ips入侵檢測挖礦
A. 入侵檢測系統如何搭建
現在網路管理員希望入侵檢測系統(IDS)和入侵防禦系統(IPS)還可以檢測網頁應用攻擊,包括感知異常情況,本文將幫你了解IDS和IPS,以及如何整合它們,實現完美保護。
IDS vs IPS選擇一款IDS和IPS最困難的就是要明白自己什麼時候需要,以及它具備什麼功能。市場上所有防火牆,應用防火牆,統一威脅管理設備,IDS和IPS,區分這些產品的功能,了解哪個產品的某些功能最佳是很難的。一些企業部署了IPS後發現他們可以撤掉原先的IDS,你或許也在考慮是否用IPS替換IDS.但是這並不適用於所有人。
利用網路IPS預防應用攻擊威脅應用程序愈來愈成為攻擊威脅的入口。例如,非常容易受到攻擊的電子商務應用。不幸地是,傳統的IDS和IPS不能保護企業免受這樣的攻擊。好在現在廠商有面向應用的IDS和IPS.例如,Web應用防火牆,它通過異常情況和標記技術來檢測頻繁的攻擊技術。這種新式的IPS可以彌補傳統系統的不足。
安裝配置和調整網路入侵防禦安裝和配置基於異常情況的入侵防禦設備要比基於標記的設備更復雜。基於異常情況的設備通過檢測不正常的網路活動來檢測和預防零日攻擊。安裝和配置一個可以識別未知活動的系統需要了解預期活動。但是監控網路僅幾個小時是不夠的。為了避免誤報,系統必須要識別發生在一天當中和一個月期間內的不同活動。
和其他安全設備不同,IDS/IPS在安裝和配置後需要維護和調整。IDS和IPS的演算法完全不同,因此有必要及時調整,減少誤報和漏報。
統一基礎設施企業整合多個防禦系統的同時也受到數據中心和能源成本的限制,如果你也碰到過這種情況,你可能會想統一網路基礎設施安全策略。供應商會調整他們的產品,從在開放機架上放多供應商軟體,到集成網路基礎設施安全策略,通過減少數據中心的物理安全設備,可以減少管理和能源支出。
B. 什麼是IDS/IPS產品
入侵檢測系統(IDS):
IDS是英文「Intrusion Detection Systems」的縮寫,中文意思是「入侵檢測系統」。專業上講就是依照一定的安全策略,對網路、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網路系統資源的機密性、完整性和可用性。
2. 入侵防禦系統(IPS):
IPS是英文「Intrusion Prevention
System」的縮寫,中文意思是入侵防禦系統。
3、IPS與IDS的區別:
IPS對於初始者來說,是位於防火牆和網路的設備之間的設備。這樣,如果檢測到攻擊,IPS會在這種攻擊擴散到網路的其它地方之前阻止這個惡意的通信。而IDS只是存在於你的網路之外起到報警的作用,而不是在你的網路前面起到防禦的作用。
C. IPS和IDS的區別
1、含義不同
IDS :入侵檢測系統
做一個形象的比喻:假如防火牆是一幢大樓的門鎖,那麼IDS就是這幢大樓里的監視系統。一旦小偷爬窗進入大樓,或內部人員有越界行為,實時監視系統會發現情況並發出警告。
IPS :入侵防禦系統
2、作用不同
IDS專業上講就是依照一定的安全策略,對網路、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網路系統資源的機密性、完整性和可用性。
IPS入侵防禦系統是電腦網路安全設施,是對防病毒軟體和防火牆的補充。 入侵防禦系統是一部能夠監視網路或網路設備的網路資料傳輸行為的計算機網路安全設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網路資料傳輸行為。
(3)ips入侵檢測挖礦擴展閱讀:
