防火墙的高级检测技术IDS
入侵检测系统(IDS)
统计分析
统计分析方法首先给系统对象(如用户、文件、 目录和设备等)创建一个统计描述,统计正常使 用时的一些测量属性(如访问次数、操作失败次 数和延时等)
于行为的行为判断方法 能够检测超过授权的非法访问 IDS发生故障不会影响正常业务的运行 配置简单
基于主机的IDS(HIDS)
HIDS是配置在被保护的主机上的,用来检测针对 主机的入侵和攻击
主要分析的数据包括主机的网络连接状态、审计 日志、系统日志。
实现原理
配置审计信息 系统对审计数据进行分析(日志文件)
部 署 二
入侵检测的部署
检测器放置于防火墙的DMZ区域
可以查看受保护区域主机被攻击状态 可以看出防火墙系统的策略是否合理 可以看出DMZ区域被黑客攻击的重点
入侵检测的部署
检测器放置于路由器和边界防火墙之间
可以审计所有来自Internet上面对保护网络的攻击数目 可以审计所有来自Internet上面对保护网络的攻击类型
特点:异常检测系统的效率取决于用户轮廓的完 备性和监控的频率。因为不需要对每种入侵行为 进行定义,因此能有效检测未知的入侵。同时系 统能针对用户行为的改变进行自我调整和优化, 但随着检测模型的逐步精确,异常检测会消耗更 多的系统资源。
防火墙和ids的区别
一、防火墙和入侵检测系统的区别
1. 概念
1) 防火墙:防火墙是设置在被保护网络(本地网络)和外部网络(主要是Internet)之间的一道防御系统,以防止发生不可预测的、潜在的破坏性的侵入。它可以通过检测、限制、更改跨越防火墙的数据流,尽可能的对外部屏蔽内部的信息、结构和运行状态,以此来保护内部网络中的信息、资源等不受外部网络中非法用户的侵犯。
2) 入侵检测系统:IDS是对入侵行为的发觉,通过从计算机网络或计算机的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
3) 总结:从概念上我们可以看出防火墙是针对黑客攻击的一种被动的防御,IDS则是主动出击寻找潜在的攻击者;防火墙相当于一个机构的门卫,收到各种限制和区域的影响,即凡是防火墙允许的行为都是合法的,而IDS则相当于巡逻兵,不受范围和限制的约束,这也造成了ISO存在误报和漏报的情况出现。
2. 功能
防火墙的主要功能:
1) 过滤不安全的服务和非法用户:所有进出内部网络的信息都是必须通过防火墙,防火墙成为一个检查点,禁止未授权的用户访问受保护的网络。
2) 控制对特殊站点的访问:防火墙可以允许受保护网络中的一部分主机被外部网访问,而另一部分则被保护起来。
3) 作为网络安全的集中监视点:防火墙可以记录所有通过它的访问,并提供统计数据,提供预警和审计功能。
入侵检测系统的主要任务:
1) 监视、分析用户及系统活动
2) 对异常行为模式进行统计分析,发行入侵行为规律
3) 检查系统配置的正确性和安全漏洞,并提示管理员修补漏洞
常见的网络入侵检测系统(IDS)和入侵防御系统(IPS)
常见的网络入侵检测系统(IDS)和入侵防
御系统(IPS)
网络入侵检测系统(Intrusion Detection System,IDS)和入侵防御系统(Intrusion Prevention System,IPS)是当今网络安全领域中非常重要的组成部分。它们被广泛应用于各种网络环境中,包括企业网络、个人用户网络等。本文将介绍一些常见的网络入侵检测系统和入侵防御系统,并探讨它们的工作原理和应用。
一、网络入侵检测系统(IDS)
网络入侵检测系统用于监测网络中的异常活动和入侵行为。它通过分析网络流量和系统日志来发现潜在的入侵事件,并及时进行警报。IDS可以分为两种类型:基于签名的IDS和基于行为的IDS。
1.1 基于签名的IDS
