<网络安全>《9 入侵防御系统IPS》

1 概念

IPS( Intrusion Prevention System)是电脑网络安全设施,是对防病毒软件(Antivirus Programs)和防火墙(Packet Filter, Application Gateway)的补充。 入侵预防系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

IPS是主动防御

2 目的

防火墙可以根据IP地址(IP-Addresses)或服务端口(Ports)过滤数据包。但是,它对于利用合法IP地址和端口而从事的破坏活动则无能为力。因为,防火墙极少深入数据包检查内容。即使使用了DPI技术 [1](Deep Packet Inspection 深度包检测技术),其本身也面临着许多挑战。

每种攻击代码都具有只属于它自己的特征 (signature), 病毒之间通过各自不同的特征互相区别,同时也与正常的应用程序代码相区别。杀毒软件就是通过储存所有已知的病毒特征来辨认病毒的。

在ISO/OSI网络层次模型(见OSI模型) 中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。除病毒软件主要在第五到第七层起作用。IPS为了弥补防火墙和除病毒软件二者在第四到第五层之间留下的空档。

应用入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻止入侵,防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙 和防病毒软件的补充来投入使用。在必要时,它还可以为追究攻击者的刑事责任而提供法律上有效的证据 (forensic)。

3 企业级入侵防御系统一般功能

一般能对网络中的多种网络协议http、ftp、pop3、smtp、NFS、telnet、ssh等进行深度审计,可以对网络蠕虫、间谍软件、木马软件、溢出攻击、数据库攻击、高级威胁攻击、暴力破解等多种深层攻击行为进行主动阻断。通过对内外部用户的网络行为进行解析、记录、汇报,实现事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源。

  1. 用户管理
    系统提供丰富的用户认证方式以及用户同步方式,标准的树形结构用户管理方式更好的满足企业对于用户管理要求。

  2. 身份认证
    具备丰富身份认证方式,可有效的区分用户;是部署差异化授权和审计策略、有效防御身份冒充、权限扩散与滥用等的管理基础。

  3. 入侵防御
    具有网络攻击防护、Web攻击防护、拒绝服务攻击防护、网络病毒防护、恶意URL防护五大攻击防御体系,可构建多维立体防御解决方案,达到全面高效的防御效果。

  4. 自定义应用
    系统具备自定义应用功能,管理员可根据协议、目标端口、IP.域名等维度创建应用特征,进而针对企业应用进行审计、流量统计和控制。

  5. 于协议指令防护
    系统对HTTP、FTP、Telnet等协议实现指令级的防护,可以阻断利用FTP、HTTP等常用协议进行网络攻击的行为。

  6. 丰富的报表
    提供了多视角和丰富易用的报表。便于客户单位不同职责的管理员从不同视角进行管理,对安全事件、网络流量、安全日志等提供全方位的报告。

  7. 漏洞防御
    入侵防御系统具备3000+漏洞的积累,能够抵御利用漏洞对网络发起的攻击行为。

4 IDS和IPS关系

入侵检测系统(IDS)对那些异常的、可能是入侵行为的数据进行检测和报警,告知使用者网络中的实时状况,并提供相应的解决、处理方法,是一种侧重于风险管理的安全产品。

入侵防御系统(IPS)对那些被明确判断为攻击行为,会对网络、数据造成危害的恶意行为进行检测和防御,降低或是减免使用者对异常状况的处理资源开销,是一种侧重于风险控制的安全产品。

IDS和IPS的关系,并非取代和互斥,而是相互协作:没有部署IDS的时候,只能是凭感觉判断,应该在什么地方部署什么样的安全产品,通过IDS的广泛部署,了解了网络的当前实时状况,据此状况可进一步判断应该在何处部署何类安全产品(IPS等)。

①IDS产品在网络中是旁路式工作;

②IPS产品在网络中是串接式工作。
在这里插入图片描述

5 IPS分类

单机入侵预防系统(HIPS: Hostbased Intrusion Prevension System)和网络入侵预防系统(NIPS: Network Intrusion Prevension System)两种类型。

6 IPS 技术应用

  1. 入侵阻断技术与应用

屏蔽指定IP地址;

屏蔽指定网络端口;

屏蔽指定域名;

封锁指定URL、阻断特定攻击类型;

