核心内容摘要
完整演示 Git Flow 所有分支的创建与流转过程的 实操命令示例
前言入侵防御Intrusion Prevention SystemIPS是一种安全机制它基于行为检测、特征库匹配以及威胁建模等方法检测入侵行为包括木马、蠕虫、僵尸网络、间谍软件等并通过一定的响应方式实时地中止入侵行为。
近年来网络入侵向多样化和隐蔽化的方向发展企业在处理海量流量的同时需要面临其中潜藏的恶意流量的威胁使用入侵防御技术可以实现对入侵行为的主动检测和快速处理保护企业信息系统和网络架构免受侵害。
01为什么需要入侵防御?入侵是指在未经授权的情况下对信息系统资源进行访问、窃取和破坏等一系列使信息系统不可靠或不可用的行为。
常见的入侵方式包括大众熟悉的木马、蠕虫、注入攻击、僵尸网络、DDoS攻击、跨站脚本攻击、暴力破解等。
近年来间谍软件和广告软件等灰色软件的占比也日益增加。
入侵朝着利益驱动、多方面渗透的方向发展。
根据国家互联网应急中心发布的《2020年中国互联网网络安全报告》统计2020年全年捕获恶意程序样本数量超过4200万个被恶意程序攻击的IP地址高达5000多万个。
以一个企业为例可能遭受的入侵行为如下网络黑客利用注入攻击获得服务器的数据库修改权限造成企业数据泄露或被破坏。
网络黑客利用系统软件漏洞在企业内部传播木马软件。
短时间内向目标网站发起大规模DDoS攻击恶意占用网络资源影响企业正常对外提供服务。
在企业员工经常访问的外部网站上植入恶意代码。
当企业员工访问网站时获取员工的帐号、Cookie等信息伪造员工的上网操作。
向企业员工发送钓鱼邮件引诱企业员工点击邮件中的虚假网站链接或者下载非法附件。
钓鱼邮件可造成公司信息泄露、恶意软件植入、信息系统被入侵等后果直接引发经济损失。
导致这些入侵行为得逞的重要因素之一就是各类系统中存在的安全漏洞。
安全漏洞指的是硬件、软件、协议实现或系统安全策略上存在的缺陷攻击者通过这些缺陷能够对系统进行非法访问或破坏。
历史上著名的“心脏滴血”、“永恒之蓝”等安全漏洞都曾经造成过重大安全威胁。
虽然系统供应商会从安全事件中识别到安全漏洞并发布补丁或新的版本来修复系统安全漏洞。
但是系统供应商的更新需要一定的周期。
入侵防御技术的主要工作就是检测和防御针对各种安全漏洞的攻击在系统供应商更新之前也能提供安全防护能力。
因此入侵防御也成为了企业基础网络安全建设的重要组成部分。
02入侵防御是如何工作的入侵防御即对入侵行为的防御通常使用以下几种技术进行入侵行为的检测**基于签名的检测技术**该方法将网络流量与已知威胁的签名进行匹配。
签名代表了入侵行为的特征如果该流量匹配了签名则判定为入侵行为的恶意流量。
但该方法只能识别出已有签名的入侵而无法识别新的入侵。
**基于异常的检测技术**该方法通过采集网络活动的随机样本并与基线标准进行比较来判断是否为入侵行为。
基于异常的检测技术比基于签名的检测技术识别范围更广但也增加了误报的风险。
**基于安全策略的检测技术**该方法使用频率低于前两种网络管理员会在设备上配置安全策略。
任何违反这些策略的访问行为会被阻止。
检测到入侵行为后入侵防御可以根据配置的响应动作进行自动处置包括产生告警、丢弃数据包、阻止来自源地址的流量或重置连接。
下面以华为入侵防御技术为例介绍入侵防御的具体工作流程如下图所示华为入侵防御采用基于签名和基于策略的技术进行入侵行为的识别。
**安全策略匹配**当流量匹配到动作为允许的安全策略且该安全策略引用了入侵防御配置文件时进入入侵防御流程。
设备对流量进行入侵防御处理。
**报文重组**设备进行IP分片报文重组以及TCP流重组确保应用层数据的连续性。
这样设备才能在接下来的流程中有效检测出逃避入侵防御检测的攻击行为。
**应用协议识别和解析**设备根据报文内容识别出具体的应用层协议并对协议进行深度解析以提取报文特征。
与传统只能根据IP地址和端口识别协议相比应用协议识别大大提高了应用层攻击行为的检出率。
另外在这个阶段设备还能识别出协议异常过滤掉不符合协议格式和规范的数据报文。
**签名匹配**设备将解析后的报文特征与入侵防御特征库中的签名进行匹配。
如果匹配了签名则进行响应处理。
签名代表了入侵行为的特征。