基于签名的IDS使用预定义的规则集合(也称为签名)来检测已知的入侵行为。这些规则基于已知的攻击模式和攻击者使用的特定工具或技术。当网络流量或系统日志与这些签名匹配时,IDS会发出警报。
1.2 基于行为的IDS
基于行为的IDS通过对网络流量和系统行为的实时监测来检测未知的入侵行为。它使用机器学习和行为分析算法来建立正常网络活动的基线,当检测到偏离基线的行为时,IDS会发出警报。
二、入侵防御系统(IPS)
入侵防御系统与入侵检测系统类似,但不仅仅是检测入侵行为,还
可以主动地阻止潜在的攻击。IPS可以分为两种类型:基于规则的IPS
和基于行为的IPS。
2.1 基于规则的IPS
基于规则的IPS使用与IDS相似的签名规则集合来检测已知的入侵
行为,并采取相应的阻止措施,比如阻止源IP地址或关闭特定的网络
企业网络防火墙与入侵检测系统(IDS)的配合使用(八)
企业网络防火墙与入侵检测系统(IDS)的配合使用
在当今互联网时代,安全是企业网络建设中非常重要的一个部分。企业网络防火墙和入侵检测系统(IDS)是两个常用的安全工具,通过
它们的配合使用,可以更好地保护企业网络的安全。本文将探讨企业
网络防火墙和IDS的概念、功能以及它们如何相互配合。
一、企业网络防火墙
企业网络防火墙是一种用于保护企业网络安全的设备或软件。它
位于网络边界,并监控和过滤网络流量,以阻止未经授权的访问和恶
意攻击。企业网络防火墙可以根据预先设定的规则来判断流量的合法性,并根据规则对流量进行允许或拒绝的操作。
企业网络防火墙通过多层安全认证和访问控制机制来保护企业网络。它可以限制外部访问,并对非法的入侵行为进行监控和拦截。此外,企业网络防火墙还可以识别和隔离威胁,确保网络资源的安全和
可靠运行。
二、入侵检测系统(IDS)
入侵检测系统(IDS)是一种用于监控和检测网络入侵的设备或软件。IDS可以通过分析网络流量和处理事件日志等方式,检测和警告有可能造成安全漏洞的活动。它主要分为主机IDS和网络IDS两种类型。
主机IDS主要针对单个主机进行监控,监测主机上的异常行为和
活动。它可以监测是否有未经授权的程序运行、重复登录尝试等行为,
并及时报警。而网络IDS则是在整个企业网络中监测流量,包括内部
和外部的流量。它可以从网络流量中检测到潜在的入侵行为,并对其
进行记录和报警。
三、企业网络防火墙与IDS的配合使用
企业网络防火墙和IDS是两个不同的安全工具,它们在不同层面
上保护着企业网络的安全。企业在保障网络安全时,往往需要同时使
UTM,IDS和防火墙,三者的区别,各有什么优缺点,都用于什么场合?
UTM:根据IDC的定义,UTM是指能够提供广泛的网络保护的设备,它在一个单一的硬件平台下提供了以下的一些技术特征:防火墙、防病毒、入侵检测和防护功能。IDC的行业分析师们注意到,针对快速增长的混合型攻击(基于互联网的病毒已经开始在应用层发起攻击),需要一种灵活的、整合各种功能的UTM设备来防止这种攻击的快速蔓延。
IDS:IDS是Intrusion Detection System的缩写,即入侵检测系统,主要用于检测Hacker或Cracker通过网络进行的入侵行为。无须网络流量流经它便可以工作。IDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通信信息,另一种是在一台单独的机器上运行以监测所有网络设备的通信信息,比如Hub、路由器。
防火墙:一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。具有这样功能的硬件或软件,就是防火墙
第一个是技术系统,第二三两个是可以是系统的组成,也可以单毒存在.
应用场合:
UTM只有大企业才会使用,IDS信息产业相关的中小型企业使用,防火墙几乎每
个都会人用.
组成属性来分,UTM包括IDS和防火墙等.在网络中,IDS位于防火墙之前.
