护网设备的使用

设备概念

IPS
IPS代表入侵防御系统(Intrusion Prevention System),它不仅可以检测入侵行为,还可以主动采取措施进行防御。

IDS
IDS代表入侵检测系统(Intrusion Detection System),它通过监视网络流量、日志和系统事件来检测潜在的入侵行为。IDS基于预定义的规则或行为模式,分析网络流量和事件,以发现可能的安全漏洞、异常行为或已知攻击的迹象。一旦检测到可疑活动,IDS会生成警报通知相关人员进行进一步的调查和响应。

蜜罐

部署一些作为诱饵的主机,诱使攻击方对蜜罐进行过攻击,对攻击方的攻击行为进行捕捉和分析,了解攻击方使用的工具和方法,从而增强增强真实系统的安全防护能力。

WAF

web应用防火墙,专门针对于HTTP和https请求,对客户端的请求内容进行检测,确保其合法性和安全性,还会对非法的请求进行及时的阻断。

天眼的使用

主要用天眼进行流量分析和流量监控,并且可以用他的日志检索模块进行溯源。

检索语法

dip :被攻击的 ip
dport:被攻击的端口
sip:源ip
sport:源端口
uri :请求的 url 地址
data:请求包的正文内容
status:响应包的状态码
host:域名
client_os 系统 运算符 AND(AND或&&或+)OR(OR或||)ix.NOT(NOT或!或-)

天眼构成

①流量传感器(探针)②文件威胁鉴定器(沙箱)③分析平台④天擎(若有)

天眼菜单界面

流量传感器:状态监听,威胁告警,规则配置,策略配置,系统配置
分析平台:威胁感知-告警列表,分析中心-日志检索

告警类型

企图;成功;失陷;失败
 

天眼或者传感器上出现 命令执行告警,怎么应对?

1、验证此条告警是否真的成功?(成功的话,直接就可以出报告了)
2、失败的话,判断攻击者是手工还是扫描工具批量行为?
3、进入分析平台进一步分析,查看分析平台攻击IP除了文件上传以外是否存在其他攻击行为,攻击结果如何?
4、将发现时间及攻击行为反馈给护网客户

如果天眼设备上短时间内有大量告警,你会怎么进行分析?

根据轻重缓急进行筛选查看,从高危到低危,从命令执行到目录遍历这种等

天眼日志检索功能使用

1、在“分析中心”-“日志检索”模块,选择“高级模式”-“web访问”,再填写检索语句,再点击搜索
2、如果不知道具体的描述字段名?
在日志检索页面的左边,有一个展示字段,也就是说我们需要去记字段名,我们可以通过可视化界面把需要的字段进行选中,点点点就行了

天眼怎么判断受到了攻击?

规则库匹配,给出告警

天眼使用流程

1、天眼的作用

    1.1、从部署角度来讲:首先是从核心交换机上镜像流量到探针,探针内部有规则库,会进行第一波分析,然后分析的结果会交给分析平台处理,然后分析进行整合

    1.2、从使用者的角度:在“威胁感知-告警列表”里面进行筛选,进行有针对性的分析

2、攻击结果分为:失败(0)-企图(1)-成功(2)-失陷(3)

3、威胁级别分为:低危-中危-高危-危急

4、首先打开“威胁感知-告警列表”,然后筛选出成功和失陷的告警,然后筛选出威胁级别为高危和危急的告警

5、然后对每条告警进行分析:需要注意五元组信息:源IP、源端口、目的IP、目的端口、协议,然后就是对数据包进行分析

6、天眼的升级(包含探针/分析平台的规则库和系统升级)

    6.1、天眼支持在线升级和手动导入升级包的方式进行升级,客户基本上都是手动升级,因为在线升级需要开策略,比较麻烦,一个是访问公网的行为比较危险

    6.2、手动升级步骤:从天眼公有云系统上下载最新的升级包,然后在天眼的系统设置里的升级栏里面导入升级包进行升级

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/26385.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

团体标准的发布主体的区别

团体标准的发布机构 团体标准是依法成立的社会团体,如学会、协会、商会、联合会、产业技术联盟等,为满足市场和创新需求,协调相关市场主体共同制定的标准。这些社会团体一般是民间组织,不属于政府的管理机构,而是政府…

前端开发中的热更新原理

一、什么是热更新 热更新(Hot Module Replacement,HMR)是一种在前端开发中极为重要的技术。它允许开发者在不重新加载整个页面的情况下,实时更新应用程序中的某些模块。简单来说,热更新能让你在开发过程中即时看到代码…

HCIA6以太网基础基于MAC划分VLAN

(简写的命令可以敲Tab按键补全剩余) 1.组网需求 场景:公司的网络中,管理者将同一部门的员工划分到VLAN10。要求只有本部门员工的PC接入才能互访,其他PC接入交换机属于其他VLAN(666)。可以配置…

遇到Windows无法启动时不要担心,这里有解决办法

序言 如果有一天你打开电脑,Windows拒绝启动,你该怎么办?其实“Windows无法启动”是一种常见症状,原因多种多样,因此你需要进行一些故障排除。 现代版本的Windows更善于从这种情况中自动恢复,而Windows XP遇到此问题时可能会停止在运行的地方,现代版本的Windows将尝试…

