eveplw

导航

一.入侵检测与防御系统

一.IDPS原理与产品

1.IDS与IPS概述

网络安全的各类产品,都有软件和硬件的存在形式,可以使用纯硬件的解决方案,也可以使用纯软件的解决方案。

无论是硬件还是软件,其工作原理都是一样的,只是性能可能存在差异,另外就是一些高级功能。

(1)IDS:Intrusion Dedection System

第一类:基于交换机或服务器流量(NIDS,基于网络流量的IDS),关注通信流量,对加密流量存在检测难题

第二类:基于操作系统文件或日志(HIDS,基于主机的IDS),不关心网络通信,只关心主机行为与日志信息

(2)IPS:Intrusion Protection System

第一类:基于网络流量的IPS(不能旁挂,必须串联,并且如果发现流量非法,则直接阻断流量)

第二类:基于Web服务器或各类应用服务器,比如Nginx或Apache,或PHP编程语言的WAF等

 

二.基于AI的IPDS

让AI学习大量的合法访问数据(白名单),如果发现一条流量或日志,与已经学习的特征库不匹配,则认为这是

异常流量,进行预警或防御

 

三.开源产品

HIDS:Wazuh(sever+agent),如果检测到攻击行为,则可以主动响应,比如可以通过DenyHost来阻止ip地址,通过

防火墙进行Drop(运行批处理脚本来达到目的)

HIDS:Suricata,Zeek等(直接监听网络流量,通过规则来检测攻击行为),同时可以设置让所有流量经过NIDS,再调

用iptables对流量进行Drop,进而让流量不到达目标服务器上。

难点:规则库的建立和编写(目前有很多规则库的积累,但是我们需要自己编写满足自己业务需要的规则库):黑名单

 

四.日志分析与流量分析

(1)两种方式:在线实时分析,离线分析

(2)规则是核心:如何基于日志或流量的特征来识别和编写规则,是在线实时分析的重点所在

(3)安全和性能本质上无法兼得

 

posted on 2022-08-15 20:00  eveplw  阅读(396)  评论(0编辑  收藏  举报