当前位置: 首页 > news >正文

防御笔记第九天(持续更新)

news 来源:原创 2024/9/20 8:00:00

注意:攻击可能只是一个点,而防御需要全方面进行。

1.IAE引擎

2.DPI

DPI ----深度包检测 --- 针对完整的数据包,进行内容的识别和检测

3.基于特征字的检测技术

4,基于应用网关的检测技术

基于应用网关的检测技术 --- 有些应用控制和数据是分离的,比如一些视频流。一开始会
通过TCP协议链接之后,协商一些参数,这部分我们称为信令部分。之后证书传输数据流量,
使用UDP协议,而这部分流量是没有可以识别的特征的。所以,这些应用可以基于应用网关
来进行检测,即基于前面的信令信息来进行识别和控制。

5,基于行为模式的检测技术

DFI --- 深度流检测  --- 基于数据流进行识别检测的技术

6.DPI和DFI的对比

1,DFI仅对流量行为分析,只能对应用类型进行笼统的分类,无法做到精细的识别
2,如果流量进行加密的话,DPI可能在没有解密的情况无法进行识别,但是DFI不受影响

7.iPS(入侵防御)

8.IDS

IDS --- 入侵检测 --- 侧重于风险管理的设备 --- 仅能进行监控,但是不能直接处理。--- 存在
滞后性
早期IDS的误报率较高
其优点在于部署灵活,可以旁路部署,对原网络没有任何影响
IPS --- 入侵防御 ---- 侧重于风险控制的设备 --- 可以在发现风险的同时,处理问题。 ---- 需
要串联部署在网络中
IPS设备优势:
1,实时阻断攻击;
2,深层防护 --- 可以深入到应用层,进行精准的威胁识别;
3,全方位的防护
4,内外兼防
5,不断升级,精准防护
入侵检测的方法:
1,异常检测 --- 这种检测时基于一个假定,我们认为用户的行为是遵循一致性原则的

2,误用检测 --- 创建一个异常行为特征库,将入侵行为的特征记录下来,记录签名,之
后,根据到达的流量特征和签名进行比如,判断是否存在异常;
签名 --- 将异常行为的特征记录下来进行HSAH,之后,正常流量过来,也提取其特征
进行比对。
预定义签名 --- 设备上自身携带的有特征库,这个特征库需要购买liense(许可证)后
才可获取。(如果购买了liense后,可以对接华为的安全中心多特征库进行更新)
自定义签名 --- 网络管理员可以根据自定义的需求来创建威胁签名,

可以执行的动作 --- 放行

告警 --- 数据允许通过,但是会记录日志
阻断 --- 数据不允许通过,并且会记录日志

针对预定义签名,我们只能修改其默认的执行动作,以及启用与否,其他的都不能修改

所有的修改需要进行提交,不提交不生效,提交相当于重启了IPS模块,才能使新加的或者修
改的东西生效。

9.ID

ID --- 区分不同的签名
对象 --- 服务器,客户端,服务器和客户端 --- 针对设备的身份 --- 注意,一般我们将发起连
接的设备角色认定为客户端,响应连接并提供服务的角色认定为服务器。
严重性 --- 该行为一旦爆发之后,对我们网络系统的影响程度的评级
协议/应用程序 --- 这种攻击所承载的协议或者应用

如果勾选了关联签名,则该签名的命中条件变为规定时间内命中关联签名的次数或者阻断时间

报文 --- 逐包检测
消息 --- 一次完整的请求和应答的过程被认定为一个消息
数据流

按顺序检测 --- 勾选,则下面检查项列表中的检查项执行自上而下逐一匹配,如果匹配上,则
不再继续匹配。如果不勾选,则下面检查项列表中的检查项为“且”的关系

如果是匹配,则会检测数据包中和后面值里面完全相同的数据
前缀匹配,匹配以后面值开头的内容

10.IPS安全配置文件

如果选择采用签名的缺省动作,一个流量同时匹配上多个签名,如果所有动作都是告警,则直
接告警,如果有一个动作是阻断,则执行阻断操作

例外签名 --- 可以将部分签名放在例外签名中,可以执行单独的动作
后面隔离源IP和目标IP实质是阻断的同时将地址放入黑名单中,进行访问限制,超时时间为黑
名单中的老化时间

