网络安全之内容安全

内容安全

攻击可能只是一个点,防御需要全方面进行

IAE引擎

DFI和DPI技术--- 深度检测技术

DPI --- 深度包检测技术--- 主要针对完整的数据包(数据包分片,分段需要重组),之后对 数据包的内容进行识别。(应用层)

1,基于“特征字”的检测技术---最常用的识别手段,基于一些协议的字段来识别特征。

2,基于应用网关的检测技术---有些应用控制和数据传输是分离的,比如一些视频流。 一开始需要TCP建立连接,协商参数,这一部分我们称为信令部分。之后,正式传输数 据后,可能就通过UDP协议来传输,流量缺失可以识别的特征。所以,该技术就是基于 前面信令部分的信息进行识别和控制。 3,基于行为模式的检测技术---比如我们需要拦截一些垃圾邮件,但是,从特征字中很 难区分垃圾邮件和正常邮件,所以,我们可以基于行为来进行判断。比如,垃圾邮件可 能存在高频,群发等特性,如果出现,我们可以将其认定为垃圾邮件,进行拦截,对IP 进行封锁。

 

DFI --- 深度流检测技术---一种基于流量行为的应用识别技术。这种方法比较适合判断P2P流量。

结论:

1,DFI仅对流量进行分析,所以,只能对应用类型进行笼统的分类,无法识别出具体的应 用;DPI进行检测会更加精细和精准;

2,如果数据包进行加密传输,则采用DPI方式将不能识别具体的应用,除非有解密手段;但 是,加密并不会影响数据流本身的特征,所以,DFI的方式不受影响。

入侵防御(IPS)

IDS --- 侧重于风险管理的设备

IPS --- 侧重于风险控制的设备

IPS的优势:

1,实时的阻断攻击;

2,深层防护---深入到应用层;

3,全方位的防护---IPS可以针对各种常见威胁做出及时的防御,提供全方位的防护;

4,内外兼防---只要是通过设备的流量均可以进行检测,可以防止发自于内部的攻击。

5,不断升级,精准防护

入侵检测的方法:

异常检测 误用检测

异常检测:

异常检测基于一个假定,即用户行为是可以预测的,遵循一致性模式的;

误用检测

误用检测其实就是创建了一个异常行为的特征库。我们将一些入侵行为记录下来,总结成 为特征,之后,检测流量和特征库进行对比,来发现威胁。

总结:

1,在进行IPS模块检测之前,首先需要重组IP分片报文和TCP数据流;---增加检测的精准性

2,在此之后需要进行应用协议的识别。这样做主要为了针对特定的应用进行对应精细的解 码,并深入报文提取特征。

3,最后,解析报文特征和签名(特征库里的特征)进行匹配。再根据命中与否做出对应预设 的处理方案。

签名--- 针对网络上的入侵行为特征的描述,将这些特征通过HASH后和我们报文进行 比对。

签名--- 预定义签名---设备上自带的特征库,这个需要我们激活对应的License(许可证) 后才能获取。---这个预定义签名库激活后,设备可以通过连接华为的安全中心进行升级。

自定义签名---自己定义威胁特征。

自定义签名和预定义签名可以执行的动作、

告警--- 对命中签名的报文进行放行,但是会记录再日志中

阻断--- 对命中签名的报文进行拦截,并记录日志

放行--- 对命中签名的报文放行,不记录日志

注意:这里在进行更改时,一定要注意提交,否则配置不生效。修改的配置需要在提交后重启 模块后生效。

 

ID --- 签名的标识

对象--- 服务端,客户端,服务端和客户端

服务端和客户端指的都是身份,一般将发起连接的一端称为客户端,接受连接提供服务的称为服务端。

严重性:高,中,低,提示---用来标识该入侵行为的威胁程度 协议,应用程序---指攻击报文所使用的协议或应用类型

检测范围

报文--- 逐包匹配

消息--- 指基于完整的消息检测,如在TCP交互中,一个完整的请求或应答为一个消 息。一个消息可能包含多个报文,一个报文也可能包含多个消息。 流--- 基于数据流。

如果勾选该选项,则下面的“检查项列表”里面的规则将按自上而下,逐一匹配。如果 匹配到了,则不再向下匹配; 如果不勾选,则下面所有规则为“且”的关系。

这里主要是进行签名的筛选,筛选出来的签名和流量进行比对。默认是全选,全选固然安全, 但是,对设备性能能消耗巨大,不建议。

如果需要对个别签名进行特殊处理,则可以写在例外签名中,单独执行动作。 多了阻断IP的动作,含义是可以将对应IP地址添加到黑名单中。

后面的超时时间是加入黑名单的时间。超过超时时间,则将释放该地址。

防病毒(AV)---传统的AV防病毒的方式是对文件进行查杀。

传统的防病毒的方式是通过将文件缓存之后,再进行特征库的比对,完成检测。但是,因为需 要缓存文件,则将占用设备资源并且,造成转发延迟,一些大文件可能无法缓存,所以,直接 放过可能造成安全风险。

