<网络安全>《9 入侵防御系统IPS》

1 概念

IPS( Intrusion Prevention System)是电脑网络安全设施,是对防病毒软件(Antivirus Programs)和防火墙(Packet Filter, Application Gateway)的补充。 入侵预防系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

IPS是主动防御

2 目的

防火墙可以根据IP地址(IP-Addresses)或服务端口(Ports)过滤数据包。但是,它对于利用合法IP地址和端口而从事的破坏活动则无能为力。因为,防火墙极少深入数据包检查内容。即使使用了DPI技术 [1](Deep Packet Inspection 深度包检测技术),其本身也面临着许多挑战。

每种攻击代码都具有只属于它自己的特征 (signature), 病毒之间通过各自不同的特征互相区别,同时也与正常的应用程序代码相区别。杀毒软件就是通过储存所有已知的病毒特征来辨认病毒的。

在ISO/OSI网络层次模型(见OSI模型) 中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。除病毒软件主要在第五到第七层起作用。IPS为了弥补防火墙和除病毒软件二者在第四到第五层之间留下的空档。

应用入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻止入侵,防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙 和防病毒软件的补充来投入使用。在必要时,它还可以为追究攻击者的刑事责任而提供法律上有效的证据 (forensic)。

3 企业级入侵防御系统一般功能

一般能对网络中的多种网络协议http、ftp、pop3、smtp、NFS、telnet、ssh等进行深度审计,可以对网络蠕虫、间谍软件、木马软件、溢出攻击、数据库攻击、高级威胁攻击、暴力破解等多种深层攻击行为进行主动阻断。通过对内外部用户的网络行为进行解析、记录、汇报,实现事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源。

  1. 用户管理
    系统提供丰富的用户认证方式以及用户同步方式,标准的树形结构用户管理方式更好的满足企业对于用户管理要求。

  2. 身份认证
    具备丰富身份认证方式,可有效的区分用户;是部署差异化授权和审计策略、有效防御身份冒充、权限扩散与滥用等的管理基础。

  3. 入侵防御
    具有网络攻击防护、Web攻击防护、拒绝服务攻击防护、网络病毒防护、恶意URL防护五大攻击防御体系,可构建多维立体防御解决方案,达到全面高效的防御效果。

  4. 自定义应用
    系统具备自定义应用功能,管理员可根据协议、目标端口、IP.域名等维度创建应用特征,进而针对企业应用进行审计、流量统计和控制。

  5. 于协议指令防护
    系统对HTTP、FTP、Telnet等协议实现指令级的防护,可以阻断利用FTP、HTTP等常用协议进行网络攻击的行为。

  6. 丰富的报表
    提供了多视角和丰富易用的报表。便于客户单位不同职责的管理员从不同视角进行管理,对安全事件、网络流量、安全日志等提供全方位的报告。

  7. 漏洞防御
    入侵防御系统具备3000+漏洞的积累,能够抵御利用漏洞对网络发起的攻击行为。

4 IDS和IPS关系

入侵检测系统(IDS)对那些异常的、可能是入侵行为的数据进行检测和报警,告知使用者网络中的实时状况,并提供相应的解决、处理方法,是一种侧重于风险管理的安全产品。

入侵防御系统(IPS)对那些被明确判断为攻击行为,会对网络、数据造成危害的恶意行为进行检测和防御,降低或是减免使用者对异常状况的处理资源开销,是一种侧重于风险控制的安全产品。

IDS和IPS的关系,并非取代和互斥,而是相互协作:没有部署IDS的时候,只能是凭感觉判断,应该在什么地方部署什么样的安全产品,通过IDS的广泛部署,了解了网络的当前实时状况,据此状况可进一步判断应该在何处部署何类安全产品(IPS等)。

①IDS产品在网络中是旁路式工作;

②IPS产品在网络中是串接式工作。
在这里插入图片描述

5 IPS分类

单机入侵预防系统(HIPS: Hostbased Intrusion Prevension System)和网络入侵预防系统(NIPS: Network Intrusion Prevension System)两种类型。

6 IPS 技术应用

  1. 入侵阻断技术与应用

屏蔽指定IP地址;

屏蔽指定网络端口;

屏蔽指定域名;

封锁指定URL、阻断特定攻击类型;

