首页 > 其他分享 >Intrusion Prevention System(入侵防御系统)

Intrusion Prevention System(入侵防御系统)

时间:2024-08-09 16:52:19浏览次数:15  
标签:Intrusion IPS 检测 System 流量 ips 签名 入侵 Prevention

IPS 入侵防御系统

ips基于行为检测、特征库匹配以及威胁建模等方法,检测入侵行为(包括木马、蠕虫,病毒等),不同于常用的ids,入侵防御系统有主动的反制手段,通过一定的响应方式,实时地中止入侵行为。

产生的原因:

随着互联网的不断壮大 网络中的威胁也日益增多 道高一尺 魔高一丈 多年来 攻防彼此促进 防御设备也日益增多 ips的出现为网络安全又添加了一层保障

防御原理:

防御即 检测 + 动作 而动作正是区分ips和ids的关键
其中检测的方式主要有:

  • 基于签名的检测方法:即将网络中数据流量与特征库中的签名比对 这种方法只能用于已知威胁
  • 基于安全基线的检测:网络管理员会对正常的访问流量 访问文件 访问内容做出限制 当超出限制时 被认为攻击行为
  • 基于策略:这种方法较为传统 即匹配网络数据包中的关键信息 由管理员自行添加策略

当网络流量进入时 数据先由策略匹配处理 由于网络层会对数据分片 传输层会对数据分包 数据进入ips后需要进行重组
重组后 ips会对数据包的协议进行识别 并对应用层的数据进行提取 将数据与特征库中特征签名比对 如果比对成功 进入到入侵防御动作阶段
image

设备类型:

IPS:安装在网络出口 或者通过探针来收集流量与日志 并进行分析,安全检查 也存在hips对主机进行保护的ips

NBA:Network behavior analysis,NBA用于分析网络流量,通过检测异常流量,发现新的恶意软件或零日漏洞,通常nba的误报会比较多,所以nba不直接进行动作 而是检测 向网络管理员发出通知

NGIPS:下一代入侵检测系统 增加ai智能分析功能 对某固定ip的数据进行综合分析研判 但现在ai技术还不算完善 大部分ai报毒需要用户自行检查

关键技术:

ips分为识别和动作两步
识别方式主要是:
通过特征库签名
动作分为:
阻止流量 删除内容 匹配策略 触发其他设备(soar自动化编排)

签名:

我们所熟知的签名指的是:
通过利用可信第三方的私钥 对数据进行加密 已达到数据不可篡改 不可否认的目的 我们熟知的btcoin tls 等认证过程都会涉及到签名技术

而我认为:正是利用了 不可篡改的这一特性 正好保障了数据的完整性 对于ips而言 特征库可以说是至关紧要的 通过签名保证了特征码的完整性 防止ips被投毒

通过比对特征码来识别入侵行为 然后反制入侵
签名也可以自定义 管理员通过添加特征码并通过设备自签名来新增签名

签名命中后 会进行对应的行为 一般是所有动作为告警时 进行告警 只要有一个动作为阻断时 直接阻断

动作:

  1. 阻止恶意流量
    IPS 可能会终止用户的会话、阻止特定的 IP 地址,甚至阻止发往目标的所有流量。一些 IPS 可以将流量重定向到蜜罐

  2. 删除恶意内容
    IPS 可以允许流量继续,但清除危险部分,例如从流中丢弃恶意数据包或从电子邮件中删除恶意附件。

  3. 触发其他安全设备
    IPS 可能会促使其他安全设备采取行动,例如配合防火墙更新策略,配合蜜罐重定向流量

  4. 执行安全政策
    某些 IPS 可以防止攻击者和未经授权的用户执行任何违反安全策略的行为,做出告警 或者阻断

不同于防火墙 常常做守门员 对外部进入的数据流量分析 ips使用内网探针对网络内部的数据流量分析检测 不论是内网还是外网的威胁 ips都能很好的进行防御

标签:Intrusion,IPS,检测,System,流量,ips,签名,入侵,Prevention
From: https://www.cnblogs.com/fr09/p/18351004

相关文章

  • systemd
    ......
  • Lindenmayer systems (or L-systems)
    Amongthemostconspicuouspropertiesofaplantshapearesymmetryand self-similarity. importturtlefromdataclassesimportdataclassWIDTH=800HEIGHT=600PEDESTRAL=50#asimpleplantwithabudAXIOM="A"RULES={"A"......
  • Robot Operating System——深度解析单线程执行器(SingleThreadedExecutor)执行逻辑
    大纲创建SingleThreadedExecutor新增Nodeadd_nodetrigger_entity_recollectcollect_entities自旋等待get_next_executablewait_for_workget_next_ready_executableTimerSubscriptionServiceClientWaitableAnyExecutableexecute_any_executable参考资料在ROS2中,我......
  • OSI(Open Systems Interconnection Model)七层模型
    前情提要:是一个描述计算机网络通信协议设计的概念模型。它由国际标准化组织(ISO)在1984年发布,用于帮助不同系统之间的通信。这个模型将网络通信过程分为七个层次,每一层都承担着特定的功能:1.物理层(PhysicalLayer):负责在物理媒体上传输原始比特流。它关注的是比特在电缆、光纤......
  • System类
    System类Java中的System类是java.lang包的一部分,它提供了一些与系统相关的方法和属性。System类是Java运行时的一部分,提供了对系统资源的访问和一些实用工具方法。标准输入/输出/错误流:System.in:标准输入流,通常用于从键盘读取数据。System.out:标准输出流,通常......
  • System类
    目录System类System类的成员变量PrintStreamoutInputStreaminPrintStreamerrSystem类的成员方法arraycopy()方法currentTimeMillis()方法exit()方法gc()方法getProperty()方法System类System类位于java.lang包,代表当前Java程序的运行平台,系统级的很多属性和控制方法......
  • .netCore System.Drawing.Common 发布,在CentOS 运行报错
    centos下要运行 System.Drawing.Common,需要先安装mono的  libgdiplus插件才可以。安装后,还报以下错误的,才是下文的内容。 报错:System.PlatformNotSupportedException:System.Drawing.Commonisnotsupportedonnon-Windowsplatforms.Seehttps://aka.ms/systemdra......
  • System类
    System类主要用于获取系统的属性数据和其他操作,构造方法私有publicclassApplication{publicstaticvoidmain(String[]args)throwsParseException{//arraycopy:数组的赋值//src:源数据//srcPos:从那个位置开始复制//dest:目标数......
  • System类
    System类简介System类属于java.base模块,java.lang包下System类不可被继承(final修饰),不可被实例化(构造器私有)。五、System类常用方法1.staticvoidexit(intstatus)退出当前程序,结束正在运行的java虚拟机。"形参status=0"表示以正常状态退出。//演示:以System_类为演......
  • System,Runtime,Math
    System,Runtime,Math在Java中,System、Runtime和Math是三个非常常用且重要的类,它们分别属于不同的包(java.lang),提供了不同的功能。下面是对这三个类的简要介绍:1.System类System类位于java.lang包中,因此它是自动导入的,不需要显式地导入。这个类提供了一些有用的类字段和静态......