IDS入侵檢測系統是一個監聽設備,沒有跨接在任何鏈路上,無須網路流量流經它便可以工作。因此,對IDS的部署,唯一的要求是:IDS應當掛接在所有所關注流量都必須流經的鏈路上。
IPS,最近幾年越來越受歡迎,特別是當供應商應對NAC市場的早期挑戰時,如感知部署和可用性難點。目前,大多數大型的組織都全面部署了IPS,但是在使用NAC之前,這些解決方案都被一定程度的限制以防止公司網路中發生新的攻擊。你可以配置所有的IPS探測器來中斷網路中惡意或其它不需要的流量。
D. 入侵防護系統(IPS)的原理
通過全面的數據包偵測,TippingPoint的入侵防禦系統提供吉比特速率上的應用、網路架構和性能保護功能。應用保護能力針對來自內部和外部的攻擊提供快速、精準、可靠的防護。由於具有網路架構保護能力,TippingPoint的入侵防禦系統保護VOIP系統、路由器、交換機、DNS和其他網路基礎免遭惡意攻擊和防止流量異動。TippingPoint的入侵防禦系統的性能保護能力幫助客戶來遏制非關鍵業務搶奪寶貴的帶寬和IT資源,從而確保網路資源的合理配置並保證關鍵業務的性能。
E. IPS的IPS
( Intrusion Prevention System)是電腦網路安全設施,是對防病毒軟體(Antivirus Programs)和防火牆(Packet Filter, Application Gateway)的補充。 入侵預防系統(Intrusion-prevention system)是一部能夠監視網路或網路設備的網路資料傳輸行為的計算機網路安全設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網路資料傳輸行為。 隨著電腦的廣泛應用和網路的不斷普及,來自網路內部和外部的危險和犯罪也日益增多。20年前,電腦病毒(電腦病毒)主要通過軟盤傳播。後來,用戶打開帶有病毒的電子信函附件,就可以觸發附件所帶的病毒。以前,病毒的擴散比較慢,防毒軟體的開發商有足夠的時間從容研究病毒,開發防病毒、殺病毒軟體。而今天,不僅病毒數量劇增,質量提高,而且通過網路快速傳播,在短短的幾小時內就能傳遍全世界。有的病毒還會在傳播過程中改變形態,使防毒軟體失效。
目前流行的攻擊程序和有害代碼如 DoS (Denial of Service 拒絕服務),DDoS (Distributed DoS 分布式拒絕服務),暴力猜解(Brut-Force-Attack),埠掃描(Portscan),嗅探,病毒,蠕蟲,垃圾郵件,木馬等等。此外還有利用軟體的漏洞和缺陷鑽空子、干壞事,讓人防不勝防。
網路入侵方式越來越多,有的充分利用防火牆放行許可,有的則使防毒軟體失效。比如,在病毒剛進入網路的時候,還沒有一個廠家迅速開發出相應的辨認和撲滅程序,於是這種全新的病毒就很快大肆擴散、肆虐於網路、危害單機或網路資源,這就是所謂Zero Day Attack。
防火牆可以根據IP地址(IP-Addresses)或服務埠(Ports)過濾數據包。但是,它對於利用合法IP地址和埠而從事的破壞活動則無能為力。因為,防火牆極少深入數據包檢查內容。即使使用了DPI技術 (Deep Packet Inspection 深度包檢測技術),其本身也面臨著許多挑戰。
每種攻擊代碼都具有隻屬於它自己的特徵 (signature), 病毒之間通過各自不同的特徵互相區別,同時也與正常的應用程序代碼相區別。殺毒軟體就是通過儲存所有已知的病毒特徵來辨認病毒的。