为零日漏洞提供热补丁。

  1. 软件白名单技术与应用
  2. 网络流量清洗技术与应用

网络流量清技术原理
网络流量清洗系统的技术原理:通过异常网络流量检测,而将原本发送给目标设备系统的流量牵引到流量清洗中心,当异常流量清洗完毕后,再把清洗后留存的正常流量转送到目标设备系统。
网络流量清洗系统的主要技术方法如下:
1.流量检测
2.流量牵引与清洗
3.流量回注
网络流量清洗技术应用
1.畸形数据报文过滤
2.抗拒绝服务攻击
3.Web 应用保护
4.DDoS 高防IP 服务

  1. 可信计算技术与应用

建立以安全芯片(TPM)为信任根的完整性度量机制,使得计算系统平台运行时可鉴别组件的完整性,防止篡改计算组件运行。
可信计算的技术原理是首先构建一个信任根,再建立一条信任链,从信任根开始到硬件平台,到操作系统,再到应用,一级认证一级,一级信任一级,把这种信任扩展到整个计算机系统,从而确保整个计算机系统的可信。一个可信计算机系统由可信根、可信硬件平台、可信操作系统、可信应用系统组成。
可信度量根RTM是一个软件模块;
可信存储根RTS由可信平台模块TPM芯片和存储根密钥SRK组成
可信报告根RTR由可信平台模块TPM芯片和根密钥 EK组成
可信计算是网络信息安全的核心关键技术,中国基于自主密码算法建立起以TCM为核心的自主可信计算标准体系。
可信计算密码支撑平台:以密码技术为基础实现平台自身的完整性身份可信性和数据安全性等安全功能。该平台主要由可信密码模块(TCM)和TCM 服务模块(TSM)两大部分组成。

  1. 可信计算技术应用

1.计算平台安全保护
利用 TPM/TCM 安全芯片对计算平台的关键组件进行完整性度量和检查,防止恶意代码篡改BIOS、操作系统和应用软件
2.可信网络连接
可信网络连接 (Trusted Network Connect,TNC)利用TPM/TCiM
安全芯片实现平台身份认证和完整性验证,从而解决终端的安全状态认证、接入后控制问题。TNC的组成结构分为完整性度量层、完整性评估层、网络访问层。
3.可信验证
可信验证的技术原理是基于可信根,构建信任链,一级度量一级,一级信任一级,把信任关系扩大到整个计算节点,从而确保计算节点可信。

  1. 数字水印技术与应用

数字水印是指通过数字信号处理方法,在数字化的媒体文件中嵌入特定的标记。 水印分为:可感知的、不易感知的
数字水印技术组成:水印的嵌入+水印的提取 数字水印的嵌入方法分为:空间域方法、变换域方法

原理
1.空间域方法:空间域方法是将水印信息直接叠加到数字载体的空间域上
2.变换域方法:利用扩展频谱通信技术水影 变换域方法是利用扩展频谱通信技术,先计算图像的离散余弦变换(DCT),再将水印叠加到DCT域中值最大的前L个系数上(不包括直流分量),通常为图像的低频分量。典型的算法为
NEC算法,该算法首先由作者的标识码和图像的 Hash 值等组成密钥以该密钥为种子来产生伪随机序列,再对图像做 DCT 变换
数字水印常见的应用场景主要有:版权保护、信息隐藏、信息溯源、访问控制等。

  1. 网络攻击陷阱技术原理

1.蜜罐主机技术
2.陷阱网络技术
主要应用场景为恶意代码监测、增强抗攻击能力、网络态势感知。

  1. 入侵容忍及系统生存技术与应用

入侵容忍及系统生存技术主要有:分布式共识、主动恢复、门限密码、多样性设计等。 分布式共识:避免单一缺陷

主动恢复:通过自我清除技术,周期性让系统迁移转变到可信的状态,破坏攻击链条;

门限密码: 可以用于保护秘密,门限密码算法通常用(n,k)形式表示,N
表示参与者的个数,K表示门限值(也称为阙值),表示获取秘密最少需要的参与者个数;

多样性设计: 可以避免通用模式的失效,如操作系统的多样性可增强抗网络蠕虫攻击能力。

1.弹性 CA 系统
CA私钥是 PKI系统的安全基础,一旦CA私钥泄漏,数字证书将无法得到信任。
2.区块链
区块链由众多对等的节点组成,利用共识机制、空码算法来保持区块数据和交易的完整性、一致性,形成一个统一的分布式账本。区块链是一个去中心化的分布式数据库,数据安全具有较强的入侵容忍能力。
通过弹性 CA系统、区块链可以看出,入侵容忍的核心就是分布式,一个坏了,还有另外一个可以用。

