IDS与IPS
???IDS是英文“Intrusion Detection Systems”的縮寫,中文意思是“***檢測系統”。專業上講就是依照一定的安全策略,對網絡、系統的運行狀況進行監視,盡可能發現各種***企圖、***行為或者***結果,以保證網絡系統資源的機密性、完整性和可用性。
我們做一個形象的比喻:假如防火墻是一幢大樓的門鎖,那么IDS就是這幢大樓里的監視系統。一旦小偷爬窗進入大樓,或內部人員有越界行為,只有實時監視系統才能發現情況并發出警告。
不同于防火墻,IDS***檢測系統是一個監聽設備,沒有跨接在任何鏈路上,無須網絡流量流經它便可以工作。因此,對IDS的部署,唯一的要求是:IDS應當掛接在所有所關注流量都必須流經的鏈路上。在這里,"所關注流量"指的是來自高危網絡區域的訪問流量和需要進行統計、監視的網絡報文。在如今的網絡拓撲中,已經很難找到以前的HUB式的共享介質沖突域的網絡,絕大部分的網絡區域都已經全面升級到交換式的網絡結構。因此,IDS在交換式網絡中的位置一般選擇在:
(1)盡可能靠近***源
(2)盡可能靠近受保護資源
這些位置通常是:
·服務器區域的交換機上
·Internet接入路由器之后的第一臺交換機上
·重點保護網段的局域網交換機上
防火墻和IDS可以分開操作,IDS是個監控系統,可以自行選擇合適的,或是符合需求的,比如發現規則或監控不完善,可以更改設置及規則,或是重新設置!
◎早期的IDS僅僅是一個監聽系統,在這里,你可以把監聽理解成竊聽的意思。基于目前局網的工作方式,IDS可以將用戶對位于與IDS同一交換機/HuB的服務器的訪問、操作全部記錄下來以供分析使用,跟我們常用的windows操作系統的事件查看器類似。再后來,由于IDS的記錄太多了,所以新一代的IDS提供了將記錄的數據進行分析,僅僅列出有危險的一部分記錄,這一點上跟目前windows所用的策略審核上很象;目前新一代的IDS,更是增加了分析應用層數據的功能,使得其能力大大增加;而更新一代的IDS,就頗有“路見不平,拔刀相助”的味道了,配合上防火墻進行聯動,將IDS分析出有敵意的地址阻止其訪問。
就如理論與實際的區別一樣,IDS雖然具有上面所說的眾多特性,但在實際的使用中,目前大多數的***檢測的接入方式都是采用pass-by方式來偵聽網絡上的數據流,所以這就限制了IDS本身的阻斷功能,IDS只有靠發阻斷數據包來阻斷當前行為,并且IDS的阻斷范圍也很小,只能阻斷建立在TCP基礎之上的一些行為,如Telnet、FTP、HTTP等,而對于一些建立在UDP基礎之上就無能為力了。因為防火墻的策略都是事先設置好的,無法動態設置策略,缺少針對***的必要的靈活性,不能更好的保護網絡的安全,所以IDS與防火墻聯動的目的就是更有效地阻斷所發生的***事件,從而使網絡隱患降至較低限度。
二: Intrusion Prevention System , ***防御系統
***預防系統(IPS: Intrusion Prevention System)是電腦網路安全設施,是對防病毒軟體(Antivirus Programs)和防火墻(Packet Filter, Application Gateway)的補充。 ***預防系統(Intrusion-prevention system)是一部能夠監視網絡或網絡設備的網絡資料傳輸行為的計算機網絡安全設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害信得網絡資料傳輸行為。
網路安全
隨著電腦的廣泛應用和網路的不斷普及,來自網路內部和外部的危險和犯罪也日益增多。20年前,電腦病毒(電腦病毒)主要通過軟盤傳播。后來,用戶打開帶有病毒的電子信函附件,就可以觸發附件所帶的病毒。以前,病毒的擴散比較慢,防毒軟體的開發商有足夠的時間從容研究病毒,開發防病毒、殺病毒軟體。而今天,不僅病毒數量劇增,質量提高,而且通過網路快速傳播,在短短的幾小時內就能傳遍全世界。有的病毒還會在傳播過程中改變形態,使防毒軟體失效。
目前流行的***程序和有害代碼如 DoS (Denial of Service),DDoS (Distributed DoS),暴力猜解(Brut-Force-Attack),埠掃描(Portscan),嗅探,病毒,蠕蟲,垃圾郵件,***等等。此外還有利用軟體的漏洞和缺陷鉆空子、干壞事,讓人防不勝防。
網路***方式越來越多,有的充分利用防火墻放行許可,有的則使防毒軟體失效。比如,在病毒剛進入網路的時候,還沒有一個廠家迅速開發出相應的辨認和撲滅程序,于是這種全新的病毒就很快大肆擴散、肆虐于網路、危害單機或網路資源,這就是所謂Zero Day Attack。
