网络安全笔记总结

IAE引擎

3faeb9f8dab44165a443acafad9a29cd.png

 1.深度检测技术--DFI和DPI技术

DFI和DPI都是流量解析技术,对业务的应用、行为及具体信息进行识别,主要应用于流量分析及流量检测。

DPI:深度包检测技术
DPI是一种基于应用层的流量检测和控制技术,对流量进行拆包,分析包头和应用层的内容,从而识别应用程序和应用程序的内容。

大多数流量安全产品里的应用协议解析使用该技术,例如在网络中识别出http协议的五元组及各字段信息。

DFI:深度流检测技术
DFI是基于流量行为的应用识别技术,即识别不同应用的会话连接行为。流就是将一定时间内具有相同的目的地址、源地址、目的端口地址、源端口地址和传输协议进行聚合,即一条流就是一个会话。

DFI可以识别一次会话的包数、流量字节大小、连接速率、持续时间等流量特征数据。通过对流数据进行研究,可以用来鉴别应用类型、网络异常现象等信息,如持续大流量、瞬时高速流、广播流、较小流等现象。

两个技术的区别
DPI技术能精准检测识别应用及协议字段,适用于精细管理的业务需求;DFI能识别会话流行为,适用于高效识别、粗放管理的业务需求。

从识别准确率来看: DPI采用逐包解析技术,能够对流量中具体应用类型、协议等精细化字段进行识别,适用于精细管理的业务需求;DFI能对流量行为,会话行为进行分析,只提取流特征以及相关统计数据,无法精确识别应用层数据,适用于高效识别、粗放管理的业务需求。

从处理速度来看: DFI识别粒度粗,因此处理速度相对快,而采用DPI技术需要逐包进行拆包操作,因此处理速度会慢些。

从维护成本来看: DPI技术是对具体应用的识别,而客户往往会有新业务需求,随之会产生新协议和新应用,因此需要定时对DPI数据库进行更新,维护成本较大;而同一类型的新应用和旧应用在流量特征上不会有较大的变化,因此DFI技术的管理维护成本较小

1681c01b78e2485ea2f978615165ad39.png

 ————基于“特征字”的检测技术 : 最常用的识别手段,基于一些协议的字段来识别特征

————基于应用网关的检测技术 --- 有些应用控制和数据传输是分离的,比如一些视频流,一开始需要TCP建立连接,协商参数,这一部分我们称为信令部分。之后,正式传输数据后,可能就通过UDP协议来传输,流量缺失可以识别的特征。所以,该技术就是基于前面信令部分的信息进行识别和控制

————基于行为模式的检测技术 --- 比如我们需要拦截一些垃圾邮件,但是,从特征字中很难区分垃圾邮件和正常邮件,所以,我们可以基于行为来进行判断。比如,垃圾邮件可能存在高频,群发等特性,如果出现,我们可以将其认定为垃圾邮件,进行拦截,对IP进行封锁

三、

IDS --- 侧重于风险管理的设备

IPS --- 侧重于风险控制的设备

IPS的优势:

1.实时的阻断攻击;

2.深层防护 --- 深入到应用层;

3.全方位的防护 --- IPS可以针对各种常见威胁做出及时的防御,提供全方位的防护;

4.内外兼防 --- 只要是通过设备的流量均可以进行检测,可以防止发自于内部的攻击。

5.不断升级,精准防护

入侵检测的方法: 异常检测 、误用检测

异常检测:异常检测基于一个假定,即用户行为是可以预测的,遵循一致性模式的;

误用检测:误用检测其实就是创建了一个异常行为的特征库。我们将一些入侵行为记录下来,总结成为特征,之后,检测流量和特征库进行对比,来发现威胁

总结:在进行IPS模块检测之前,首先需要重组IP分片报文和TCP数据流;增加检测的精准性 在此之后需要进行应用协议的识别。这样做主要为了针对特定的应用进行对应精细的解码,并深入报文提取特征;最后,解析报文特征和 签名(特征库里的特征) 进行匹配。再根据命中与否做出对应预设的处理方案。

告警 --- 对命中签名的报文进行放行,但是会记录再日志中

阻断 --- 对命中签名的报文进行拦截,并记录日志

放行 --- 对命中签名的报文放行,不记录日志

四、病毒

防病毒(AV) --- 传统的AV防病毒的方式是对文件进行查杀。

传统的防病毒的方式是通过将文件缓存之后,再进行特征库的比对,完成检测。但是,因为需

要缓存文件,则将占用设备资源并且,造成转发延迟,一些大文件可能无法缓存,所以,直接

放过可能造成安全风险。

代理扫描 --- 文件需要全部缓存 --- 可以完成更多的如解压,脱壳之类的高级操作,并且,检

测率高,但是,效率较低,占用资源较大。

流扫描 --- 基于文件片段进行扫描 --- 效率较高,但是这种方法检测率有限

病毒分类:

按照寄生方式和传染对象分类。计算机病毒可以分为引导型病毒、文件型病毒和复合型病毒。引导型病毒寄生在磁盘的引导区或主引导区,利用系统引导时对主引导区内容正确与否的判断缺陷进行感染;文件型病毒则寄生在文件中,如可执行文件或数据文件;复合型病毒同时具有引导型病毒和文件型病毒的寄生方式。
按照破坏程度分类。计算机病毒可以分为良性病毒和恶性病毒。良性病毒不会直接破坏系统或文件,但会占用资源,影响系统效率;恶性病毒则会直接破坏系统或文件,造成严重损失。
按照传播途径分类。计算机病毒可以分为单机病毒和网络病毒。单机病毒仅在单台计算机上传播,而网络病毒则通过计算机网络传播。
按照攻击的系统分类。计算机病毒可以分为攻击DOS系统的病毒、攻击Windows系统的病毒、攻击UNIX系统的病毒等。
按照病毒的链接方式分类。计算机病毒可以分为源码型病毒、嵌入型病毒、外壳型病毒和操作系统型病毒。源码型病毒在高级语言编译时插入到程序中;嵌入型病毒将病毒代码嵌入到现有程序中;外壳型病毒将自身代码包围在攻击对象四周;操作系统型病毒取代或加入到操作系统中。

五、URL过滤

URL ---- 资源定位符

URL过滤的方法:黑白名单 --- 如果匹配白名单,则允许该URL请求;如果匹配黑名单,则将拒绝URL请求:白名单的优先级高于黑名单。

本地缓存查询:远程分类服务查询 --- 如果进行了远程的查询,则会将查询结果记录在本地的缓存

中,方便后续的查询。 

自定义的URL分类 :自定义的优先级高于预定义的优先级的,如果远程分类服务查询也没有对应分类,则将其归类为“其他”,则按照其他的处理逻辑执行。

六、 HTTPS

第一种:配置SSL解密功能,这种方法需要提前配置SSL的解密策略,因为需要防火墙在中间充当中间人,所以,性能消耗较大,效率较低。

第二种方法:加密流量进行过滤

文件过滤技术 :是指针对文件的类型进行的过滤,而不是文件的内容,想要实现这个效果,我们的设备必须识别出承载文件的应用 --- 承载文件的协议很多,所以需要先识别出协议以及应用。

文件的类型和拓展名 --- 设备可以识别出文件的真实类型,但是,如果文件的真实类型无法识别,则将基于后缀的拓展名来进行判断,主要为了减少一些绕过检测的伪装行为。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/262975.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

海外媒体发稿:链游媒体宣发推广7种有效策略解析-华媒舍

随着区块链技术的不断发展,链游(区块链游戏)已经成为了游戏市场中备受瞩目的一部分。仅仅开发出一款出色的链游并不足以成功,而有效的宣发推广策略则是不可或缺的。 本文将介绍7种有效的链游媒体宣发推广策略,帮助您了…

机器视觉【3】非线性求解相机几何参数

线性求解相机几何参数的缺点 上一章节介绍学习了(DLT)线性求解相机几何参数,了解到线性求解法当中比较明显的缺点: 没有考虑到镜头畸变的影响不能引入更多的约束条件融入到DLT算法当中优化最关键的是,代数距离并不是…

测试环境搭建整套大数据系统(六:搭建sqoop)

一:下载安装包 https://archive.apache.org/dist/sqoop/ 二:解压修改配置。 tar -zxvf sqoop-1.4.7.bin__hadoop-2.6.0.tar.gz -C /opt cd /opt mv sqoop-1.4.7.bin__hadoop-2.6.0/ sqoop-1.4.7修改环境变量 vi /etc/profile#SQOOP_HOME export SQOOP_…

Python 在Word中创建表格并填入数据、图片

在Word中,表格是一个强大的工具,它可以帮助你更好地组织、呈现和分析信息。本文将介绍如何使用Python在Word中创建表格并填入数据、图片,以及设置表格样式等。 Python Word库: 要使用Python在Word中创建或操作表格,需…

Atcoder ABC340 A-D题解

比赛链接:ABC340 话不多说&#xff0c;看题。 Problem A: 签到。 #include <bits/stdc.h> using namespace std; int main(){int a,b,d;cin>>a>>b>>d;for(int ia;i<b;id)cout<<i<<endl;return 0; } Problem B: 还是签到题。一个v…

Neo4j导入数据之JAVA JDBC

目录结构 前言设置neo4j外部访问代码整理maven 依赖java 代码 参考链接 前言 公司需要获取neo4j数据库内容进行数据筛查&#xff0c;neo4j数据库咱也是头一次基础&#xff0c;辛辛苦苦安装好整理了安装neo4j的步骤&#xff0c;如今又遇到数据不知道怎么创建&#xff0c;关关难…

石头剪刀布游戏(C语言)

题目描述 石头剪刀布游戏有 3 种出拳形状&#xff1a;石头、剪刀、布。分别用字母 A , B , C 表示。 游戏规则: 出拳形状之间的胜负规则如下&#xff1a; A > B&#xff1b;B > C&#xff1b;C > A&#xff1b;">"左边一个字母&#xff0c;表示相对优…