  1. 隐私保护技术与应用

隐私保护类型及技术原理
1.身份隐私

2.属性隐私

3.社交关系隐私

4.位置轨迹隐私

7 网络安全前沿技术发展动向

  1. 网络威胁情报服务
    网络威胁情报是指有关网络信息系统遭受安全威胁的信息,主要包括安全漏洞、攻击来源IP 地址、恶意邮箱、恶意域名、攻击工具等。

  2. 域名服务安全保障
    域名服务的常见安全风险阐述如下:
    (1)域名信息篡改。(2)域名解析配置错误。 (3)域名劫持 (4)域名软件安全漏洞。

  3. 同态加密技术
    同态加密是指一种加密函数对明文的加法和乘法运算再加密,与加密后对密文进行相应的运算,结果是等价的。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/653621.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

数据结构【图的遍历】

数据结构之图 图的类型定义和存储结构图的遍历遍历的定义图的特点图常用的遍历深度优先搜索 DFS(DepthFirstSearch)算法实现算法效率分析 广度优先搜索 BFS(BreadthFirstSearch)算法实现算法效率分析 DFS与BFS算法效率比较 图的类…

第八篇【传奇开心果短博文系列】Python的OpenCV技术点案例示例:深度学习

传奇开心果短博文系列 系列短博文目录Python的OpenCV技术点案例示例系列 短博文目录一、前言二、OpenCV深度学习介绍三、OpenCV常用深度学习算法和实现分别示例代码四、归纳总结 系列短博文目录 Python的OpenCV技术点案例示例系列 短博文目录 一、前言 OpenCV深度学习&…

【UVM源码】UVM Config_db机制使用总结与源码解析

UVM Config_db机制使用总结与源码解析 UVM Config_db机制介绍UVM Config_db 机制引入的背景基本介绍使用方法优缺点: UVM Config_db机制使用示例:UVM Config_db使用高阶规则Config_db资源优先级 UVM Config_db 源码解析 UVM Config_db机制介绍 UVM Conf…

idea引入ojdbc包报错

网上下载或者让同事传两个jar过来,ojdbc6-11.2.0.7.0.jar 以及jconn3.0.jar 放入同一个文件夹中: 在此文件夹中cmd如下:回车,进入cmd控制台。 输入如下两个命令: mvn install:install-file -DgroupIdcom.oracle -Dar…

【网络】:网络套接字

网络套接字 一.网络字节序二.端口号三.socket1.常见的API2.封装UdpSocket 网络通信的本质就是进程间通信。 一.网络字节序 我们已经知道,内存中的多字节数据相对于内存地址有大端和小端之分, 磁盘文件中的多字节数据相对于文件中的偏移地址也有大端小端之分,网络数据流同样有大…

可曾听闻Nginx?

目录 一.简介 二.Nginx的优点 三.反向代理 四.负载均衡 五.动静分离 六.总结 说起Nginx,耳边好像经常听到,但是不知道用来干嘛的。最近用到了,所以我就大概总结了基本知识,它经常与一个词出现在一起——反向代理。那接下来…

配置华为交换机环路检测案例

知识改变命运,技术就是要分享,有问题随时联系,免费答疑,欢迎联系! 厦门微思网络​​​​​​https://www.xmws.cn 华为认证\华为HCIA-Datacom\华为HCIP-Datacom\华为HCIE-Datacom 思科认证\CCNA\CCNP\CCIE Linux\RHCE…

YOLOv5可视化热力图 | 支持自定义模型、置信度选择等功能(论文必备)

一、本文介绍 本文给大家带来的机制是的可视化热力图功能,热力图作为我们论文当中的必备一环,可以展示出我们呈现机制的有效性,本文的内容支持YOLOv5最新版本,同时支持视频讲解,本文的内容是根据检测头的输出内容,然后来绘图。 在开始之前给大家推荐一下我的专栏,本专…

Vue服务器端渲染(SSR)是不是技术的倒退?