IDS技术原理PPT课件
基于知识的检测-----模型推理
模型推理是指结合攻击脚本推理出入侵行为是否 出现。其中有关攻击者行为的知识被描述为:攻 击者目的,攻击者达到此目的的可能行为步骤, 以及对系统的特殊使用等。根据这些知识建立攻 击脚本库,每一脚本都由一系列攻击行为组成。
基于知识的检测-----状态转换分析
状态转换法将入侵过程看作一个行为序列,这个行 为序列导致系统从初始状态转入被入侵状态。分析 时首先针对每一种入侵方法确定系统的初始状态和 被入侵状态,以及导致状态转换的转换条件,即导 致系统进入被入侵状态必须执行的操作(特征事件)。 然后用状态转换图来表示每一个状态和特征事件, 这些事件被集成于模型中,所以检测时不需要一个 个地查找审计记录。但是,状态转换是针对事件序 列分析,所以不善于分析过分复杂的事件,而且不 能检测与系统状态无关的入侵。
IDS系统结构---探测引擎
采用旁路方式全面侦听网上信息流,实时分析 将分析结果与探测器上运行的策略集相匹配 执行报警、阻断、日志等功能。 完成对控制中心指令的接收和响应工作。 探测器是由策略驱动的网络监听和分析系统。
IDS的基本结构 ----引擎的功能结构
IDS系统结构-----控制中心
入侵检测系统
攻击者
Intranet
router
Firewall
DMZ
发现攻击
Servers
防火墙、IDS、IPS、漏洞扫描基础知识
ids的分类
ids的分类
IDS的分类
网络安全是当前世界上的一个热门话题,随着互联网的发展,网络攻击也变得越来越普遍。为了保护计算机系统和网络免受黑客和恶意软件的攻击,人们开发了许多安全工具,其中之一就是入侵检测系统(IDS)。IDS是一种能够检测和报告网络攻击行为的安全技术。本文将介绍IDS的分类。
1. 基于网络位置的分类
基于网络位置可以将IDS分为两类:主机型IDS和网络型IDS。
1.1 主机型IDS
主机型IDS运行在单个主机上,用于检测该主机是否受到攻击。它可以监视主机上运行的进程、文件和系统调用等信息,并根据这些信息判断是否存在异常活动。常见的主机型IDS包括Tripwire、AIDE等。
1.2 网络型IDS
网络型IDS则运行在整个网络中,用于检测整个网络是否受到攻击。它可以监视整个网络中流经其所连接交换机或路由器上的数据流,并根据这些数据流判断是否存在异常活动。常见的网络型IDS包括Snort、Suricata等。
2. 基于检测方法的分类
基于检测方法可以将IDS分为两类:基于特征的IDS和基于行为的IDS。
2.1 基于特征的IDS
基于特征的IDS通过比较网络流量或主机日志与已知攻击模式的数据库,来检测是否存在已知攻击。这种方法需要维护一个巨大的攻击模式库,并且只能检测已知攻击,无法检测新型攻击。常见的基于特征的IDS包括Snort、Suricata等。
2.2 基于行为的IDS
基于行为的IDS则是通过对系统和网络活动进行分析,来检测是否存在异常行为。这种方法可以检测未知攻击,但也容易误报。常见的基于行为的IDS包括Bro、OSSEC等。
信息对抗技术-ids
纪录下来的日志具有如下格式: [**] [1:0:0] glacier [**] [Priority: 0] 02/14-09:32:25.367646 202.115.14.1 11123> 202.115.14.147 7026 TCP TTL:255 TOS:0x0 ID:46482 IpLen:20 DgmLen:60
按IDS结构分类
基于主机的入侵检测系统 基于主机的入侵检测系统历史最久,多用 户计算机系统出现不久已有雏形.最早用于审 计用户的活动,比如用户的登陆,命令操作, 应用程序使用资源情况等方面.此类系统一般 使用操作系统的审计日志作为输入,某些也会 主动与主机系统交互获得其它信息.收集的信 息集中在系统调用和应用层审计上,试图从日 志记录中判断出滥用和入侵事件的线索.典型 的有NIDES和NetStat
�
Snort的规则中还有一个重要的选项,就 是content,它指出如果报文中包含指定 的字符串就告警. alert tcp any any -> any any (content: "hell"). 比如上面的规则就表明,如果报文中包含 hell字符串就告警.
很明显,snort的准确率依赖规则的准确 性,更为重要的是,其判断依据往往会 造成虚假告警或遗漏. Snort也对其加以改进.比如,它增加了 一中规则叫动态规则,就是,当一个规 则满足后,检测另外一条规则.这里有 一定专家系统的影子.