为零日漏洞提供热补丁。

  1. 软件白名单技术与应用
  2. 网络流量清洗技术与应用

网络流量清技术原理
网络流量清洗系统的技术原理:通过异常网络流量检测,而将原本发送给目标设备系统的流量牵引到流量清洗中心,当异常流量清洗完毕后,再把清洗后留存的正常流量转送到目标设备系统。
网络流量清洗系统的主要技术方法如下:
1.流量检测
2.流量牵引与清洗
3.流量回注
网络流量清洗技术应用
1.畸形数据报文过滤
2.抗拒绝服务攻击
3.Web 应用保护
4.DDoS 高防IP 服务

  1. 可信计算技术与应用

建立以安全芯片(TPM)为信任根的完整性度量机制,使得计算系统平台运行时可鉴别组件的完整性,防止篡改计算组件运行。
可信计算的技术原理是首先构建一个信任根,再建立一条信任链,从信任根开始到硬件平台,到操作系统,再到应用,一级认证一级,一级信任一级,把这种信任扩展到整个计算机系统,从而确保整个计算机系统的可信。一个可信计算机系统由可信根、可信硬件平台、可信操作系统、可信应用系统组成。
可信度量根RTM是一个软件模块;
可信存储根RTS由可信平台模块TPM芯片和存储根密钥SRK组成
可信报告根RTR由可信平台模块TPM芯片和根密钥 EK组成
可信计算是网络信息安全的核心关键技术,中国基于自主密码算法建立起以TCM为核心的自主可信计算标准体系。
可信计算密码支撑平台:以密码技术为基础实现平台自身的完整性身份可信性和数据安全性等安全功能。该平台主要由可信密码模块(TCM)和TCM 服务模块(TSM)两大部分组成。

  1. 可信计算技术应用

1.计算平台安全保护
利用 TPM/TCM 安全芯片对计算平台的关键组件进行完整性度量和检查,防止恶意代码篡改BIOS、操作系统和应用软件
2.可信网络连接
可信网络连接 (Trusted Network Connect,TNC)利用TPM/TCiM
安全芯片实现平台身份认证和完整性验证,从而解决终端的安全状态认证、接入后控制问题。TNC的组成结构分为完整性度量层、完整性评估层、网络访问层。
3.可信验证
可信验证的技术原理是基于可信根,构建信任链,一级度量一级,一级信任一级,把信任关系扩大到整个计算节点,从而确保计算节点可信。

  1. 数字水印技术与应用

数字水印是指通过数字信号处理方法,在数字化的媒体文件中嵌入特定的标记。 水印分为:可感知的、不易感知的
数字水印技术组成:水印的嵌入+水印的提取 数字水印的嵌入方法分为:空间域方法、变换域方法

原理
1.空间域方法:空间域方法是将水印信息直接叠加到数字载体的空间域上
2.变换域方法:利用扩展频谱通信技术水影 变换域方法是利用扩展频谱通信技术,先计算图像的离散余弦变换(DCT),再将水印叠加到DCT域中值最大的前L个系数上(不包括直流分量),通常为图像的低频分量。典型的算法为
NEC算法,该算法首先由作者的标识码和图像的 Hash 值等组成密钥以该密钥为种子来产生伪随机序列,再对图像做 DCT 变换
数字水印常见的应用场景主要有:版权保护、信息隐藏、信息溯源、访问控制等。

  1. 网络攻击陷阱技术原理

1.蜜罐主机技术
2.陷阱网络技术
主要应用场景为恶意代码监测、增强抗攻击能力、网络态势感知。

  1. 入侵容忍及系统生存技术与应用

入侵容忍及系统生存技术主要有:分布式共识、主动恢复、门限密码、多样性设计等。 分布式共识:避免单一缺陷

主动恢复:通过自我清除技术,周期性让系统迁移转变到可信的状态,破坏攻击链条;

门限密码: 可以用于保护秘密,门限密码算法通常用(n,k)形式表示,N
表示参与者的个数,K表示门限值(也称为阙值),表示获取秘密最少需要的参与者个数;

多样性设计: 可以避免通用模式的失效,如操作系统的多样性可增强抗网络蠕虫攻击能力。

1.弹性 CA 系统
CA私钥是 PKI系统的安全基础,一旦CA私钥泄漏,数字证书将无法得到信任。
2.区块链
区块链由众多对等的节点组成,利用共识机制、空码算法来保持区块数据和交易的完整性、一致性,形成一个统一的分布式账本。区块链是一个去中心化的分布式数据库,数据安全具有较强的入侵容忍能力。
通过弹性 CA系统、区块链可以看出,入侵容忍的核心就是分布式,一个坏了,还有另外一个可以用。