在ISO/OSI網路層次模型(見OSI模型) 中,防火牆主要在第二到第四層起作用,它的作用在第四到第七層一般很微弱。而除病毒軟體主要在第五到第七層起作用。為了彌補防火牆和除病毒軟體二者在第四到第五層之間留下的空檔,幾年前,工業界已經有入侵偵查系統(IDS: Intrusion Detection System)投入使用。入侵偵查系統在發現異常情況後及時向網路安全管理人員或防火牆系統發出警報。可惜這時災害往往已經形成。雖然,亡羊補牢,尤未為晚,但是,防衛機制最好應該是在危害形成之前先期起作用。隨後應運而生的入侵響應系統(IRS: Intrusion Response Systems) 作為對入侵偵查系統的補充能夠在發現入侵時,迅速作出反應,並自動採取阻止措施。而入侵預防系統則作為二者的進一步發展,汲取了二者的長處。
入侵預防系統也像入侵偵查系統一樣,專門深入網路數據內部,查找它所認識的攻擊代碼特徵,過濾有害數據流,丟棄有害數據包,並進行記載,以便事後分析。除此之外,更重要的是,大多數入侵預防系統同時結合考慮應用程序或網路傳輸中的異常情況,來輔助識別入侵和攻擊。比如,用戶或用戶程序違反安全條例、數據包在不應該出現的時段出現、作業系統或應用程序弱點的空子正在被利用等等現象。入侵預防系統雖然也考慮已知病毒特徵,但是它並不僅僅依賴於已知病毒特徵。
應用入侵預防系統的目的在於及時識別攻擊程序或有害代碼及其克隆和變種,採取預防措施,先期阻止入侵,防患於未然。或者至少使其危害性充分降低。入侵預防系統一般作為防火牆 和防病毒軟體的補充來投入使用。在必要時,它還可以為追究攻擊者的刑事責任而提供法律上有效的證據 (forensic)。 A:串列部署的防火牆可以攔截低層攻擊行為,但對應用層的深層攻擊行為無能為力。
B:旁路部署的IDS可以及時發現那些穿透防火牆的深層攻擊行為,作為防火牆的有益補充,但很可惜的是無法實時的阻斷。
C:IDS和防火牆聯動:通過IDS來發現,通過防火牆來阻斷。但由於迄今為止沒有統一的介面規范,加上越來越頻發的「瞬間攻擊」(一個會話就可以達成攻擊效果,如SQL注入、溢出攻擊等),使得IDS與防火牆聯動在實際應用中的效果不顯著。
這就是IPS產品的起源:一種能防禦防火牆所不能防禦的深層入侵威脅(入侵檢測技術)的在線部署(防火牆方式)安全產品。由於用戶發現了一些無法控制的入侵威脅行為,這也正是IDS的作用。
入侵檢測系統(IDS)對那些異常的、可能是入侵行為的數據進行檢測和報警,告知使用者網路中的實時狀況,並提供相應的解決、處理方法,是一種側重於風險管理的安全產品。
入侵防禦系統(IPS)對那些被明確判斷為攻擊行為,會對網路、數據造成危害的惡意行為進行檢測和防禦,降低或是減免使用者對異常狀況的處理資源開銷,是一種側重於風險控制的安全產品。
這也解釋了IDS和IPS的關系,並非取代和互斥,而是相互協作:沒有部署IDS的時候,只能是憑感覺判斷,應該在什麼地方部署什麼樣的安全產品,通過IDS的廣泛部署,了解了網路的當前實時狀況,據此狀況可進一步判斷應該在何處部署何類安全產品(IPS等)。 * 異常偵查。正如入侵偵查系統, 入侵預防系統知道正常數據以及數據之間關系的通常的樣子,可以對照識別異常。
* 在遇到動態代碼(ActiveX, JavaApplet,各種指令語言script languages等等)時,先把它們放在沙盤內,觀察其行為動向,如果發現有可疑情況,則停止傳輸,禁止執行。
* 有些入侵預防系統結合協議異常、傳輸異常和特徵偵查,對通過網關或防火牆進入網路內部的有害代碼實行有效阻止。
* 核心基礎上的防護機制。用戶程序通過系統指令享用資源 (如存儲區、輸入輸出設備、中央處理器等)。入侵預防系統可以截獲有害的系統請求。
* 對Library、Registry、重要文件和重要的文件夾進行防守和保護。 投入使用的入侵預防系統按其用途進一步可以劃分為單機入侵預防系統