防火墙技术中的IDS功能研究
防火墙技术中的IDS功能研究随着网络技术的发展,网络安全的问题也逐渐成为人们关注的
焦点。网络攻击行为频繁发生,导致许多网络安全问题,并给数
据的安全性和隐私性带来严重的威胁。防火墙作为网络安全的重
要组成部分之一,其主要功能是在网络边界上监控、过滤和控制
网络数据流。但是,传统的防火墙技术只能提供有限的安全保护,并不能完全保障网络的安全性。为了提高网络的安全性,防火墙
需要增加支持IDS(入侵检测系统)功能,以便更好地检测并对
抗网络攻击行为。
一、IDS功能简介
IDS是一种能够自动地对网络流量进行扫描、监控和分析的软
件或硬件设备。其主要功能是检测网络中的入侵性行为,并在发
现异常情况时即时地抛出警报。IDS系统通常由两个部分组成:
传感器(Sensor)和管理台(Management Console)。传感器的作
用是收集网络流量,检测入侵行为,同时传输结果给管理台。管
理台负责显示传感器所收集到的结果,并向管理员发送警报。
IDS具有良好的可扩展性和自适应性特点,可以根据不同的安
全需求和网络特点进行定制。
二、IDS功能的组成原理
IDS具有三大组成部分:数据采集模块、事件处理模块和警报处理模块。
1.数据采集模块:数据采集模块主要负责从网络中采集数据,并传输给IDS系统。传感器根据预先编写的检测规则来检查网络流量,当发现预定义的行为时,IDS将数据保存在数据库中,然后将相关警报发送到管理台。传感器可以通过几种不同的方式收集数据,例如监听网络流量、存取其他设备上的数据或者直接接入感兴趣的设备。
2.事件处理模块:事件处理模块负责处理传感器所收集到的事件。首先对传感器获取的数据进行分类分析,并识别可能的安全威胁。然后起草一个事件报告,并同时生成一个事件记录以便后续进行递交或审查。
防火墙--概念【转】「网络安全」安全设备篇(防火墙-IDS-IPS)
防⽕墙--概念【转】「⽹络安全」安全设备篇(防⽕墙-IDS-
IPS)
什么是防⽕墙?
防⽕墙是指设置在不同⽹络(如可信任的企业内部⽹和不可信的公共⽹)或⽹络安全域之间的⼀系列部件的组合。它可以通过监测、限制、更改跨越防⽕墙的数据流,尽可能地对外部屏蔽⽹络内部的信息、结构和运⾏状况,以此来实现⽹络的安全保护。在逻辑上,防⽕墙是⼀个分离器,⼀个限制器,也是⼀个分析器,有效地监控了内部⽹和Internet之间的任何活动,保证了内部⽹络的安全。
防⽕墙(Firewall),是⼀种硬件设备或软件系统,主要架设在内部⽹络和外部⽹络间,为了防⽌外界恶意程式对内部系统的破坏,或者阻⽌内部重要信息向外流出,有双向监督功能。藉由防⽕墙管理员的设定,可以弹性的调整安全性的等级。
防⽕墙分类及原理
防⽕墙总体上分为包过滤、应⽤级⽹关和代理服务器等⼏⼤类型。包含如下⼏种核⼼技术:
1、包过滤技术
包过滤技术是⼀种简单、有效的安全控制技术,它⼯作在⽹络层,通过在⽹络间相互连接的设备上加载允许、禁⽌来⾃某些特定的源地址、⽬的地址、TCP端⼝号等规则,对通过设备的数据包进⾏检查,限制数据包进出内部⽹络。
包过滤的最⼤优点是对⽤户透明,传输性能⾼。但由于安全控制层次在⽹络层、传输层,安全控制的⼒度也只限于源地址、⽬的地址和端⼝号,因⽽只能进⾏较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等⾼层次的攻击⼿段,则⽆能为⼒。
2、应⽤代理技术
应⽤代理防⽕墙⼯作在OSI的第七层,它通过检查所有应⽤层的信息包,并将检查的内容信息放⼊决策过程,从⽽提⾼⽹络的安全性。
网络入侵检测IDSIPS协议详解
网络入侵检测IDSIPS协议详解网络入侵检测(IDS)和入侵防御系统(IPS)协议详解
网络安全是当今社会中的重要话题,对网络入侵检测系统(IDS)和入侵防御系统(IPS)的需求也随之增加。IDS和IPS是用于保护网络免受入侵和恶意攻击的关键工具。本文将详细介绍网络入侵检测系统和入侵防御系统的协议及其工作原理。
一、IDS和IPS概述
1. IDS概述
网络入侵检测系统(IDS)是一种用于监控和分析网络流量的安全设备。IDS通过收集、分析网络数据包,识别潜在的威胁和异常活动。IDS可以帮助网络管理员及时发现和响应网络入侵事件,保护网络的安全。
2. IPS概述