自然语言处理(NLP)教学解决方案

前言 自然语言处理(NLP)是计算机科学、人工智能以及语言学的交叉学科,它致力于使计算机能够理解、解释并生成人类自然语言,从而实现人机间有效沟通。近年来,随着深度学习技术的突破,自然语言处理技术在机器…

【复旦邱锡鹏教授《神经网络与深度学习公开课》笔记】神经元和人工神经网络

神经元 生物神经元: 平时处于抑制状态,当接受信息量达到一定程度后进入兴奋状态。 人工神经元: 一个人工神经元大致有两个步骤: 一是收集信息,如上图中 x 1 , ⋯ , x d x_1,\cdots,x_d x1​,⋯,xd​表示神经元可…

SinoDB导入导出工具汇总

在进行数据迁移、数据库表备份、表重建以及批量数据加载时,我们经常希望数据处理过程能够更快点。本文是SinoDB导入导出工具的汇总,大家可以根据不同场景选择合适的SinoDB导入导出工具。 1. 各工具特点 通常利用dbschema工具导出数据库结构,…

vivado HW_SIO_PLL

HW_SIO_PLL 描述 对于具有千兆位收发器(GT)的Xilinx FPGA设备,每个串行收发器通道 具有称为信道PLL(CPLL)的环形锁相环(PLL)。对于Xilinx UltraScale和7 系列FPGA,GTX每四路有一个额…

在 Ubuntu 上取消登录密码和锁屏功能的简易指南

你可以使用终端命令来直接设置取消登录密码和锁屏功能。以下是具体步骤: 取消登录密码 打开终端。编辑 /etc/gdm3/custom.conf 文件:sudo nano /etc/gdm3/custom.conf在 [daemon] 部分下,添加或修改以下行:AutomaticLoginEnable…

【odoo】详细解读odoo模块__manifest__文件

概要 odoo中的__manifest__.py文件,是 Odoo 模块的描述文件,包含该模块的元数据。这个文件使用 Python 字典格式,定义了模块的基本信息和依赖关系。 详细说明 {name: Demo Name, #…

NVMe中的Copy命令你知道吗?

前段时间做过copy的相关工作,今天抽出时间来总结一下,共勉 什么是Copy命令 顾名思义,简单理解就是复制,我们可以看看官方文档是如何定义的: The Copy command is used by the host to copy data from one or more so…

Shell脚本 if语句

条件测试: $? 返回码 判断命令或者脚本是否执行成功(最近的一条) 0 true 为真就是成功 成立 非0 false 失败或者异常 test命令 可以进行条件测试 然后根据的是返回值来判断条件是否成立。 -e 测试目录或者文件是否存在 exist -d 测试…

JS 有几种遍历数组的方法

JS 有几种遍历数组的方法,forEach 和 map 有什么区别? for forEach map filter for…of(缺点:没有索引) find(遍历数组,找到第一个符合条件的项,并返回该项;不会继续…

如何在Excel中快速找出含有多位小数的数字

在日常工作中,使用Excel处理数据是一项常见任务。然而,有时我们会遇到一些看似简单,却令人头疼的问题。例如,当我们在一个包含大量数据的列中发现某个数字的小数点位数过多时,如何快速找到这个数字?本文将介…

二开版视频CMS完整运营源码/新版漂亮APP手机模板/集成员分销功能等

一个二开的影视CMS,直接上传源码至网站根目录,访问网站域名即可安装。 测试环境:Nginx 1.20.1—MySQL 5.6.50–PHP-7.2(安装拓展/fileinfo) 上传源码,访问域名直接安装 后台地址:域名/MDadmi…

Vue + Asp.NET调试时出现的证书问题 (OpenSSL)

Vue Asp.NET调试时出现的证书问题 1. 证书过期问题步骤一:创建新的私钥步骤 2: 创建新的证书签名请求(CSR)步骤 3: 使用 CSR 和 CA 私钥签署新证书步骤 4: 替换或使用新证书 2. 证书不受信任问题步骤: 3. 安全证书不指定使用者可选名称步骤一: 删除已生…

基于Python + Flask+ Mysq实现简易留言板

使用Python Flask Mysql实现简易留言板,包括网友编辑留言、修改留言,删除留言、分页显示四大功能。 写出留言板建设过程,包括开发使用工具、留言板模块设计、数据库设计、页面设计、关键技术。 留言板建设过程总结 一.开发使用…

群体优化算法----狗群优化算法(注意没写错并不是狼群优化算法是狗群)介绍以及多峰函数最优解求解

介绍 狗群优化算法(Dog Group Optimization, DGO)是一种新兴的群体智能优化算法,其灵感来自于狗群的社会行为和协作方式。DGO算法利用了狗群在搜寻、合作、信息共享等方面的行为特征,以求解复杂的优化问题 主要概念 狗群行为&a…

云手机游戏托管的实现机制

云手机游戏托管的实现首先依赖于强大的云计算基础设施。 数据中心承载着海量的计算资源,通过虚拟化技术构建出一个个独立的云手机环境,为二游的运行提供了坚实的支撑。这些云手机具备与实体手机相当的性能,能够流畅地运行各类二次元游戏。 在…

仪表板展示|DataEase看中国:2024年高考数据前瞻

背景介绍 2024年高考即将来临。根据教育部公布的数据,2024年全国高考报名人数为1342万人,相比2023年增加了51万人。高考报名人数的增加,既体现了我国基础教育的普及范围之广,也反映了社会对高等教育的重视和需求。 随着中央和各…