内容安全(IPS入侵检测)

本文涉及的产品
云防火墙,500元 1000GB
内容审核增强版开发者实践包,10万次资源包1年有效
简介: 内容安全(IPS入侵检测)

入侵检测系统( IDS )---- 网络摄像头,侧重于风险管理,存在于滞后性,只能够进行风险发现,不能及时制止。而且早期的IDS误报率较高。优点则是可以多点进行部署,比较灵活,在网络中可以进行并联部署,对网络的影响小。


入侵防御系统( IPS )

IDS --- 侧重于风险管理的设备

IPS --- 侧重于风险控制的设备

IPS要接入网络中,需要进行串联部署,在后期加入时,可能会影响网络部署,导致流量中断,所以一般来说会提前部署好连接位置。


IPS的优势:

  1. 实时的阻断攻击
  2. 深层防护 --- 深入到应用层(IPS和IDS的工作范围都是2~7层)
  3. 全方位的防护 --- IPS可以针对各种常见威胁做出及时的防御,提供全方位的防护(针对各种的行为)
  4. 内外兼防 --- 只要是通过设备的流量均可以进行检测,可以防止发自于内部的攻击
  5. 可以不断升级,精准防护


入侵检测的方法: 异常检测、误用检测

异常检测:

基于一个假定,即用户行为是可以预测的,遵循一致性模式的。例如:一个人每天一般上三次,这是一个假定性的正常规律,可能会有上下的微小浮动,不会被认为异常。但是如果他一天上了100次厕所,则标准偏离过大,则会被入侵检测认为异常。

image.png


误用检测:

误用检测其实就是创建了一个异常行为的特征库(常规手段)。 我们将一些入侵行为记录下来,总结成为特征,之后,检测流量和特征库进行对比,来发现威胁。

异常检测和误用检测的对比:


签名

针对网络上的入侵行为特征的描述,将这些特征通过HASH后和报文进行比对。

预定义签名

设备上自带的特征库,这个需要我们激活对应的License(许可证)后才能获取,需要付费。这个预定义签名库激活后,设备可以通过连接华为的安全中心进行升级。


自定义签名

自己定义威胁特征。

自定义签名和预定义签名可以执行的动作 :

告警 --- 对命中签名的报文进行放行,但是会记录在日志中

阻断 --- 对命中签名的报文进行拦截,并记录日志

放行 --- 对命中签名的报文放行,不记录日志


这里以华为的防火墙USG6000V1为例:

注意:这里在进行更改时,一定要注意提交,否则配置不生效。修改的配置需要在提交后重启

模块后生效


总结:

1、在进行IPS模块检测之前,首先需要重组IP分片报文和TCP数据流,以此增加检测的精准性。

2、在此之后需要进行应用协议的识别。这样做主要为了针对特定的应用进行对应精细的解码,并深入报文提取特征。

3、最后,解析报文特征和签名(特征库里的特征)进行匹配。再根据命中与否做出对应预设的处理方案。

相关文章
|
6月前
|
存储 缓存 网络协议
DNS攻击基础
DNS攻击基础
|
网络协议 Linux 网络虚拟化
|
4月前
|
数据采集 监控 安全
|
27天前
|
传感器 监控 安全
网络安全:IPS和IDS有啥区别?
【10月更文挑战第15天】
116 0
网络安全:IPS和IDS有啥区别?
|
3月前
|
监控 安全 Linux
在Linux中,什么是入侵检测系统(IDS)和入侵防御系统(IPS)?
在Linux中,什么是入侵检测系统(IDS)和入侵防御系统(IPS)?
|
6月前
|
机器学习/深度学习 运维 监控
|
5月前
|
负载均衡 网络协议 安全
|
运维 网络协议 算法
基于Ryu 防火墙的检测和解决异常入侵的流量--实验
基于Ryu 防火墙的检测和解决异常入侵的流量--实验
|
安全 网络架构
DHCP欺骗实验操作及防护措施
DHCP欺骗实验操作及防护措施
236 0
|
传感器 监控 安全
【网络安全】IDS vs IPS vs UTM - 有什么区别?
【网络安全】IDS vs IPS vs UTM - 有什么区别?