网络入侵与防御全解析

不随意点击来路不明的网络链接，以防病毒入侵。 #生活常识# #生活安全# #网络安全意识#

网络入侵简介

典型的入侵行为 篡改web网页；破解系统密码；复制/查看敏感数据；使用网络嗅探工具获取用户密码；访问未经允许的服务器；其他特殊硬件获取原始网络包；向主机植入特洛伊木马程序； 常见的入侵方式 未授权访问拒绝服务假冒和欺诈线路窃听计算机病毒特洛伊木马后门和陷阱电磁辐射盗窃 系统漏洞

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞问题具有时效性，随着时间的推移，旧的漏洞会不断消失，新的漏洞会不断出现。漏洞问题会长期存在。

病毒

病毒是一种恶意代码，可感染或附着在应用程序或文件中，一般通过邮件或文件共享进行传播，威胁用户主机和网络的安全。有些病毒会耗尽主机资源、占用网络带宽、窃取用户数据、控制主机权限等。反病毒功能可以通过维护更新病毒特征库保护网络安全，防止病毒文件侵害数据。

入侵检测系统

入侵检测(ID Intrusion Detection)通过监视各种操作，实时检测入侵行为的过程，是一种积极动态的安全防御技术。

入侵检测系统(IDS Intrusion Detection System)用于入侵检测的所有软硬件系统，一旦发现有违反安全策略的行为或者系统存在被攻击的痕迹时，立即启动安全机制进行应对，例如断开网络、关闭整个系统、向管理员告警等。

入侵检测系统的特点 监测速度快隐蔽性好视野更宽较少的监测器攻击者不易转移证据操作系统无关性不占用被保护的系统资源 入侵检测的原理

入侵检测采用误用检测或异常检测的方式，发现非授权或恶意的系统及网络行为，为防范入侵行为提供有效的手段。

入侵检测原理

入侵检测系统的结构

入侵检测的技术实现

异常检测模型（Anomaly Detection）：首先总结正常操作应该具有的特征，当用户活动与正常行为有重大偏离时即被认为是入侵；异常检测可以发现未知的攻击方法。

误用检测模型(Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库；当检测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。误用检测适用于对已知模式的可靠检测。误用检测也称为特征检测(Signature-based Detection)

异常检测与误用检测的优缺点

异常检测

优点：
不需要专门维持操作系统缺陷特征库；
有效检测对合法用户的冒充检测；
缺点：
建立正常的行为轮廓和确定异常行为轮廓的阈值困难；
不是所有的入侵行为都会产生明显的异常；

误用检测

优点：
可检测所有已知的入侵行为；
能够明确入侵行为并提示防范方法；
缺点：
缺乏对未知入侵行为的检测；
对内部人员的越权行为无法进行检测；

入侵防御系统

入侵防御技术

入侵防御技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源。入侵防御技术是种既能发现又能阻止入侵行为的新安全防御技术。通过检测发现网络入侵后，能自动丢弃入侵报文或阻断攻击源，从而从根本上避免攻击行为。

入侵防御技术优势

实时阻断攻击：设备采用直路方式部署在网络中，能够在检测到入侵时，实时对入侵活动和攻击性网络流量进行拦截，把其对网络的入侵降到最低。

深层防护：由于新型的攻击都隐藏在TCP/IP协议的应用层里，入侵防御能检测报文应用层的内容，还可以对网络数据流重组进行协议分析和检测，并根据攻击类型、策略等来确定哪些流量应该被拦截。

全方位防护：入侵防御可以提供针对蠕虫、病毒、木马、僵尸网络、间谍软件、广告软件、CGI（Common Gateway Interface）攻击、跨站脚本攻击、注入攻击、目录遍历、信息泄露、远程文件包含攻击、溢出攻击、代码执行、拒绝服务、扫描工具、后门等攻击的防护措施，全方位防御各种攻击，保护网络安全。

内外兼防：入侵防御不但可以防止来自于企业外部的攻击，还可以防止发自于企业内部的攻击。系统对经过的流量都可以进行检测，既可以对服务器进行防护，也可以对客户端进行防护。

不断升级，精准防护：入侵防御特征库会根据持续更新特征库，以保持最高水平的安全性。您可以从升级中心定期升级设备的特征库，以保持入侵防御的持续有效性

入侵防御系统

入侵防御系统(IPS, Intrusion Prevention System)是一种发现入侵行为时能实时阻断的入侵检测系统。IPS使得IDS和防火墙走向统一。

IPS有两种部署方式：

直路(Inline)：串联在网络边界，在线部署，在线阻断。
旁路：

SPAN也叫作端口镜像或端口监控，接在交换机上，通过交换机做端口镜像；TAP(Test Access Point)接在交换机与路由器之间，旁路安装拷贝数据到IPS。

入侵检测系统与入侵防御系统对比

IDS主要作用是监控网络状况，但不会对入侵行为采取动作。通常情况下，IDS设备会以旁路的方式接入网络中，与防火墙联动，发现入侵后通知防火墙进行阻断。

IPS会发现入侵行为并阻断入侵行为。与IDS不同的是，IPS会实时阻断入侵行为，是一种侧重于风险控制的安全机制。

网址：网络入侵与防御全解析 https://www.yuejiaxmz.com/news/view/684516

相关内容

如何为数字社会构建安全、防入侵的网络
网络安全防御的措施
僵尸网络的检测与防御方法
网络安全意识也是基础防御中的关键一环
网络安全与信息安全：防护之道与实战技巧
组织入侵防御。依托军网安全防护基础设施和各类（）安全防护系统
网络安全与信息安全：防护之道与加密技术
网络安全防御小方法
网络安全常见十大漏洞总结（原理、危害、防御）
网络安全与信息安全：防范之道与实战技巧

随便看看