入侵防御系统(IPS)是在IDS的基础上进一步发展而来的一种强化型设备。IPS不仅可以检测网络入侵事件,还可以自动响应并阻止这些攻击或异常流量。与IDS相比,IPS能够提供更主动的保护机制,实时防御网络攻击。
二、IDS和IPS的协议及其工作原理
1. 报文过滤(Packet Filtering)
报文过滤是IDS和IPS的基础协议之一。它通过检查网络数据包的
源和目的IP地址、端口号以及其他协议头部信息,来判断是否允许或
丢弃该数据包。报文过滤是一种简单有效的方法,可以防止一些已知
的攻击,但对于一些复杂和隐蔽的攻击则可能无法保护。
2. 签名检测(Signature-based Detection)
签名检测是IDS和IPS的另一种常用协议。它基于已知的攻击和漏
洞的特征进行匹配,一旦匹配成功就会触发警报或进行阻断。签名检
测可以准确地识别已知攻击,但却无法识别新型的未知攻击。
网络安全防护的入侵检测与阻断
网络安全防护的入侵检测与阻断网络安全是当今社会中不可忽视的重要议题。随着互联网的迅速发
展和广泛应用,网络安全问题也日益突出。在网络世界中,入侵检测
与阻断是保护系统和数据安全的关键措施之一。本文将重点讨论网络
安全防护中的入侵检测与阻断技术。
一、入侵检测技术
入侵检测系统(Intrusion Detection System,简称IDS)是一种用于
实时监控和检测网络系统中可能存在的攻击行为的技术。IDS主要通过对网络流量、系统日志和行为特征进行分析来识别潜在的入侵行为。
1. 主机入侵检测系统(Host-based IDS)
主机入侵检测系统主要集中于对单个主机进行监测和检测,通过监
视主机的日志、文件系统、注册表等信息来识别可能存在的入侵行为。主机入侵检测系统具有较高的灵敏度和准确性,但也容易受到主机本
身安全性的影响。
2. 网络入侵检测系统(Network-based IDS)
网络入侵检测系统主要关注网络流量,通过对网络数据包的监视和
分析来判断是否存在入侵行为。网络入侵检测系统可以实时检测网络
流量,及时发现并阻断潜在的攻击行为,但也容易受到网络带宽的限制。
3. 综合入侵检测系统(Hybrid IDS)
综合入侵检测系统结合了主机入侵检测系统和网络入侵检测系统的优点,既可以监测主机的安全状态,又可以分析网络流量,从而提高入侵检测的准确性和灵敏度。
二、入侵阻断技术
入侵阻断是指通过一系列措施来阻止入侵行为的进行,以保护系统和数据的安全。入侵阻断技术通常包括以下几个方面。
1. 防火墙(Firewall)
入侵检测系统(IDS)基本介绍
入侵检测系统(IDS)基本介绍
入侵检测是信息安全领域很热门的话题之一,本文主要是介绍入侵检测系统的一些基本知识。
1入侵检测的必要性
谈到网络安全,人们第一个想到的是防火墙。但随着技术的发展,网络日趋复杂,传统防火墙所暴露出来的不足和弱点引出了人们对入侵检测系统技术的研究和开发。传统的防火墙在工作时,会有两个方面的不足。首先,防火墙完全不能阻止来自内部的袭击,其次,由于性能的限制,防火墙通常不能提供实时的入侵检测能力,而这一点,对于现在层出不穷的攻击技术来说是至关重要的。入侵检测系统可以弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段。
2 入侵检测的定义
入侵检测(intrusion detection)简单地说就是通过实时地分析数据来检测、记录和终止非法的活动或入侵的能力。在实际应用中,入侵检测比以上简单的定义要复杂得多,一般是通过各种入侵检测系统(Intrusion Detection System—IDS)来实现各种入侵检测的功能。入侵检测系统通过对入侵行为的过程与特征进行研究,使安全系统对入侵事件和入侵过程作出实时响应,包括切断网络连接、记录事件和报警等。
入侵检测系统主要执行如下任务:
⏹监视、分析用户及系统活动。
⏹系统构造和弱点的审计。
⏹识别反映已知进攻的活动模式并向相关人士报警。
⏹异常行为模式的统计分析。
⏹评估重要系统和数据文件的完整性。
⏹操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
3入侵检测系统的分类
根据检测数据的采集来源,入侵检测系统可以分为:基于网络的入侵检测系统(NIDS)和基于主机的入侵检测系统(HIDS):