STM32F4XX - CAN设置

can协议部分 - 逻辑信号和电平信号 先贴上CAN信号在物理信号线上的查分信号表示形式 显性电平&#xff1a; 电压差范围为1.5-2.5v。 对应的逻辑电平是0 隐性电平&#xff1a; 其他 对应的逻辑电平是1 为什么显性电平对应的逻辑电平值为0&#xff0c;而隐性电平对应的逻辑电平…

Spring基础之AOP和代理模式

文章目录 理解AOPAOP的实现原理 AOP代理模式静态代理动态代理1-JDK动态代理2-CGLIB动态代理 总结 理解AOP OOP - - Object Oriented Programming 面向对象编程 AOP - - Aspect Oriented Programming 面向切面编程 AOP是Spring提供的关键特性之一。AOP即面向切面编程&#xff0…

年关将至送大礼 社区适时献爱心

在这个快节奏的时代&#xff0c;社区作为人们生活的重要组成部分&#xff0c;其凝聚力和互助精神显得尤为重要。2024年2月7日&#xff0c;实践队员李若钰有幸参与了社区礼盒分装的活动&#xff0c;这不仅仅是一次简单的劳动&#xff0c;更是一次心灵的洗礼和感悟。 礼盒分装&am…

10.CSS3的calc函数

CSS3 的 calc 函数 经典真题 CSS 的计算属性知道吗&#xff1f; CSS3 中的 calc 函数 calc 是英文单词 calculate&#xff08;计算&#xff09;的缩写&#xff0c;是 CSS3 的一个新增的功能。 MDN 的解释为可以用在任何长度、数值、时间、角度、频率等处&#xff0c;语法如…

Git基本操作(2)

Git基本操作&#xff08;2&#xff09; 上交文件之后&#xff0c;git文件的变化git cat-file HEAD指针里面有啥文件被修改git statusgit diff 文件名 版本回退&#xff08;git reset&#xff09;撤销回退git reflog 撤销的三种情况还没有addgit checkout -- [file] 已经add还没…

week04day03(爬虫 beautifulsoup4、)

一. 使用bs4解析网页 下载bs4 - pip install beautifulsoup4 使用的时候 import bs4专门用于解析网页的第三方库 在使用bs4的时候往往会依赖另一个库lxml pip install lxml 网页代码 <!DOCTYPE html> <html><head><meta charset"utf-8"><…

js谐音梗创意小游戏《望子成龙》

&#x1f33b; 前言 龙年到来&#xff0c;祥瑞满天。愿您如龙般矫健&#xff0c;事业腾飞&#xff1b;如龙鳞闪耀&#xff0c;生活美满。祝您龙年大吉&#xff0c;万事如意&#xff01; 龙年伊始&#xff0c;我给各位设计了一款原创的小游戏&#xff0c;话不多说&#xff0c;直…

vue3前端项目开发,具备纯天然的防止爬虫采集的特征

vue3前端项目开发,具备纯天然的防止爬虫采集的特征&#xff01;众所周知&#xff0c;网络爬虫可以在网上爬取到一些数据&#xff0c;很多公司&#xff0c;为了自己公司的数据安全&#xff0c; 尤其是web端项目&#xff0c;不希望被爬虫采集。那么&#xff0c;您可以使用vue技术…

redis GEO 类型原理及命令详解

目录 前言 一、GeoHash 的编码方法 二、Redis 操作GEO类型 前言 我们有一个需求是用户搜索附近的店铺&#xff0c;就是所谓的位置信息服务&#xff08;Location-Based Service&#xff0c;LBS&#xff09;的应用。这样的相关服务我们每天都在接触&#xff0c;用滴滴打车&am…

离散数学(一) 集合

属于关系 表示 枚举法&#xff1b; 叙述法&#xff1b; 文氏图法 基数 空集 全集 全集是相对唯一的 相等关系 有相同元素看作一个元素 包含关系 幂集 集合运算 并集 交集 补集 差集 对称差集 定理 可数集合与不可数集合 自然数集 等势 如果存在集合A到集合B的双射(又称一一…

【Oracle】玩转Oracle数据库(三):数据库的创建和管理

前言 嘿&#xff0c;各位数据库小能手们&#xff01;今天我们要进入数据库的创世纪&#xff0c;探索Oracle数据库的创建和管理&#xff01;&#x1f527;&#x1f4bb; 在这篇博文【Oracle】玩转Oracle数据库&#xff08;三&#xff09;&#xff1a;数据库的创建和管理中&#…

Flutter常用命令,持续更新

目录 前言 Flutter 常用命令 Dart 常用命令 adb 常用命令&#xff08;用于 Android 开发&#xff09; 前言 当在开发Flutter项目时&#xff0c;熟悉一些常用的命令是非常重要的。这些命令可以帮助你执行各种任务&#xff0c;从构建应用程序到调试和测试。以下是一些Flutte…

Unity中URP实现水体效果(水的深度)

文章目录 前言一、搭建预备场景1、新建一个面片&#xff0c;使其倾斜一个角度&#xff0c;来模拟水底和岸边的效果2、随便创建几个物体&#xff0c;作为与水面接触的物体3、再新建一个面片&#xff0c;作为水面 二、开始编写水体的Shader效果1、新建一个URP基础Shader2、把水体…