(HIPS: Hostbased Intrusion Prevension System)和網路入侵預防系統
(NIPS: Network Intrusion Prevension System)兩種類型。
網路入侵預防系統作為網路之間或網路組成部分之間的獨立的硬體設備,切斷交通,對過往包裹進行深層檢查,然後確定是否放行。網路入侵預防系統藉助病毒特徵和協議異常,阻止有害代碼傳播。有一些網路入侵預防系統還能夠跟蹤和標記對可疑代碼的回答,然後,看誰使用這些回答信息而請求連接,這樣就能更好地確認發生了入侵事件。
根據有害代碼通常潛伏於正常程序代碼中間、伺機運行的特點,單機入侵預防系統監視正常程序,比如Internet Explorer,Outlook,等等,在它們(確切地說,其實是它們所夾帶的有害代碼)向作業系統發出請求指令,改寫系統文件,建立對外連接時,進行有效阻止,從而保護網路中重要的單個機器設備,如伺服器、路由器、防火牆等等。這時,它不需要求助於已知病毒特徵和事先設定的安全規則。總地來說,單機入侵預防系統能使大部分鑽空子行為無法得逞。我們知道,入侵是指有害代碼首先到達目的地,然後干壞事。然而,即使它僥幸突破防火牆等各種防線,得以到達目的地,但是由於有了入侵預防系統,有害代碼最終還是無法起到它要起的作用,不能達到它要達到的目的。
2000年:Network ICE公司在2000年9月18日推出了業界第一款IPS產品—BlackICE Guard,它第一次把基於旁路檢測的IDS技術用於在線模式,直接分析網路流量,並把惡意包丟棄。 2002~2003年:這段時期IPS得到了快速發展。當時隨著產品的不斷發展和市場的認可,歐美一些安全大公司通過收購小公司的方式獲得IPS技術,推出自己的IPS產品。比如ISS公司收購Network ICE公司,發布了Proventia;NetScreen公司收購OneSecure公司,推出NetScreen-IDP;McAfee公司收購Intruvert公司,推出IntruShield。思科、賽門鐵克、TippingPoint等公司也發布了IPS產品。
2005年9月綠盟科技發布國內第一款擁有完全自主知識產權的IPS產品,2007年聯想網御、啟明星辰、天融信等國內安全公司分別通過技術合作、OEM等多種方式發布各自的IPS產品。
F. 入侵檢測系統(IDS)+防火牆+入侵防護系統(IPS)能代替殺毒軟體嗎
不能代替的,它們各自的功能和作用是不同的。
入侵檢測系統(IDS):專業上講就是依照一定的安全策略,對網路、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網路系統資源的機密性、完整性和可用性。
入侵防護系統(IPS):是指能夠監視網路或網路設備的網路資料傳輸行為的計算機網路安全設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網路資料傳輸行為。
防火牆:它是一種位於內部網路與外部網路之間的網路安全系統。一種信息安全的防護系統,依照特定的規則,允許或是限制傳輸的數據通過。
一般是IDS+防火牆的組合或者IPS+防火牆的組合來完成對網路安全防護。
殺毒軟體:也稱反病毒軟體或防毒軟體,是用於消除電腦病毒、特洛伊木馬和惡意軟體等計算機威脅的一類軟體。病毒軟體(程序)是一種在電腦(終端)上運行的,可以類似生物病毒發病機理的,通過一定條件下來觸發運行的小程序,包括電腦病毒程序及一些惡意軟體等。
以上描述可以看出他們的作用各不相同,所以不能相互代替,可以完全組合起來發現各自的作用,盡可能保障網路的信息安全。
G. IPS是什麼東西具體工作原理
