首页 > 其他分享 >2.第一天(第二部分):Explaining Intrusion Prevention

2.第一天(第二部分):Explaining Intrusion Prevention

时间:2024-08-13 22:52:40浏览次数:10  
标签:Explaining Intrusion 攻击 能够 ids 网络 ips 防御 Prevention

入侵防御系统

cisco在入侵检测方面使用了一种混合技术

ips技术不成熟

ips的性能和具体的包类型和大小有关系

command接口有ip,有路由能力,网关主机通过这个接口进行网管。

montor接口没有ip,网络不课件,接受数据,发送rooot

杂合模式和在线模式

更好的对atomic attack攻击进行防御,以前atomic attack 异能因为ids响应过慢被直接送到目的地了,ips一旦潘丹攻击就直接丢弃,ips也有一种说法叫做深度防御防火墙

两种模式可以同时使用

inline蓦地的ips接口需要一对的配置,这昂两个接口就工作在透明的二层转发模式。

下边的特性对你做出drop决定的时候更有信心

风险率

1.fvent serity(事件严重程度)

2.signature fidelity (signature准确程度)---有一个默认的值,这是signature创造者所计算出来的。

3.assetvalut(资产价值)---定义目的的系统价值

hsrp;cisco etherchannel load balancing;stp技术都能实现ips的高可用性

software bypass能够实现在ips出现问题的时候旁路所有数据。

网络性能的提升(性能不够)和网络安全和涉及(多的接入点)需要增加现有ips的关键。

能够从多个分布式csa哪里得到数据,并且对数据进行关联,发现类似昂罗扫描之类的攻击。

深度防御:

没有任何一个设备能够提供完全的安全保护,我们需要hips和nips的协作才能实现深度防御

主机ips

1.保护特定主机的运用程序

2.增加对主机资源访问的控制

3.保护web运用程序

4.防止缓存溢出

网络ips

1.检测和防御web运用程序的攻击

2.检测和防御缓存溢出攻击

3.检测网络探测攻击

4.检测dos攻击

ips的优势与风险

1.ips deny action能够阻止除法宝,连接后续包,或者是所有源至攻击者的包。

2.ips能够使用流量规范化技术,减少或者消除很多网络逃避技术。

3.ips能够有效的阻止蠕虫

4.ips的错误或者损坏会影响到网络的流量

ids的优势和风险

1.ids不影响网络

2.id的损坏不会影响网络功能

3.一旦超过了ids的处理能力不会影响到网络流量,虽然这些数据不能够被ids分析

4.ids response action不能够阻止初始化包,也不能够保证阻止一个链接,ids的相应技术能够比较好的阻止一个攻击者而不是一个攻击。

5.ids更容易受到网络逃避技术的攻击。

1.能够看到所有的抵达你的网咯的流量

2.可能会出现大量的误报

3.不能够检测内部攻击

大部分攻击可能根本无法抵达网络内部,都被防火墙阻断了,但是你能够了解到外部攻击的情况,对攻击的尝试有一定的了解,对后续的防御起到预先判断的作用,

1.只能够看到被防火墙放行的流量

2.较少可能误报

3.需要及时对告警进行相应缺少了对外部攻击了解

标签:Explaining,Intrusion,攻击,能够,ids,网络,ips,防御,Prevention
From: https://www.cnblogs.com/smoke520/p/18357858

相关文章