代理扫描---文件需要全部缓存---可以完成更多的如解压,脱壳之类的高级操作,并且,检 测率高,但是,效率较低,占用资源较大。 流扫描---基于文件片段进行扫描---效率较高,但是这种方法检测率有限。

病毒简介

病毒传播

病毒分类

病毒杀链

病毒的工作原理

C&C服务器--- 命令控制服务器

防病毒处理流量

1,进行应用和协议的识别

2,判断这个协议是否支持防病毒的检测,如果不是支持的防病毒协议,则文件将直接通过。

3,之后,需要进行白名单的比对。如果命中白名单,则将不进行防病毒检测,可以同时进行

其他模块的检测。

4,如果没有命中白名单,则将进行特征库的比对。如果比对上了,则需要进行后续处理。

如果没有比对上,则可以直接放行。

这个病毒库也是可以实时对接安全中心进行升级,但是,需要提前购买License进行激

活。

5,如果需要进行后续处理,首先进行“病毒例外“的检测。---这个病毒例外,相当于是病

毒的一个白名单,如果是添加在病毒例外当中的病毒,比对上之后,将直接放通。----过渡

防护

6,之后,进行应用例外的比对。---类似于IPS模块中的例外签名。针对例外的应用执行和整

体配置不同的动作。

7,如果没有匹配上前面两种例外,则将执行整体配置的动作。

宣告:仅针对邮件文件生效。仅支持SMTP和POP3协议。对于携带病毒的附件,设备允许

文件通过,但是,会在邮件正文中添加病毒的提示,并生成日志。

删除附件:仅针对邮件文件生效,仅支持SMTP和POP3协议。对于携带病毒的附件,设备

会删除掉邮件的附件,同时会在邮件正文中添加病毒的提示,并生成日志。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/414292.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

S32 Design Studio PE工具配置TMR

配置步骤 配置内容 生成的配置结构体如下,在Generated_Code路径下的lpTmr.c文件和lpTmr.h文件。 /*! lpTmr1 configuration structure */ const lptmr_config_t lpTmr1_config0 {.workMode LPTMR_WORKMODE_PULSECOUNTER,.dmaRequest false,.interruptEnable tr…

数据抽取平台pydatax介绍--实现和项目使用

数据抽取平台pydatax实现过程中,有2个关键点: 1、是否能在python3中调用执行datax任务,自己测试了一下可以,代码如下: 这个str1就是配置的shell文件 try:result os.popen(str1).read() except Exception as …

git忽略某些文件(夹)更改方法

概述 在项目中,常有需要忽略的文件、文件夹提交到代码仓库中,在此做个笔录。 一、在项目根目录内新建文本文件,并重命名为.gitignore,该文件语法如下 # 以#开始的行,被视为注释. # 忽略掉所有文件名是 a.txt的文件. a.txt # 忽略所有生成的 java文件, *.java # a.j…

数据结构:栈和队列与栈实现队列(C语言版)

目录 前言 1.栈 1.1 栈的概念及结构 1.2 栈的底层数据结构选择 1.2 数据结构设计代码(栈的实现) 1.3 接口函数实现代码 (1)初始化栈 (2)销毁栈 (3)压栈 (4&…

【MQ05】异常消息处理

异常消息处理 上节课我们已经学习到了消息的持久化和确认相关的内容。但是,光有这些还不行,如果我们的消费者出现问题了,无法确认,或者直接报错产生异常了,这些消息要怎么处理呢?直接丢弃?这就是…

ImportError: urllib3 v2.0 only supports OpenSSL 1.1.1+, currently the ‘ssl‘报错解决

安装labelme出错了 根据爆栈的提示信息,我在cmd运行以下命令之后一切正常了,解决了问题! pip install urllib31.26.6参考网址:ImportError: urllib3 v2.0 only supports OpenSSL 1.1.1, currently the ‘ssl’ module is compile…

常见的socket函数封装和多进程和多线程实现服务器并发

常见的socket函数封装和多进程和多线程实现服务器并发 1.常见的socket函数封装2.多进程和多线程实现服务器的并发2.1多进程服务器2.2多线程服务器2.3运行效果 1.常见的socket函数封装 accept函数或者read函数是阻塞函数,会被信号打断,我们不能让它停止&a…

docker容器技术(3)

Docker技术编排 概述: docker建议我们每一个容器中只运行一个服务,因为docker容器本身占用资源极少,所以最好是将每个服务单独的分割开来但是这样我们又面临了一个问题? 如果我需要同时部署好多个服务,难道要每个服务单独写Dockerfile然后在构建镜像,…

