网络安全之入侵检测

目录

网络安全之入侵检测

入侵检测经典理论

 经典检测模型

入侵检测作用与原理

意义

异常检测模型(Anomaly Detection)

误用检测模型(Misuse Detection)

经典特征案例

​编辑自定义签名

 ​编辑

签名检查过程

检测生命周期

信息收集的方法

信息分析

异常检测 --- 统计分析、完整性分析

         异常检测之统计分析

         异常检测之完整性分析

         常见异常检测算法

误用检测 --- 模式匹配

         误用检测值模式匹配

         常用误用检测算法

融合使用异常检测和误用检测 --- 实际系统的普遍做法

​        编辑结果处理

IDS的部署

IDS的配置

签名过滤器

 例外签名

​编辑 配置总体顺序

​编辑配置顺序

 配置完成后

调整配置


网络安全之入侵检测

注意:

        入侵检测为事后系统,类似于发生盗窃后,通过摄像头(入侵检测)查询。

入侵检测经典理论

        系统访问控制需要面对三类用户

                合法用户(Legitimate User)

                伪装用户(Masquerade User) ---- 攻破 [流程控制]

                        身份仿冒(可能是最早提出不能依赖于身份认证,还要加强行为监控以防范身份

                                        仿冒和滥用的学者)

                秘密用户(Clandestine User)---攻破 [逻辑控制]

                        类似于 走了后门

伪装 --- 批了合法的外衣 ,秘密用户 --- 无法察觉

 经典检测模型

        通用的入侵检测系统抽象模型

                主体(Subjects)--- 谁

                对象(Objects)--- 对谁

                审计记录(Audit records) --- 审查做了什么

                活动档案(Profiles)

                异常记录(Anomoly records)--- 异常行为

                活动规则(Activity rules) --- 判断异常是什么

入侵检测作用与原理

识别入侵者 

识别入侵行为 

监测和监视已成功的入侵 

为对抗入侵提供信息与依据  

意义

         入侵检测是防火墙的一个有力补充,形成防御闭环,可以及时、准确、全面的发现入侵,弥补防火墙对应层检查缺失 

        对系统的运行状态进行见识,发现各种攻击企图、过程、结果,来保证系统资源的安全(完整性可用性机密性)。是一个软件硬件的组合系统

        异常检测 --- 当某个时间与一个已知的攻击特征(信号)相匹配时,一个基于异常的IDS会记录一个正常主机的活动大致轮廓,当一个事件在这个轮廓以外发生,就认为是异常,IDS就会警告

        特征检测 --- IDS核心是特征库(签名)。

        签名用来描述网络入侵行为的特征,通过比较报文特征签名来检测入侵行为

异常检测模型(Anomaly Detection)

        首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。

误用检测模型(Misuse Detection)

        收集非正常的行为特征,建立相关的特征库,当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵,误用检测模型也称为特征检测(Signature-based detection)

经典特征案例

自定义签名

 