  1. 隐私保护技术与应用

隐私保护类型及技术原理
1.身份隐私

2.属性隐私

3.社交关系隐私

4.位置轨迹隐私

7 网络安全前沿技术发展动向

  1. 网络威胁情报服务
    网络威胁情报是指有关网络信息系统遭受安全威胁的信息,主要包括安全漏洞、攻击来源IP 地址、恶意邮箱、恶意域名、攻击工具等。

  2. 域名服务安全保障
    域名服务的常见安全风险阐述如下:
    (1)域名信息篡改。(2)域名解析配置错误。 (3)域名劫持 (4)域名软件安全漏洞。

  3. 同态加密技术
    同态加密是指一种加密函数对明文的加法和乘法运算再加密,与加密后对密文进行相应的运算,结果是等价的。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/357436.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

JS第一课简单看看这是啥东西

1.什么是JavaScript JS是一门编程语言,是一种运行在客户端(浏览器)的编程语言,主要是让前端的画面动起来,注意HTML和CSS不是编程语言,他俩是一种标记语言。JS只要有浏览器就能运行不用跟Python或者Java一样上来装一个jdk或者Pyth…

2023年算法SAO-CNN-BiLSTM-ATTENTION回归预测(matlab)

2023年算法SAO-CNN-BiLSTM-ATTENTION回归预测(matlab) SAO-CNN-BiLSTM-Attention雪消融优化器优化卷积-长短期记忆神经网络结合注意力机制的数据回归预测 Matlab语言。 雪消融优化器( SAO) 是受自然界中雪的升华和融化行为的启发,开发了一种…

Docker入门篇(二)—— 命令

Docker入门篇(二)—— 命令 插播!插播!插播!亲爱的朋友们,我们的Cmake/Makefile/Shell这三个课程上线啦!感兴趣的小伙伴可以去下面的链接学习哦~ 构建工具大师-CSDN程序员研修院 一、引言 当…

二叉搜索树的后序遍历序列

作者简介:大家好,我是smart哥,前中兴通讯、美团架构师,现某互联网公司CTO 联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬 学习必须往深处挖&…

利用Knife4j注解实现Java生成接口文档

文章目录 1、简介2、生成文档3、系列注解3.1、Api3.2、ApiResponses和ApiResponse3.3、ApiOperation3.4、Pathyvariable⭐3.5、RequestBody3.6、ApiOperationSupport3.7、ApiImplicitParams 和 ApiImplicitParam3.8、ApiModel3.9、ApiModelProperty ​🍃作者介绍&am…

动手学RAG:汽车知识问答

原文:动手学RAG:汽车知识问答 - 知乎 Part1 内容介绍 在自然语言处理领域,大型语言模型(LLM)如GPT-3、BERT等已经取得了显著的进展,它们能够生成连贯、自然的文本,回答问题,并执行…

JUC并发编程-异步回调、JMM、volatile

15. 异步回调 Future 设计的初衷:对将来的某个事件结果进行建模! 其实就是前端 --> 发送ajax异步请求给后端 但是我们平时都使用CompletableFuture 1)异步调用:CompletableFuture 没有返回值的异步回调 public static void ma…

Microsoft Edge 浏览器报错 提示不安全

网站提示不安全 是因为 Microsoft Edge 开了安全过滤 我们需要把这个关掉 打开浏览器的设置,然后 找到隐私选项 找到下边的Microsoft Defender Smartscreen 关掉 Microsoft Edge 支持 Microsoft Defender SmartScreen | Microsoft Learn win10系统下打开网页提示…

【国产MCU】-认识CH32V307及开发环境搭建

认识CH32V307及开发环境搭建 文章目录 认识CH32V307及开发环境搭建1、CH32V307介绍2、开发环境搭建3、程序固件下载1、CH32V307介绍 CH32V307是沁恒推出的一款基于32位RISC-V设计的互联型微控制器,配备了硬件堆栈区、快速中断入口,在标准RISC-V基础上大大提高了中断响应速度…

第一节 分布式架构设计理论与Zookeeper环境搭建

目录 1. 分布式架构设计理论 1. 分布式架构介绍 1.1 什么是分布式 1.2 分布式与集群的区别 1.3 分布式系统特性 1.4 分布式系统面临的问题 2. 分布式理论 2.1 数据一致性 2.1.1 什么是分布式数据一致性 2.1.2 副本一致性 2.1.3 一致性分类 2.2 CAP定理 2.2.1 CAP定…