防火墙IDS
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
我们做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在:
(1)尽可能靠近攻击源
(2)尽可能靠近受保护资源
这些位置通常是:
·服务器区域的交换机上
·Internet接入路由器之后的第一台交换机上
·重点保护网段的局域网交换机上
经典的入侵检测系统的部署方式如图所示。
网络安全中的攻防技术
网络安全中的攻防技术
近年来,随着互联网技术的发展和普及,网络安全问题一直是备受关注的话题。在网络空间中,攻击者和防御方的斗争日益激烈,攻防技术也在不断地深入发展。本文将介绍网络安全中的攻防技术,包括入侵检测、IDS、IPS、Web应用防火墙、黑客攻击手法以及安全审计等内容。
一、入侵检测
入侵检测是一种通过对网络流量、系统日志等进行监控和分析,从中检测出潜
在的安全威胁或攻击行为的技术。入侵检测可以分为主机入侵检测和网络入侵检测两类。主机入侵检测主要针对主机资源的安全,通过监控主机操作系统、应用程序以及系统日志等信息,发现异常行为。网络入侵检测主要针对网络层面的安全,通过对网络流量的分析,发现恶意流量或攻击行为。
二、IDS
IDS(入侵检测系统)是一种基于入侵检测技术实现的安全防护系统,其主要
功能是实时监控网络中流动的数据包,进行异常检测和安全事件管理。IDS主要分
为网络IDS和主机IDS两类。网络IDS在网络层面进行安全监测,可以通过嗅探
模式或镜像模式进行流量检测和分析。主机IDS则是在主机上部署一个轻量级的
代理,用于监控主机上运行的应用程序、系统日志等信息。
三、IPS
IPS(入侵防御系统)是一种主动防御系统,常见的策略包括防止重放攻击、
拒绝服务攻击、防止SQL注入、防范跨站点脚本攻击等。IPS通过监控网络流量,对异常流量进行检测,过滤并阻止恶意流量。与IDS不同,当IPS监测到可疑流量时,它可以主动采取防御措施。
四、Web应用防火墙
Web应用防火墙是针对Web应用程序的一种安全防护设备。它能够检测并防
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙的高级检测技术IDS
更多防火墙相关文章:防火墙应用专区
多年来,企业一直依靠状态检测防火墙、入侵检测系统、基于主机的防病毒系统和反垃圾邮件解决方案来保证企业用户和资源的安全。但是情况在迅速改变,那些传统的单点防御安全设备面临新型攻击已难以胜任。为了检测出最新的攻击,安全设备必须提高检测技术。本文着重介绍针对未知的威胁和有害流量的检测与防护,在防火墙中多个前沿的检测技术组合在一起,提供启发式扫描和异常检测,增强防病毒、反垃圾邮件和其它相关的功能。
新一代攻击的特点
1、混合型攻击使用多种技术的混合-—如病毒、蠕虫、木马和后门攻击,往往通过Email 和被感染的网站发出,并很快的传递到下一代攻击或攻击的变种,使得对于已知或未知的攻击难以被阻挡。这种混合型攻击的例子有Nimda、CodeRed和Bugbear等。
2、现在针对新漏洞的攻击产生速度比以前要快得多。防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的威胁变得尤其重要。
3、带有社会工程陷阱元素的攻击,包括间谍软件、网络欺诈、基于邮件的攻击和恶意Web站点等数量明显的增加。攻击者们伪造合法的应用程序和邮件信息来欺骗用户去运行它们。
图1 Gartner发布的漏洞与补丁时间表
传统的安全方法正在失效
如今最流行的安全产品是状态检测防火墙、入侵检测系统和基于主机的防病毒软件。但是它们面对新一代的安全威胁却作用越来越小。状态检测防火墙是通过跟踪会话的发起和状态来工作的。状态检测防火墙通过检查数据包头,分析和监视网络层(L3)和协议层(L4),基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略。这些方法包括:
(1)利用端口扫描器的探测可以发现防火墙开放的端口。
(2)攻击和探测程序可以通过防火墙开放的端口穿越防火墙。