一、什么是服务器端渲染,是不是技术退步? Vue服务器端渲染(Vue Server-Side Rendering,简称SSR)是一种将Vue组件在服务器端进行渲染,生成最终的HTML页面,然后将其发送给客户端的技术。 传统的V…

烧录软件(Renesas Flash Programmer)瑞萨RL78G12系列单片机下载工具(E2)的软件配置与硬件链接说明

一、单片机与仿真器连接 E1引脚接线图 RL78系列单片机的GND接仿真器的pin2、pin12、pin14 RL78系列单片机的VDD接仿真器的pin8 RL78系列单片机的Tool0接仿真器的pin5 RL78系列单片机的Reset接仿真器的pin10、pin13 二、确认接线完成后,开始烧录 1、打开RFPV软件…

C 练习实例50-使用Dev-C++创建项目(圆形体体积计算器)

项目展示 项目案例&#xff1a;圆形体体积计算器 vol.h文件 #include <stdio.h> #include <math.h> #define PI 3.141592654 void cal(int sel); //函数声明 double vol_ball(void); double vol_cylind(void); double vol_cone(void); main.c文件 #include &quo…

【数字通信】数字带通传输

数字调制和数字带通传输系统 数字调制解调 数字调制 用数字基带信号控制载波&#xff0c;把数字基带信号变换为数字带通信号的过程 目的&#xff1a;数字基带信号含大量低频分量&#xff0c;无法通过具有带通特性的信道传输。需对数字基带信号进行数字调制使信号与信道的特…

网际协议 IP、IP地址

目录 网际协议 IP 虚拟互连网络 使用中间设备进行互连 IP 地址 IP 地址及其表示方法 ​编辑 IP 地址采用 2 级结构 IP 地址的编址方法 分类的 IP 地址 各类 IP 地址的指派范围 一般不使用的特殊的 IP 地址 IPv4网络中的地址类型 分类的 IP 地址的优点和缺点 划分子网…

数字媒体技术基础之:声波及其测量

声音始于空气中的振动&#xff0c;如吉他弦、人的声带或扬声器纸盆产生的振动。 这些振动一起推动邻近的空气分子&#xff0c;从而轻微增加空气压力。 压力下的空气分子随后推动周围的空气分子&#xff0c;后者又推动下一组分子&#xff0c;依此类推。 高压区域穿过空气时&…

链表中倒数第k个结点

题目描述 输入一个链表&#xff0c;输出该链表中倒数第k个结点。 这道题首先按照普通的方法用一个栈来存放链表数据然后在取出第k的数就可以了,但是这种方法的时间复杂度是O(n),不提倡; 现在我介绍一种时间复杂度为O(n-k)的方法,老规矩-->先贴源码,在分析: /*public clas…

SpringSecurity笔记

SpringSecurity 本笔记来自三更草堂&#xff1a;https://www.bilibili.com/video/BV1mm4y1X7Hc/?spm_id_from333.337.search-card.all.click&#xff0c;仅供个人学习使用 简介 Spring Security是Spring家族中的一个安全管理框架。相比与另外一个安全框架Shiro&#xff0c;…

Leetcode刷题笔记题解(C++):1117. H2O 生成(多线程)

思路&#xff1a; 解法二&#xff1a;生产者-消费者解法 1.把 hydrogen 线程看作生产者&#xff0c;oxygen 线程看作消费者&#xff0c;缓冲队列大小为2。 2.hydrogen 把生成的氢放入队列&#xff1b;oxygen 线程每次从队列里消费两个氢元素。 3.生产者生产两个氢元素后会因为…

【极数系列】Linux环境搭建Flink1.18版本 (03)

文章目录 引言01 Linux部署JDK11版本1.下载Linux版本的JDK112.创建目录3.上传并解压4.配置环境变量5.刷新环境变量6.检查jdk安装是否成功 02 Linux部署Flink1.18.0版本1.下载Flink1.18.0版本包2.上传压缩包到服务器3.修改flink-config.yaml配置4.启动服务5.浏览器访问6.停止服务…

二叉树--199. 二叉树的右视图/medium 理解度C

199. 二叉树的右视图 1、题目2、题目分析3、复杂度最优解代码示例4、适用场景 1、题目 给定一个二叉树的 根节点 root&#xff0c;想象自己站在它的右侧&#xff0c;按照从顶部到底部的顺序&#xff0c;返回从右侧所能看到的节点值。 示例 1: 输入: [1,2,3,null,5,null,4] 输出…

贪吃蛇项目(基于C语言和数据结构中的链表)

建立文件 首先先建立3个文件。 Snake.h 函数的声明 Snake.c 函数的定义 Test.c 贪吃蛇的测试 分析项目 我们分析这整个项目 建立节点 首先在我们实现游戏开始的部分之前&#xff0c;我们要先创建贪吃蛇的节点&#xff0c;再由此创建整个贪吃蛇所包含的一些信息&#…