11.AV(反病毒)
防病毒侧重于文件以及邮件中病毒的查杀

代理扫描 --- 需要缓存文件,倒是效率较低,并且,文件过大,可能无法缓存,直接放过,造
成安全风险,但是,其检测力度较强可以应对压缩以及脱壳的情况
流扫描 --- 基于文件片段进行扫描,效率较高,但是检测力度较低;
病毒的传播途径

12.病毒的分类:

13.病毒的杀链

14.个别病毒的工作原理

15.防病毒流程:

病毒例外 --- 相当于是病毒的白名单,为了放置过渡防御的场景,将一些病毒放入例外之中,
则将检测到该病毒视为误报,则将文件直接放行
应用例外 --- 将特定的应用设置为例外,可以单独执行动作
宣告和删除附件 --- 只针对Pop3和SMTP协议
宣告 --- 不删除附件,但是会在邮件正文中添加提示信息
删除附件 --- 直接删除附件,并且会在邮件正文中添加提示信息
需求,内网用户有通过外网web服务器下载文件的需求,并且,外网用户有通过内网FTP服务
器上传文件的需求,针对这两种场景进行反病毒处理。

相关文章:

  • 北京网站建设多少钱?
  • 辽宁网页制作哪家好_网站建设
  • 高端品牌网站建设_汉中网站制作
  • C# 6.定时器 timer
  • linux系统编程中Shell脚本配置,及linux脚本中的man test
  • 【数据结构与算法】单链表、双链表和循环单链表中头指针未知的情况下能否删除某节点
  • Postman下载安装~用于springboot控制层测试
  • 【KAN】【API教程】get_fun
  • SolidEdge二次开发(C#)-环境配置
  • visual studio跳转到上一个/下一个光标处的快捷键设置
  • C# Solidworks二次开发------保存为不同格式
  • CAPL使用结构体的方式组装一条DoIP车辆声明消息(方法2)
  • 请问如何做好软件测试工作呢?
  • Kubernetes中的CRI、CNI与CSI:深入理解云原生存储、网络与容器运行时
  • Socket编程学习大纲
  • Python面试题:利用Python技术,如何使用SciPy进行科学计算与数值分析
  • 【深度学习】变分自编码器 VAE,什么是变分?(1)
  • C#进阶-轻量级ORM框架Dapper的使用教程与原理详解
  • 自己简单写的 事件订阅机制
  • __proto__ 和 prototype的关系
  • CSS 三角实现
  • CSS选择器——伪元素选择器之处理父元素高度及外边距溢出
  • JS变量作用域
  • Map集合、散列表、红黑树介绍
  • REST架构的思考
  • spring-boot List转Page
  • ubuntu 下nginx安装 并支持https协议
  • Vue2 SSR 的优化之旅
  • win10下安装mysql5.7
  • 测试开发系类之接口自动化测试
  • 基于HAProxy的高性能缓存服务器nuster
  • 力扣(LeetCode)56
  • 适配mpvue平台的的微信小程序日历组件mpvue-calendar
  • 数据库写操作弃用“SELECT ... FOR UPDATE”解决方案
  • 说说动画卡顿的解决方案
  • 线性表及其算法(java实现)
  • 用Canvas画一棵二叉树
  • 自制字幕遮挡器
  • 你对linux中grep命令知道多少?
  • #include到底该写在哪
  • #laravel部署安装报错loadFactoriesFrom是undefined method #
  • #进阶:轻量级ORM框架Dapper的使用教程与原理详解
  • #经典论文 异质山坡的物理模型 2 有效导水率
  • #我与虚拟机的故事#连载20:周志明虚拟机第 3 版:到底值不值得买?
  • $.ajax,axios,fetch三种ajax请求的区别
  • (1)Hilt的基本概念和使用
  • (26)4.7 字符函数和字符串函数
  • (草履虫都可以看懂的)PyQt子窗口向主窗口传递参数,主窗口接收子窗口信号、参数。
  • (九)One-Wire总线-DS18B20
  • (已解决)Bootstrap精美弹出框模态框modal,实现js向modal传递数据
  • (转)eclipse内存溢出设置 -Xms212m -Xmx804m -XX:PermSize=250M -XX:MaxPermSize=356m
  • *** 2003
  • .babyk勒索病毒解析:恶意更新如何威胁您的数据安全
  • .htaccess配置重写url引擎
  • .NET BackgroundWorker
  • .NET CF命令行调试器MDbg入门(一)
  • .NET Core 版本不支持的问题
  • .NET/C#⾯试题汇总系列:集合、异常、泛型、LINQ、委托、EF!(完整版)