(3)PC上感染的木马程序可以从防火墙的可信任网络发起攻击。由于会话的发起方来自于内部,所有来自于不可信任网络的相关流量都会被防火墙放过。当前流行的从可信任网络发起攻击应用程序包括后门、木马、键盘记录工具等,它们产生非授权访问或将私密信息发送给攻击者。
较老式的防火墙对每一个数据包进行检查,但不具备检查包负载的能力。病毒、蠕虫、木马和其它恶意应用程序能未经检查而通过。
当攻击者将攻击负载拆分到多个分段的数据包里,并将它们打乱顺序发出时,较新的深度包检测防火墙往往也会被愚弄。
对深度检测的需求
现今为了成功的保护企业网络,安全防御必须部署在网络的各个层面,并采用更新的检测和防护机制。用于增强现有安全防御的一些新型安全策略包括:
设计较小的安全区域来保护关键系统。
增加基于网络的安全平台,以提供在线(“in-line”)检测和防御。
采用统一威胁管理(Unified Threat Management,简称UTM),提供更好的管理、攻击关联,降低维护成本。
研究有效的安全策略,并培训用户。
增加基于网络的安全
基于网络的安全设备能够部署在现有的安全体系中来提高检测率,并在有害流量进入公
司网络之前进行拦截。基于网络的安全设备在线(“in-line”)部署,阻挡攻击的能力要比传统的依靠镜像流量的“旁路式”安全设备强得多。基于网络的安全设备的例子包括入侵防御系统(IPS)、防病毒网关、反垃圾邮件网关和统一威胁管理(UTM)设备。UTM设备是将多种安全特性相结合的统一安全平台。除了实时阻挡攻击之外,基于网络的安全还包括以下优点: 减少维护成本。攻击特征、病毒库和探测引擎可以对单台设备而不是上百台主机更新。
升级对于用户、系统或者应用来说是透明的,无需停机,更新可以实时进行——不像操作系统和应用程序打补丁那样需要重启系统。
保护在基于网络的安全设备后面的所有主机,因此减少了基于主机的病毒特征库、操作系统补丁和应用程序补丁升级的急迫性,使IT专业人员在发生问题之前有较充分的时间来测试补丁。
保持以前使用的设备、操作系统和应用,无需将它们都升级到最新的版本。
在网络边界或关键节点上阻挡攻击,在恶意流量进入公司网络之前将其拦截。
不像基于主机的安全应用那样可能被最终用户或恶意程序关闭。
可与已有的安全技术共存并互补。
高级安全检测技术
作为UTM安全设备的领导厂商,Fortinet(飞塔)公司的FortiGate安全平台通过动态威胁防御技术、高级启发式异常扫描引擎提供了较好的检测能力,包括:
集成关键安全组件的状态检测防火墙。
可实时更新病毒和攻击特征的网关防病毒。
IDS和IPS预置一千多个攻击特征,并提供用户定制特征的机制。
VPN(支持PPTP、L2TP、IPSec,和SSL VPN)。
反垃圾邮件具备多种用户自定义的阻挡机制,包括黑白名单和实时黑名单(RBL)。
Web内容过滤具有用户可定义的过滤和全自动过滤服务。
带宽管理防止带宽滥用。
用户认证,防止非授权的网络访问。
动态威胁防御提供先进的威胁关联技术。
ASIC加速提供比基于PC工控机的安全方案高出4-6倍的性能。
加固的操作系统,不含第三方组件,保证了物理上的安全。
完整的系列支持服务,包括日志和报告生成器、客户端安全组件。
动态威胁防御系统
Fortinet的动态威胁防御系统(DTPS)是超越传统防火墙、针对已知和未知威胁、提升检测能力的技术。它将防病毒、IDS、IPS和防火墙模块中的有关攻击的信息进行关联,并将各种安全模块无缝地集成在一起。DTPS技术使每一个安全功能之间可以互相通信,并关联“威胁索引”信息,以识别可疑的恶意流量,这些流量可能还未被提取攻击特征。通过跟踪每一安全组件的检测活动,DTPS能降低误报率,以提高整个系统的检测精确度。相比之下,由多个不同厂商的安全部件(防病毒、IDS、IPS、防火墙)组合起来的安全方案则缺乏协调检测工作的能力。
图2 动态威胁防御系统的体系结构图
为了使性能达到最佳,所有会话流量首先被每一个安全和检测引擎使用已知特征进行分析。特征模式结合由硬件加速的精简模式识别语言是当前识别已知攻击最快的方法。如果发现了特征的匹配,DTPS按照在行为策略中定义的规则来处理有害流量——丢弃、重置客户端、重置服务器、中止会话等。安全防护响应网络可提供病毒库、IDS/IPS特征以及安全引擎最新版本,以保持实时更新。这就保证了基于最新特征的威胁会被识别出来,并被快速