内容安全(IPS入侵检测)

入侵检测系统( IDS )---- 网络摄像头,侧重于风险管理,存在于滞后性,只能够进行风险发现,不能及时制止。而且早期的IDS误报率较高。优点则是可以多点进行部署,比较灵活,在网络中可以进行并联部署,对网络的影响小。

入侵防御系统( IPS )

IDS --- 侧重于风险管理的设备
IPS --- 侧重于风险控制的设备
IPS要接入网络中,需要进行串联部署,在后期加入时,可能会影响网络部署,导致流量中断,所以一般来说会提前部署好连接位置。

IPS的优势:

  1. 实时的阻断攻击
  2. 深层防护 --- 深入到应用层(IPS和IDS的工作范围都是2~7层)
  3. 全方位的防护 --- IPS可以针对各种常见威胁做出及时的防御,提供全方位的防护(针对各种的行为)
  4. 内外兼防 --- 只要是通过设备的流量均可以进行检测,可以防止发自于内部的攻击
  5. 可以不断升级,精准防护

入侵检测的方法: 异常检测、误用检测

异常检测:

**基于一个假定,即用户行为是可以预测的,遵循一致性模式的。**例如:一个人每天一般上三次,这是一个假定性的正常规律,可能会有上下的微小浮动,不会被认为异常。但是如果他一天上了100次厕所,则标准偏离过大,则会被入侵检测认为异常。

误用检测:

误用检测其实就是创建了一个异常行为的特征库(常规手段)。 我们将一些入侵行为记录下来,总结成为特征,之后,检测流量和特征库进行对比,来发现威胁。

异常检测和误用检测的对比:

签名

针对网络上的入侵行为特征的描述,将这些特征通过HASH后和报文进行比对。

预定义签名

设备上自带的特征库,这个需要我们激活对应的License(许可证)后才能获取,需要付费。这个预定义签名库激活后,设备可以通过连接华为的安全中心进行升级。

自定义签名

自己定义威胁特征。
自定义签名和预定义签名可以执行的动作 :
告警 --- 对命中签名的报文进行放行,但是会记录在日志中
阻断 --- 对命中签名的报文进行拦截,并记录日志
放行 --- 对命中签名的报文放行,不记录日志
这里以华为的防火墙USG6000V1为例:


注意:这里在进行更改时,一定要注意提交,否则配置不生效。修改的配置需要在提交后重启
模块后生效

总结:

1、在进行IPS模块检测之前,首先需要重组IP分片报文和TCP数据流,以此增加检测的精准性。
2、在此之后需要进行应用协议的识别。这样做主要为了针对特定的应用进行对应精细的解码,并深入报文提取特征。
3、最后,解析报文特征和签名(特征库里的特征)进行匹配。再根据命中与否做出对应预设的处理方案。
相关推荐
WTT00111 小时前
2024楚慧杯WP
大数据·运维·网络·安全·web安全·ctf
群联云防护小杜4 小时前
如何给负载均衡平台做好安全防御
运维·服务器·网络·网络协议·安全·负载均衡
ihengshuai4 小时前
HTTP协议及安全防范
网络协议·安全·http
黑客Jack5 小时前
防御 XSS 的七条原则
安全·web安全·xss
云云3216 小时前
怎么通过亚矩阵云手机实现营销?
大数据·服务器·安全·智能手机·矩阵
神一样的老师6 小时前
面向高精度网络的时间同步安全管理架构
网络·安全·架构
云云3218 小时前
云手机方案全解析
大数据·服务器·安全·智能手机·矩阵
云云3219 小时前
云手机能用来干什么?云手机在跨境电商领域的用途
服务器·线性代数·安全·智能手机·矩阵
云云3219 小时前
云手机方案总结
服务器·线性代数·安全·智能手机·矩阵
m0_748237059 小时前
2024年“羊城杯”粤港澳大湾区网络安全大赛 初赛 Web&数据安全&AI 题解WriteUp
前端·安全·web安全