签名检查过程

检测生命周期

        信息收集 --- 用数据来刻画系统和网络运行历史和现状

        信息分析 --- 用收集的数据去研判现状和预测未来

        结果处理 --- 记录、告警和视觉呈现

信息收集的方法

        基于主机

        基于网络

        基于传感器 ---      

                                基于主机运行的软件

                                基于网络的数据捕获传感器

                                物联网中的各种传感器

信息分析

异常检测 --- 统计分析、完整性分析

 异常检测之统计分析

        统计分析对象 --- 用户、文件、目录和设备

        统计分析方法 --- 为统计分析对象创建一个统计描述,统计正常使用时的一些测量属性 ---- 访问时间(工作时间/休息时间)、访问次数、操作失败次数和延时等

        统计分析匹配 --- 测量属性的平均值将被用来网络、系统的行为进行比较,任何观测/测量在正常值范围之外时,就有入侵检测

 异常检测之完整性分析

        完整性分析对象 --- 文件/目录/任意数字资源 ---- 文件和目录的内容及属性

        完整性分析方法 --- 建立完整性分析对象在正常状态时的完整性签名

        完整性分析匹配 --- 匹配签名值是否发生改变 ---- 发生改变,认定目标对象被入侵篡改

 常见异常检测算法

        基于特征选择异常检测

        基于贝叶斯推理异常检测

        基于贝叶斯网络异常检测

        基于神经网络异常监测

        基于贝叶斯聚类异常检测

误用检测 --- 模式匹配

 误用检测值模式匹配

        模式匹配 --- 将手机到的信息与已知网络入侵和系统误用模式规则集进行比较,从而发现违反安全策略的行为

        入侵模式的表示方法 --- 一个过程(执行一条指令)、一个输出(获得权限)

        入侵模式的匹配过程 --- 字符串匹配(精确模式、模糊模式),状态机迁移序列匹配

 常用误用检测算法

        基于条件概率误用检测

        基于专家系统误用检测

        基于状态迁移误用检测

融合使用异常检测和误用检测 --- 实际系统的普遍做法

结果处理

        产生警告 --- 记录警告日志,请求其它安全设备的协作联动(防火墙联动)

        视觉呈现 --- [态势感知]产品的原型 

IDS的部署

        旁挂 --- 需要在部署旁挂设备上使用端口镜像的功能,把需要采集的端口流量镜像到IDS旁挂口。 也可以使用集线器分光器实现流量复制。

IDS的配置

        IPS特征库中包含了针对各种攻击行为的海量签名信息,但是在实际网络环境中,业务类型可能比较简单,不需要使用所有的签名,大量无用的签名也容易影响对常用签名的调测。此时我们可以使用签名过滤器将常用的签名过滤出来。

签名过滤器

        若干签名的集合,我们根据特定的条件如严重性、协议、威胁类型等,将IPS特征库中适用于当前业务的签名筛选到签名过滤器中,后续就可以重点关注这些签名的防御效果。通常情况下,对于筛选出来的这些签名,在签名过滤器中会沿用签名本身的缺省动作。特殊情况下,我们也可以在签名过滤器中为这些签名统一设置新的动作,操作非常便捷。

签名过滤器的动作分为:

        阻断 --- 丢弃命中签名的报文,并记录日志。

        告警 --- 对命中签名的报文放行,但记录日志。

        采用签名的缺省动作,实际动作以签名的缺省动作为准。

注意:

        签名过滤器的动作优先级高于签名缺省动作,当签名过滤器动作不采用缺省动作时以签名过滤器中的动作为准。

 例外签名

        由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。

例外签名的动作分为:

        阻断 --- 丢弃命中签名的报文,并记录日志。

        告警 --- 对命中签名的报文放行,但记录日志。

        放行 --- 对命中签名的报文放行,且不记录日志

        添加黑名单 --- 是指丢弃命中签名的报文,阻断报文所在的数据流,记录日志,并可将报文的源地址目的地址添加至黑名单。

 配置总体顺序

配置顺序

 配置完成后

        IPS配置完成后,通过监控攻击行为、分析威胁日志等手段,发现防御策略不合理的地方,进而对IPS配置做出调整,如修改签名过滤器、升级IPS特征库,必要的时候还可以使用例外签名和自定义签名。

选择“监控 > 日志 > 威胁日志”

          对该攻击进行排查,在查询条件中输入要观察的时间段和攻击源的IP地址,进行查询。通过搜索结果可以看出,攻击者在某时间段内持续发出多种入侵攻击。可以判定该攻击源在发起恶意攻击,可以在安全策略中阻断来自该IP的流量,从而阻断攻击。

注意:

        有一些攻击发生持续时间短,发生次数少攻击源少。这种情况难以通过日志间的关联来判断攻击行为,此时需要根据威胁事件的相关信息判断是否为攻击。

选择“对象 > 签名”,在搜索框中输入威胁日志中记录的威胁ID。在搜索结果中,点击该签名查看详情

调整配置

        基于对攻击的判定,需要对当前的配置进行调整。

例子 --- 

        某攻击在一些场景下会构成威胁,但是在另一些场景中,可能并不会造成危害,甚至一些特殊的业 务也可能具备该威胁特征。这种情况下,需要识别被阻断的威胁在当前网络环境中是否构成攻击, 如果不会,则可以考虑将其配置例外签名,动作设置为告警。