【XR806开发板试用】socket客户端与虚拟机服务器通信交互测试以及终端交互

XR806 客户端准备工作。 1、连接wifi 2、创建socket连接服务器。 3、创建终端接收数据线程。 wifi_connect.c #include <stdio.h> #include <string.h> #include "wifi_device.h" #include "wifi_hotspot.h" #include "kernel/os/os.h…

桥接模式(Bridge Pattern) C++

上一节&#xff1a;适配器模式&#xff08;Adapter Pattern&#xff09; C 文章目录 0.理论1.组件2.使用场景 1.实践 0.理论 桥接模式&#xff08;Bridge Pattern&#xff09;是一种结构型设计模式&#xff0c;它的核心思想是将抽象部分与其实现部分分离&#xff0c;使它们可…

区块链智能合约开发

一.区块链的回顾 1.区块链 区块链实质上是一个去中心化、分布式的可进行交易的数据库或账本 特征: 去中心化&#xff1a;简单来说&#xff0c;在网络上一个或多个服务器瘫痪的情况下&#xff0c;应用或服务仍然能够持续地运行&#xff0c;这就是去中心化。服务和应用部署在…

死区过滤器Deadband和DeadZone区别(应用介绍)

死区过滤器的算法和详细介绍专栏也有介绍,这里我们主要对这两个模块的区别和应用场景进行详细介绍 1、死区过滤器 https://rxxw-control.blog.csdn.net/article/details/128521007https://rxxw-control.blog.csdn.net/article/details/128521007 1、Deadband和DeadZone区别…

kafka学习笔记三

目录 第二篇 外部系统集成 第三篇 生产调优手册 第1章 kafka硬件配置选择 第2章 生产者调优 2.1 生产者核心参数配置 2.2 生产者如何提高吞吐量 2.3 数据可靠性 2.4 数据去重 2.5 数据有序 2.6 数据乱序 第3章 Kafka Broker调优 3.1 Broker核心参数配置 3.2 其他 …

k8s service的概念以及创建方法

Service 的功能&#xff1a; Service主要用于提供网络服务&#xff0c;通过Service的定义&#xff0c;能够为客户端应用提供稳定的访问地址&#xff08;域名或IP地址&#xff09;和负载均衡功能&#xff0c;以及屏蔽后端Endpoint的变化&#xff0c;是K8s实现微服务的核心资源。…

【README 小技巧】 展示gitee中开源项目start

【README 小技巧】 展示gitee中开源项目start <a target"_blank" hrefhttps://gitee.com/wujiawei1207537021/wu-framework-parent><img srchttps://gitee.com/wujiawei1207537021/wu-framework-parent/badge/star.svg altGitee star/></a>

使用ffmpeg压缩视频

一、到ffmpeg官网下载文件包&#xff1a; Download FFmpeg 下载后找到 bin 下的3个exe文件&#xff0c;复制到自己本机的某个目录下, 如&#xff1a; 二、使用命令行压缩&#xff1a; ffmpeg -i input.mp4 -c:v libx265 -crf 28 -y output.mp4 这条命令使用 FFmpeg 工具对输…

QA 的未来:使用生成式 AI 进行 API 测试

QA 团队面临着比以往任何时候都更大的满足软件质量和发布速度期望的压力。继续阅读&#xff0c;了解 GenAI 如何改善开发人员和测试人员的工作体验&#xff0c;同时最大限度地提高团队生产力并提高软件质量。 软件质量差的后果正在日益严重&#xff0c;许多组织因功能缺陷和安…

LACP——链路聚合控制协议

LACP——链路聚合控制协议 什么是LACP&#xff1f; LACP&#xff08;Link Aggregation Control Protocol&#xff0c;链路聚合控制协议&#xff09;是一种基于IEEE802.3ad标准的实现链路动态聚合与解聚合的协议&#xff0c;它是链路聚合中常用的一种协议。 链路聚合组中启用了…

2024 值得推荐的免费开源 WAF

WAF 是 Web Application Firewall 的缩写&#xff0c;也被称为 Web 应用防火墙。区别于传统防火墙&#xff0c;WAF 工作在应用层&#xff0c;对基于 HTTP/HTTPS 协议的 Web 系统有着更好的防护效果&#xff0c;使其免于受到黑客的攻击。 开源 WAF 和商用 WAF&#xff08;奇安信…

Linux学习笔记11——用户组添加删除

Linux 是多用户多任务操作系统&#xff0c;换句话说&#xff0c;Linux 系统支持多个用户在同一时间内登陆&#xff0c;不同用户可以执行不同的任务&#xff0c;并且互不影响。 例如&#xff0c;某台 Linux 服务器上有 4 个用户&#xff0c;分别是 root、www、ftp 和 mysql&…