华为安全研究人员持续跟踪网络安全态势分析入侵行为的特征并更新到入侵防御特征库中。
设备定期从华为安全中心下载最新的入侵防御特征库就可以及时有效地防御网络入侵。
**响应处理**报文匹配了签名后由入侵防御配置文件决定是否对报文进行响应处理以及如何对报文进行处理告警或阻断。
入侵防御配置文件主要包含签名过滤器、例外签名两部分。
签名过滤器是管理员根据网络和业务状况配置的筛选签名的过滤条件集合。
设备只对过滤器筛选出的签名对应的攻击进行防御以免海量攻击日志淹没关键的攻击信息。
另外设备还提供例外签名功能当过滤器统一设置的动作不满足需要时管理员可以针对单个签名配置对应攻击的处理动作。
03入侵防御系统的类型当前主流入侵防御系统有以下几种类型可以用于不同场景的部署。
包括**网络入侵防御系统Network intrusion prevention systemNIPS**NIPS安装在网络出口以检测所有网络流量并主动扫描威胁。
**主机入侵防御系统Host intrusion prevention systemHIPS**HIPS安装在终端上仅检测该设备进出方向的流量通常与NIPS结合使用。
**网络行为分析Network behavior analysisNBA**NBA用于分析网络流量通过检测异常流量发现新的恶意软件或零日漏洞。
**无线入侵防御系统Wireless intrusion prevention systemWIPS**WIPS用于扫描Wi-Fi网络中是否有未经授权的访问并从网络中删除未经授权的设备。
04入侵检测系统 vs 入侵防御系统入侵检测系统Intrusion Detection SystemIDS是入侵检测技术发展初期提出的产品形态和入侵防御系统主要差别如下**部署方式**IDS通常采用旁路方式进行部署并不参与数据流的转发需要将所有所关注的流量都必须镜像到IDS端口上而IPS通常采用直路方式串联部署在网络中数据流需要经过IPS处理后再进行转发。
**实现功能**IDS仅仅是一种检测设备它自身并不能阻挡攻击只能起到报警的作用如果需要对攻击进行防御需要与防火墙进行联动由防火墙上的安全策略阻挡攻击行为而IPS可以对攻击行为直接进行检测和处理不需要其他网络设备配合。
**响应速度**IDS通过镜像数据流方式检测攻击行为在检测的同时数据流已经或者正在被网络设备转发无论IDS通过报警或者防火墙联动方式对攻击行为进行处理都是一种事后处理方式对于单数据包攻击行为往往力不从心无能为力而IPS则是对数据包先进行安全检查由安全检查的结果再确定数据包的处理情况能做到及时响应和处理。
总之IDS设备不会对入侵行为采取即使动作是一种侧重于风险管理的安全机制。
当前华为提供的专业入侵防御设备和具备入侵防御功能的防火墙都同时具备IDS和IPS功能管理员可根据实际组网需要进行选择。
学习资源如果你是也准备转行学习网络安全黑客或者正在学习这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你知识库由360智榜样学习中心独家打造出品旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力熟练掌握基础攻防到深度对抗。
知识库价值深度 本知识库超越常规工具手册深入剖析攻击技术的底层原理与高级防御策略并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等提供了独到的技术视角和实战验证过的对抗方案。
广度 面向企业安全建设的核心场景渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点是应对复杂攻防挑战的实用指南。
实战性 知识库内容源于真实攻防对抗和大型演练实践通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
部分核心内容展示360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。
内容组织紧密结合攻防场景辅以大量真实环境复现案例、自动化工具脚本及配置解析。
通过策略讲解、原理剖析、实战演示相结合是你学习过程中好帮手。