市场数据预测报告》预…

用机器学习sklearn+opencv-python过计算型验证码

目录 生成计算型验证码图片 用opencv-python处理图片 制作训练数据集 训练模型 识别验证码 总结与提高 源码下载 在本节我们将使用sklearn和opencv-python这两个库过掉计算型验证码&#xff0c;图片示例如下。 生成计算型验证码图片 要识别验证码&#xff0c;我们就需要…

【计算机图形学】裁剪算法(Cohen-Sutherland算法 中值分割算法 Liang-Barsky算法)

一 实验目的 编写直线段、多边形裁剪算法熟悉Cohen-Sutherland算法、中值分割算法和Liang-Barsky算法的裁剪二 实验算法理论分析Cohen-Sutherland算法&#xff1a; 中值分割算法&#xff1a; 与CS算法一样&#xff0c;首先对直线段端点进行编码&#xff0c;并把线段与窗口的关…

java创建线程的方法

线程是程序的一种操作单元&#xff0c;在程序中&#xff0c;一个线程和另一个线程是同时存在的。它是一个程序的一部分&#xff0c;但是他又是独立的&#xff0c;它不会影响到另一个线程的执行。但是多个线程同时运行时&#xff0c;会对系统资源造成一定的消耗。 线程之间的竞争…

[Linux] 基础IO

&#x1f941;作者&#xff1a; 华丞臧. &#x1f4d5;​​​​专栏&#xff1a;【LINUX】 各位读者老爷如果觉得博主写的不错&#xff0c;请诸位多多支持(点赞收藏关注)。如果有错误的地方&#xff0c;欢迎在评论区指出。 推荐一款刷题网站 &#x1f449; LeetCode刷题网站 文…

SQL Server用户定义的函数(UDF)使用详解

SQL Server用户定义的函数一、背景知识1.1、用户定义函数的优点1.2、函数类型1.3、指引1.4、函数中的有效语句1.5、架构绑定函数1.6、指定参数二、创建用户定义函数2.1、限制和权限2.2、标量函数示例&#xff08;标量 UDF&#xff09;2.3、表值函数示例2.3.1、内联表值函数 &am…

leetcode26.删除数组中的重复项

1.原题目链接&#xff1a;力扣 2.题目&#xff1a; 3. 思路&#xff1a;使用两个指针:src与dst,刚开始均指向起始位置&#xff0c;如果src的值与dst值相同&#xff0c;src,如果src的值与dst的值不相同&#xff0c;dst,src的值赋值给dst,src,即两个指针比较&#xff0c;值不相同…

图像去模糊:MIMO-UNet 模型详解

本内容主要介绍实现图像去模糊的 MIMO-UNet 模型。 论文&#xff1a;Rethinking Coarse-to-Fine Approach in Single Image Deblurring 代码&#xff08;官方&#xff09;&#xff1a;https://github.com/chosj95/MIMO-UNet 1. 背景 由于深度学习的成功&#xff0c;基于卷…

docker搭建linux网络代理

docker搭建linux网络代理 1.准备 config.yaml 配置文件&#xff08;含订阅节点、规则&#xff0c;一般机场或者本地配置中含有&#xff09; 在root下创建文件夹命名为clash。上传配置好的config.yaml至clash文件夹。 2.配置 端口: port: 7890 ; socks-port: 7891 运行局域网…