防火墻可以根據英特網地址(IP-Addresses)或服務埠(Ports)過濾數據包。但是,它對于利用合法網址和埠而從事的破壞活動則無能為力。因為,防火墻極少深入數據包檢查內容。
每種***代碼都具有只屬于它自己的特征 (signature), 病毒之間通過各自不同的特征互相區別,同時也與正常的應用程序代碼相區別。除病毒軟體就是通過儲存所有已知的病毒特征來辨認病毒的。
在ISO/OSI網路層次模型(見OSI模型) 中,防火墻主要在第二到第四層起作用,它的作用在第四到第七層一般很微弱。而除病毒軟體主要在第五到第七層起作用。為了彌補防火墻和除病毒軟體二者在第四到第五層之間留下的空檔,幾年前,工業界已經有***偵查系統(IDS: Intrusion Detection System)投入使用。***偵查系統在發現異常情況后及時向網路安全管理人員或防火墻系統發出警報。可惜這時災害往往已經形成。雖然,亡羊補牢,尤未為晚,但是,防衛機制最好應該是在危害形成之前先期起作用。隨后應運而生的***反應系統(IRS: Intrusion Response Systems) 作為對***偵查系統的補充能夠在發現***時,迅速作出反應,并自動采取阻止措施。而***預防系統則作為二者的進一步發展,汲取了二者的長處。
***預防系統也像***偵查系統一樣,專門深入網路數據內部,查找它所認識的***代碼特征,過濾有害數據流,丟棄有害數據包,并進行記載,以便事后分析。除此之外,更重要的是,大多數***預防系統同時結合考慮應用程序或網路傳輸重的異常情況,來輔助識別***和***。比如,用戶或用戶程序違反安全條例、數據包在不應該出現的時段出現、作業系統或應用程序弱點的空子正在被利用等等現象。***預防系統雖然也考慮已知病毒特征,但是它并不僅僅依賴于已知病毒特征。
應用***預防系統的目的在于及時識別***程序或有害代碼及其克隆和變種,采取預防措施,先期阻止***,防患于未然。或者至少使其危害性充分降低。***預防系統一般作為防火墻 和防病毒軟體的補充來投入使用。在必要時,它還可以為追究***者的刑事責任而提供法律上有效的證據 (forensic)。
***預防技術
* 異常偵查。正如***偵查系統, ***預防系統知道正常數據以及數據之間關系的通常的樣子,可以對照識別異常。
* 在遇到動態代碼(ActiveX, JavaApplet,各種指令語言script languages等等)時,先把它們放在沙盤內,觀察其行為動向,如果發現有可疑情況,則停止傳輸,禁止執行。
* 有些***預防系統結合協議異常、傳輸異常和特征偵查,對通過網關或防火墻進入網路內部的有害代碼實行有效阻止。
* 核心基礎上的防護機制。用戶程序通過系統指令享用資源 (如存儲區、輸入輸出設備、中央處理器等)。***預防系統可以截獲有害的系統請求。
* 對Library、Registry、重要文件和重要的文件夾進行防守和保護。
***預防系統類型
投入使用的***預防系統按其用途進一步可以劃分為單機***預防系統
(HIPS: Hostbased Intrusion Prevension System)和網路***預防系統
(NIPS: Network Intrusion Prevension System)兩種類型。
網路***預防系統作為網路之間或網路組成部分之間的獨立的硬體設備,切斷交通,對過往包裹進行深層檢查,然后確定是否放行。網路***預防系統藉助病毒特征和協議異常,阻止有害代碼傳播。有一些網路***預防系統還能夠跟蹤和標記對可疑代碼的回答,然后,看誰使用這些回答信息而請求連接,這樣就能更好地確認發生了***事件。
??????根據有害代碼通常潛伏于正常程序代碼中間、伺機運行的特點,單機***預防系統監視正常程序,比如Internet Explorer,Outlook,等等,在它們(確切地說,其實是它們所夾帶的有害代碼)向作業系統發出請求指令,改寫系統文件,建立對外連接時,進行有效阻止,從而保護網路中重要的單個機器設備,如伺服器、路由器、防火墻等等。這時,它不需要求助于已知病毒特征和事先設定的安全規則。總地來說,單機***預防系統能使大部分鉆空子行為無法得逞。我們知道,***是指有害代碼首先到達目的地,然后干壞事。然而,即使它僥幸突破防火墻等各種防線,得以到達目的地,但是由于有了***預防系統,有害代碼最終還是無法起到它要起的作用,不能達到它要達到的目的。
轉載于:https://blog.51cto.com/alkshao/508181
總結
- 上一篇: 时间格式化需要注意点不可使用本地时间
- 下一篇: 管壳式热交换器传热计算