微服务-微服务Alibaba-Nacos 源码分析(上)

Nacos&Ribbon&Feign核心微服务架构图 架构原理 1、微服务系统在启动时将自己注册到服务注册中心,同时外发布 Http 接口供其它系统调用(一般都是基于Spring MVC) 2、服务消费者基于 Feign 调用服务提供者对外发布的接口,先对调用的本地接口加上…

c++程序的各阶段

c程序四个阶段 预处理阶段 预处理器&#xff08;cpp&#xff09;根据以字符#开头的命令&#xff0c;修改原始的C程序。比如hello.c中第一行的#include<stdio.h>命令告诉预处理器读取系统头文件stdio.h的内容&#xff0c;并把它直接插入程序文本中&#xff0c;结果就得到…

代码随想录算法刷题训练营day19

代码随想录算法刷题训练营day19&#xff1a;LeetCode(404)左叶子之和、LeetCode(112)路径总和、LeetCode(113)路径总和 II、LeetCode(105)从前序与中序遍历序列构造二叉树、LeetCode(106)从中序与后序遍历序列构造二叉树 LeetCode(404)左叶子之和 题目 代码 /*** Definitio…

shell - 正则表达式和grep命令和sed命令

一.正则表达式概述 1.正则表达式定义 1.1 定义 使用字符串描述、匹配一系列符合某个规则的字符串 1.2 了解 普通字符&#xff1a; 大小写字母、数字、标点符号及一些其它符号元字符&#xff1a; 在正则表达式中具有特殊意义的专用字符 1.3 层次分类 基础正则表达式扩展正…

《机器人SLAM导航核心技术与实战》第1季:第7章_SLAM中的数学基础

视频讲解 【第1季】7.第7章_SLAM中的数学基础-视频讲解 【第1季】7.1.第7章_SLAM中的数学基础_SLAM发展简史-视频讲解 【第1季】7.2.第7章_SLAM中的数学基础_SLAM中的概率理论-视频讲解 【第1季】7.3.第7章_SLAM中的数学基础_估计理论-视频讲解 【第1季】7.4.第7章_SLAM中的…

我用Rust开发Rocketmq name server

我是蚂蚁背大象(Apache EventMesh PMC&Committer)&#xff0c;文章对你有帮助给Rocketmq-rust star,关注我GitHub:mxsm&#xff0c;文章有不正确的地方请您斧正,创建ISSUE提交PR~谢谢! Emal:mxsmapache.com 1. Rocketmq-rust namesrv概述 经过一个多月的开发&#xff0c;终…

ssm学生选课系统

学生选课系统&#xff0c;java项目&#xff0c;ssm项目&#xff0c;增删改查均已实现。eclipse和idea都能打开运行。 系统分为3部分学生选课管理&#xff0c;教师管理&#xff0c;管理员管理 主要功能&#xff1a; 管理员&#xff1a;课程管理、学生管理、教师管理 教师&am…

Unity打包Android,jar文件无法解析的问题

Unity打包Android&#xff0c;jar无法解析的问题 介绍解决方案总结 介绍 最近在接入语音的SDK时&#xff0c;发现的这个问题. 当我默认导入这个插件的时候&#xff0c;插件内部的文件夹&#xff08;我下面话红框的文件夹&#xff09;名字原本为GCloudVoice&#xff0c;这时候我…

利用Python中的集合去除列表中重复的元素

题目描述 已知列表li_one[1,2,1,2,3,5,4,3,5,7,4,7,8]&#xff0c;编写程序实现删除列表li_one中重复数据的功能。 分析 集合的特点是集合内元素无序性&#xff0c;集合内元素不可重复&#xff0c;因此可以利用不可重复的特性来解决该问题。 程序代码 li_one[1,2,1,2,3,5,…

Day01-变量和数据类型课后练习-参考答案

文章目录 1、输出你最想说的一句话&#xff01;2、定义所有基本数据类型的变量和字符串变量3、用合适类型的变量存储个人信息并输出4、定义圆周率PI5、简答题 1、输出你最想说的一句话&#xff01; 编写步骤&#xff1a; 定义类 Homework1&#xff0c;例如&#xff1a;Homewo…