        在安全优先的场景中,如果发现有些告警是由非正常业务触发的,并且触发行为特征符合攻击行 为,则可以考虑将这其配置例外签名,动作设置为阻断。

        确定为入侵行为的源IP地址,可以直接将其加入黑名单,或将该IP加入安全策略的规则并配置动作 为阻断

例:配置黑名单

 

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/9611.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

http请求类RestTemplate

RestTemplate类1.1 初识RestTemplate1.2 注入方式1.3 常用方法1.1 初识RestTemplate RestTemplate类是一个用于发送HTTP请求并获取HTTP响应的模板类。它可以被用于执行GET,POST,PUT,DELETE等各种HTTP方法,同时还支持处理请求参数…

微信小程序python+vue今日菜谱美食点赞收藏评价系统

谈到外出就餐,我们除了怕排队,也怕这家餐厅的服务员不够用,没人为我们点餐,那么一餐饭排队一小时,点餐恐怕也要花个半小时,这样不仅给消费者的用餐体验大打折扣同时也给商家的口碑造成了严重负面的影响&…

KD-2125地下电缆测试仪

一、产品概述 管线探测仪是一套高性能地下金属管线探测系统,由信号发射机和接收机组成,可用于金属管线、地下电缆的路径探测、管线普查和深度测量,配合多种选配附件,可以进行唯一性鉴别,以及管道绝缘破损和部分类型电缆…

在Win10安装pytorch3d

Pytorch3d 这是一个为使用Pytorch的3D计算机视觉研究提供的高效可重用的组件 主要特点包括: 用于储存和操作三角形网格的数据结构三角形网格的高效操作(投影变换、图形卷积、采样、损失函数)可区分的网格渲染器可以通过隐式函数进行新试图…

Object.defineProperty()和 Proxy的区别

众所周知,Object.defineProperty()和 Proxy的区别也是Vue2和Vue3响应式的区别,现在就聊一下为什么Proxy会替代Object.defineProperty() Object.defineProperty(): Object.defineProperty() 方法会直接在一个对象上定义一个新属性&#xff0…

字节8年测试经验,送给想要学习自动化测试的同学6条建议

我的职业生涯开始和大多数测试人一样,开始接触都是纯功能界面测试。那时候在一家电商公司做测试,做了有一段时间,熟悉产品的业务流程以及熟练测试工作流程规范之后,效率提高了,工作比较轻松,也得到了更好的…

MyBatisPlus-DQL编程控制

MyBatisPlus-DQL编程控制3,DQL编程控制3.1 条件查询3.1.1 条件查询的类3.1.2 环境构建3.1.3 构建条件查询3.1.4 多条件构建3.1.5 null判定3.2 查询投影3.2.1 查询指定字段3.2.2 聚合查询3.2.3 分组查询3.3 查询条件3.3.1 等值查询3.3.2 范围查询3.3.3 模糊查询3.3.4…

堆来咯!!!

堆是什么? 是土堆吗? 那当然不是啦~ 堆是一种被看作完全二叉树的数组。 那么什么是完全二叉树呢? 如果二叉树中除去最后一层节点为满二叉树,且最后一层的结点依次从左到右分布,则此二叉树被称为完全二叉树。 堆的特…

中国版的ChatGPT,你最看好谁?