① IPS(Intrusion Prevention System , 入侵防禦系統)對於初始者來說,IPS位於防火牆和網路的設備之間。這樣,如果檢測到攻擊,IPS會在這種攻擊擴散到網路的其它地方之前阻止這個惡意的通信。IDS只是存在於你的網路之外起到報警的作用,而不是在你的網路前面起到防禦的作用。
IPS檢測攻擊的方法也與IDS不同。目前有很多種IPS系統,它們使用的技術都不相同。但是,一般來說,IPS系統都依靠對數據包的檢測。IPS將檢查入網的數據包,確定這種數據包的真正用途,然後決定是否允許這種數據包進入你的網路。
IDS和IPS系統有一些重要的區別。如果你要購買有效的安全設備,如果你使用IPS而不是使用IDS,你的網路通常會更安全。
② IPS(In-Plane Switching,平面轉換)技術是日立於2001推出的面板技術,它也被俗稱為「Super TFT」。我們知道,傳統LCD顯示器的液晶分子一般都在垂直-平行狀態間切換,MVA和PVA將之改良為垂直-雙向傾斜的切換方式,而IPS技術與上述技術最大的差異就在於,不管在何種狀態下液晶分子始終都與屏幕平行,只是在加電/常規狀態下分子的旋轉方向有所不同—注意,MVA、PVA液晶分子的旋轉屬於空間旋轉(Z軸),而IPS液晶分子的旋轉則屬於平面內的旋轉(X-Y軸)。
為了配合這種結構,IPS要求對電極進行改良,電極做到了同側,形成平面電場。這樣的設計帶來的問題是雙重的,一方面可視角度問題得到了解決,另一方面由於液晶分子轉動角度大、面板開口率低(光線透過率),所以IPS也有響應時間較慢和對比度較難提高的缺點。
H. IDS和IPS是什麼
IDS是英文「Intrusion Detection Systems」的縮寫,中文意思是「入侵檢測系統」。專業上講就是依照一定的安全策略,通過軟、硬體,對網路、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網路系統資源的機密性、完整性和可用性。做一個形象的比喻:假如防火牆是一幢大樓的門鎖,那麼IDS就是這幢大樓里的監視系統。一旦小偷爬窗進入大樓,或內部人員有越界行為,只有實時監視系統才能發現情況並發出警告。 IPS IPS 是互聯網協議群(Internet Protocol Suite ,IPS)的簡寫,主要包括TCP/IP協議(傳輸/控制協議)。 IPS也是一家國際支付公司, 上海環迅電子商務有限公司(以下簡稱:環迅支付 (IPS))成立於2000年,是國內最早的支付公司之一。十年來,憑借在支付領域的不斷深入、技術及風險控制能力持續提升,環迅支付深受數千萬持卡人信賴,月交易額不斷攀升,成為國內在線支付領域的領先者。 環迅支付是中國銀行卡受理能力最強的電子支付平台,每天都受理數萬筆來自國內外的銀行卡在線交易。至今,已經和中國國內27家主流銀行建立支付合作的夥伴關系,在不斷拓展國內電子支付市場的同時,環迅支付也積極拓展國際支付業務,並在國內率先與眾多國際信用卡組織建立戰略合作,目前環迅支付已經同Visa、MasterCard、JCB、AmericanExpress、Diners以及新加坡NETS建立良好的業務與合作關系。 環迅支付自創建以來,一直秉承「隨需而至,應『付』自如」的理念,銳意進取,勇於創新。在對支付行業深入研究的同時,及時根據市場需求開發出品質優良的產品,環迅支付的產品集成了C.A.T.(信用卡授權支付系統)、ICPAY(國際卡支付系統)、SinoPay(人民幣卡支付系統)、SimplePay(儲值卡支付系統)、IPS個人賬戶系統及電話支付等幾大主流功能,並自主研發了包括酒店預訂通、票務通、WAP支付解決方案等創新產品,有效滿足持卡人、商戶、企業和金融機構的在線金融管理需求。