一.入侵检测与防御系统
一.IDPS原理与产品
1.IDS与IPS概述
网络安全的各类产品,都有软件和硬件的存在形式,可以使用纯硬件的解决方案,也可以使用纯软件的解决方案。
无论是硬件还是软件,其工作原理都是一样的,只是性能可能存在差异,另外就是一些高级功能。
(1)IDS:Intrusion Dedection System
第一类:基于交换机或服务器流量(NIDS,基于网络流量的IDS),关注通信流量,对加密流量存在检测难题
第二类:基于操作系统文件或日志(HIDS,基于主机的IDS),不关心网络通信,只关心主机行为与日志信息
(2)IPS:Intrusion Protection System
第一类:基于网络流量的IPS(不能旁挂,必须串联,并且如果发现流量非法,则直接阻断流量)
第二类:基于Web服务器或各类应用服务器,比如Nginx或Apache,或PHP编程语言的WAF等
二.基于AI的IPDS
让AI学习大量的合法访问数据(白名单),如果发现一条流量或日志,与已经学习的特征库不匹配,则认为这是
异常流量,进行预警或防御
三.开源产品
HIDS:Wazuh(sever+agent),如果检测到攻击行为,则可以主动响应,比如可以通过DenyHost来阻止ip地址,通过
防火墙进行Drop(运行批处理脚本来达到目的)
HIDS:Suricata,Zeek等(直接监听网络流量,通过规则来检测攻击行为),同时可以设置让所有流量经过NIDS,再调
用iptables对流量进行Drop,进而让流量不到达目标服务器上。
难点:规则库的建立和编写(目前有很多规则库的积累,但是我们需要自己编写满足自己业务需要的规则库):黑名单
四.日志分析与流量分析
(1)两种方式:在线实时分析,离线分析
(2)规则是核心:如何基于日志或流量的特征来识别和编写规则,是在线实时分析的重点所在
(3)安全和性能本质上无法兼得