網絡入侵簡介
典型的入侵行爲
- 篡改web網頁;
- 破解系統密碼;
- 複製/查看敏感數據;
- 使用網絡嗅探工具獲取用戶密碼;
- 訪問未經允許的服務器;
- 其他特殊硬件獲取原始網絡包;
- 向主機植入特洛伊木馬程序;
常見的入侵方式
- 未授權訪問
- 拒絕服務
- 假冒和欺詐
- 線路竊聽
- 計算機病毒
- 特洛伊木馬
- 後門和陷阱
- 電磁輻射
- 盜竊
系統漏洞
漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。漏洞問題具有時效性,隨着時間的推移,舊的漏洞會不斷消失,新的漏洞會不斷出現。漏洞問題會長期存在。
病毒
病毒是一種惡意代碼,可感染或附着在應用程序或文件中,一般通過郵件或文件共享進行傳播,威脅用戶主機和網絡的安全。有些病毒會耗盡主機資源、佔用網絡帶寬、竊取用戶數據、控制主機權限等。反病毒功能可以通過維護更新病毒特徵庫保護網絡安全,防止病毒文件侵害數據。
入侵檢測系統
入侵檢測(ID Intrusion Detection)通過監視各種操作,實時檢測入侵行爲的過程,是一種積極動態的安全防禦技術。
入侵檢測系統(IDS Intrusion Detection System)用於入侵檢測的所有軟硬件系統,一旦發現有違反安全策略的行爲或者系統存在被攻擊的痕跡時,立即啓動安全機制進行應對,例如斷開網絡、關閉整個系統、向管理員告警等。
入侵檢測系統的特點
- 監測速度快
- 隱蔽性好
- 視野更寬
- 較少的監測器
- 攻擊者不易轉移證據
- 操作系統無關性
- 不佔用被保護的系統資源
入侵檢測的原理
入侵檢測採用誤用檢測或異常檢測的方式,發現非授權或惡意的系統及網絡行爲,爲防範入侵行爲提供有效的手段。
入侵檢測原理
入侵檢測系統的結構
入侵檢測的技術實現
異常檢測模型(Anomaly Detection):首先總結正常操作應該具有的特徵,當用戶活動與正常行爲有重大偏離時即被認爲是入侵;異常檢測可以發現未知的攻擊方法。
誤用檢測模型(Misuse Detection):收集非正常操作的行爲特徵,建立相關的特徵庫;當檢測的用戶或系統行爲與庫中的記錄相匹配時,系統就認爲這種行爲是入侵。誤用檢測適用於對已知模式的可靠檢測。誤用檢測也稱爲特徵檢測(Signature-based Detection)
異常檢測與誤用檢測的優缺點
異常檢測
優點:
不需要專門維持操作系統缺陷特徵庫;
有效檢測對合法用戶的冒充檢測;
缺點:
建立正常的行爲輪廓和確定異常行爲輪廓的閾值困難;
不是所有的入侵行爲都會產生明顯的異常;
誤用檢測
優點:
可檢測所有已知的入侵行爲;
能夠明確入侵行爲並提示防範方法;
缺點:
缺乏對未知入侵行爲的檢測;
對內部人員的越權行爲無法進行檢測;
入侵防禦系統
入侵防禦技術
入侵防禦技術可以深度感知並檢測流經的數據流量,對惡意報文進行丟棄以阻斷攻擊,對濫用報文進行限流以保護網絡帶寬資源。入侵防禦技術是種既能發現又能阻止入侵行爲的新安全防禦技術。通過檢測發現網絡入侵後,能自動丟棄入侵報文或阻斷攻擊源,從而從根本上避免攻擊行爲。
入侵防禦技術優勢
實時阻斷攻擊:設備採用直路方式部署在網絡中,能夠在檢測到入侵時,實時對入侵活動和攻擊性網絡流量進行攔截,把其對網絡的入侵降到最低。
深層防護:由於新型的攻擊都隱藏在TCP/IP協議的應用層裏,入侵防禦能檢測報文應用層的內容,還可以對網絡數據流重組進行協議分析和檢測,並根據攻擊類型、策略等來確定哪些流量應該被攔截。
全方位防護:入侵防禦可以提供針對蠕蟲、病毒、木馬、僵屍網絡、間諜軟件、廣告軟件、CGI(Common Gateway Interface)攻擊、跨站腳本攻擊、注入攻擊、目錄遍歷、信息泄露、遠程文件包含攻擊、溢出攻擊、代碼執行、拒絕服務、掃描工具、後門等攻擊的防護措施,全方位防禦各種攻擊,保護網絡安全。
內外兼防:入侵防禦不但可以防止來自於企業外部的攻擊,還可以防止發自於企業內部的攻擊。系統對經過的流量都可以進行檢測,既可以對服務器進行防護,也可以對客戶端進行防護。
不斷升級,精準防護:入侵防禦特徵庫會根據持續更新特徵庫,以保持最高水平的安全性。您可以從升級中心定期升級設備的特徵庫,以保持入侵防禦的持續有效性
入侵防禦系統
入侵防禦系統(IPS, Intrusion Prevention System)是一種發現入侵行爲時能實時阻斷的入侵檢測系統。IPS使得IDS和防火牆走向統一。
IPS有兩種部署方式:
直路(Inline):串聯在網絡邊界,在線部署,在線阻斷。
旁路:
- SPAN也叫作端口鏡像或端口監控,接在交換機上,通過交換機做端口鏡像;
- TAP(Test Access Point)接在交換機與路由器之間,旁路安裝拷貝數據到IPS。
入侵檢測系統與入侵防禦系統對比
IDS主要作用是監控網絡狀況,但不會對入侵行爲採取動作。通常情況下,IDS設備會以旁路的方式接入網絡中,與防火牆聯動,發現入侵後通知防火牆進行阻斷。
IPS會發現入侵行爲並阻斷入侵行爲。與IDS不同的是,IPS會實時阻斷入侵行爲,是一種側重於風險控制的安全機制。