其中,在外貿收款方面,主要的產品是ICPAY(國際卡支付系統)。如想了解更多可以加我 咨詢。 環迅支付在2001年在香港創業板上市,交易碼為HK8091,公司總部在上海,在深圳,廣州,北京,香港設有分公司。 現在ips是專業的支付公司,十周年現在推出的moto成功率85%, 一家支付公司最核心的業務就是風險控制系統, 而上海環迅ips具有強大的技術團隊,有自己反欺詐系統, 大大降低了拒付率,為廣大外貿商戶減少了不必要的損失
I. 如何對IDS和IPS等進行邊界測試
對於任何注意網路安全評估的公司而言,定期執行邊界漏洞測試是至關重要的。有一些攻擊由內部發起,而有許多攻擊是來自於公司外部。這意味著,公司必須能夠驗證邊界設備,保證系統及時安裝補丁,並且保持更新。邊界測試一般包括網路掃描、檢查入侵檢測(IDS)與入侵防禦系統(IPS)、防火牆測試和蜜罐技術部署與測試。網路掃描是滲透測試應該執行的第一個活動。畢竟,您應該盡量從攻擊者的角度去檢查網路。您對於網路的看法是由內而外,但是攻擊者的角度則不同。執行邊界掃描可以幫助您確定邊界設備的操作系統和補丁級別,從網路外部是否能夠訪問設備,以及SSL和T傳輸層安全(TLS)證書是否存在漏洞。此外,網路掃描有助於確定可訪問的設備是否具有足夠的保護措施,防止在設備部署之後不會被暴露漏洞。Nmap是一個免費的開源安全掃描工具,它可用於監控網路;這個工具支持各種不同的交換機,能夠發現開放埠、服務和操作系統。部署IDS和IPS是另一種檢測惡意軟體活動的方法。大多數公司都會在網路邊界部署IDS或IPS,但是現在人們對於這些設備對抗攻擊的效果仍然存在爭議。有許多方法可以測試IDS和IPS,其中包括:插入攻擊。這些攻擊形式是,攻擊者向終端系統發送數據包被拒絕,但是IDS卻認為它們是有效的。當出現這種攻擊時,攻擊者會在IDS中插入數據,卻不會被其他系統發現。 躲避攻擊。這個方法允許攻擊者使IDS拒絕一個終端系統可以接受的數據包。 拒絕服務攻擊。這種攻擊的形式是,攻擊者向IDS發送大量的數據,使IDS完全失去處理能力。這種淹沒方式可能會讓惡意流量悄悄繞過防禦。 假警報。還記得那個謊報軍情的小男孩嗎?這種攻擊會故意發送大量的警報數據。這些假警報會干擾分析,使防禦設備無法分辨出真正的攻擊。 混淆。IDS必須檢查所有格式的惡意軟體簽名。為了混淆這種IDS,攻擊者可能會對流量進行編碼、加密或拆分,從而隱藏自己的身份。 去同步化。這種方法(如連接前同步和連接後同步)都可用於隱藏惡意流量。防火牆是另一種常見的邊界設備,它可用於控制入口流量和出口流量。防火牆可以是有狀態或無狀態的,可以通過各種方法進行測試。常見的測試方法包括:防火牆識別。開放埠可能有利於確定所使用的特定防火牆技術。 確定防火牆是有狀態還是無狀態的。有一些簡單技術(如ACK掃描)可以幫助確定防火牆的類型。 在防火牆上攔截廣告。雖然這種方法並不一定有效,但是一些較老的防火牆可能真的會在廣告中添加一些版本信息。最後,還有蜜罐。這些設備可用於誘捕或「囚禁」攻擊者,或者有可能更深入了解他們的活動。蜜罐分成兩類:低交互和高交互。蜜罐可以通過觀察它們的功能檢測。一個很好的低交互蜜罐是Netcat,這個網路工具可以讀寫通過網路連接傳輸的數據。執行nc-v-l-p80,可以打開TCP80監聽埠,但是如果進一步檢測,則不會返回廣告。高交互誘捕則不僅會返回一個開放埠,還會返回當前廣告,這使得攻擊者更難確定它是一個真實系統或者誘捕系統。雖然我介紹了幾種方法可以讓你知道攻擊者眼裡的網路邊界是什麼樣,但是一定要注意,許多攻擊者能夠通過由內而外的方式繞過邊界設備和控制。