一、百度:文心一言升级中,未来支持开源 3月16日,百度正式推出国内首款生成式AI产品“文心一言”,可支持文学创作、文案创作、数理推算、多模态生成等功能。 “文心一言”基于全栈自研的AI基础设施进行学习和训练: ①…

selenium自动化测试面试题【含答案】

目录 1、selenium中如何判断元素是否存在? 2、selenium中hidden或者是display = none的元素是否可以定位到? 3、selenium中如何保证操作元素的成功率?也就是说如何保证我点击的元素一定是可以点击的? 4、如何提高s…

redis持久化方式区别

Redis是一种高级key-value数据库。它跟memcached类似,不过数据可以持久化,而且支持的数据类型很丰富。有字符串,链表,集 合和有序集合。支持在服务器端计算集合的并,交和补集(difference)等,还支持多种排序…

springboot实现修改用户信息功能

目录 1、UserEntity层 2、UserMapper层 3、UserService层 4、UserController类 5、Postman测试 要实现修改用户信息的功能,需要编写对应的代码: 如: 在UserEntity中定义用户实体类的属性。 在UserMapper中编写修改用户的SQL语句&#…

极光笔记 | 如何在Shopify中使用EngageLab (下)

Sendgird发布的《2022 Global Messaging Engagement Report》中揭示了世界各地的用户更喜欢用哪种方式与品牌互动,结论是:“电子邮件仍然是第一名(短信紧随其后)”。4800多名受访者中,有18%的人将电子邮件列为他们最常…

批处理文件名(不含空格的文件名、以及含空格的文件名)

目的: 整理为: 步骤: 结果生成1.txt内容为: 新建excel 复制1.txt中待处理的文件名字 然后 一直点下一步直到完成,再删除多余列,只剩下名字列 设置P1单元格为1.jpg,下拉递增 设置P1单元格 “REN “&…

Html5代码实现动态时钟

以下是一个简单的HTML5动态时钟的示例&#xff1a; <!DOCTYPE html> <html> <head><title>HTML5动态时钟</title><style>body {margin: 0;padding: 0;background-color: #000;color: #fff;font-size: 5em;font-family: Arial, sans-serif…

1、Windows下编译并搭建AzerothCore服务端

目录前言一、AzerothCore下载二、mysql安装三、boost安装四、OpenSSL安装五、CMake下载六、CMake编译1 - CMake生成vs项目2 - vs项目设置3 - 生成解决方案4 - 安装AzerothCore5 - 添加账号6 - 修改服务器名称7 - 修改客户端的服务器地址前言 客户端对应版本&#xff1a;魔兽世…

STM32 PWM模式与输出比较模式的区别。PWM占空比不生效,在STM32CubeMX中配置PWM的两种模式——蓝桥杯嵌入式

&#x1f38a;【蓝桥杯嵌入式】专题正在持续更新中&#xff0c;原理图解析✨&#xff0c;各模块分析✨以及历年真题讲解✨都已更新完毕&#xff0c;欢迎大家前往订阅本专题&#x1f38f; &#x1f38f;【蓝桥杯嵌入式】蓝桥杯第十届省赛真题 &#x1f38f;【蓝桥杯嵌入式】蓝桥…

chatgpt入口-chatgpt哪里下载

如何开通ChatGPT权限 开通 ChatGPT 的权限与具体的服务提供商有关&#xff0c;不同的服务提供商可能有不同的服务要求和使用条件。下面是一些可以开通 ChatGPT 权限的一般步骤&#xff1a; 寻找服务提供商&#xff1a;首先需要寻找一个可供使用的 ChatGPT 服务提供商。您可以在…

Html5版贪吃蛇游戏制作(经典玩法)

回味经典小游戏&#xff0c;用Html5做了个贪吃蛇的小游戏&#xff0c;完成了核心经典玩法的功能。 游戏可以通过电脑的键盘“方向键”控制&#xff0c;也可以点击屏幕中的按钮进行控制。&#xff08;支持移动端哈&#xff09; 点击这里试玩 蛇的移动是在18 x 18的格子中进行移…

(函数指针) 指向函数的指针

函数指针- 指向函数的指针函数指针的声明和使用通过函数指针调用函数函数指针做参数函数指针数组函数指针的声明和使用 函数指针的声明格式&#xff1a; 返回值类型 (*函数指针名)(参数列表); 其中&#xff1a; *函数指针名 表示函数指针的名称返回值类型 则表示该指针所指向…