入侵防御系统存在的问题及解决办法,入侵防御系统简介
入侵防御系统存在的问题及解决办法
入侵防御系统系统引入了世界上最好的新一代入侵防御系统(ng IPS):惠普tippingpointtippingpoint的主动入侵防御系统可以防止蠕虫、病毒、木马、拒绝服务攻击、间谍软件、VOIP攻击和点对点应用的滥用。通过深入到第7层的流量检测,TippingPoint的入侵防御系统在损失发生之前阻止了邪恶
入侵防护系统(IPS)的原理?
入侵防御系统防火墙是一个实施访问控制策略的系统。它检查网络流量,拦截不符合安全策略的数据包 入侵检测技术监控网络或系统资源,以发现违反安全策略的攻击行为或迹象,并发出警报 传统防火墙旨在拒绝那些明显可疑的网络流量,但这种类型的攻击很有名,经常出现在CERT、SANS、CSI等国际网络安全组织最具威胁性的攻击类型列表中。 据统计,缓冲区溢出攻击占所有系统攻击的80%以上。 这是一种渗透系统的攻击技术。其基本原理是,当某个程序的输入数据超过时,入侵防御系统(IPS principle firewall)是一个实施访问控制策略、检查流经它的网络流量并截获不符合安全策略的数据包的系统。 入侵检测技术监控网络或系统资源,以发现违反安全策略的攻击行为或迹象,并发出警报 传统防火墙旨在拒绝那些明显可疑的网络流量。然而,随着对网络安全问题认识的加深,入侵检测技术发展迅速,应用保护的概念逐渐被人们接受并应用到入侵检测产品中。 在千兆环境下,如何解决应用程序保护和千兆高速,建议使用tinder杀毒软件,简单实用,简单杀毒,下载不到10 m。
入侵防御系统简介
入侵防御系统系统引入了世界上最好的新一代入侵防御系统(ng IPS):惠普tippingpointtippingpoint的主动入侵防御系统可以防止蠕虫、病毒、木马、拒绝服务攻击、间谍软件、VOIP攻击和点对点应用的滥用。通过深入到第7层的流量检测,TippingPoint的入侵防御系统在损失发生之前阻止了邪恶
入侵防护系统(IPS)的原理?
入侵防御系统存在的问题及解决办法范文
一、IPS应用中的困境
入侵防御系统上线后带给用户的实际体验往往非常糟糕。许多已经测试或正在使用入侵防御系统的用户经常抱怨入侵防御系统每天提示太多信息。他们不知道什么是真实和有效的警报,什么是虚假警报或可忽略的信息,甚至经常阻止正常的通信行为,严重影响业务系统的正常访问。
大量事件警报
二。问题原因简要分析
事实上,上述情况很大程度上是由于在线调试过程中入侵防御系统(IPS)的方法不正确造成的,通常加载一个模板,如“完全检测策略”和“选择策略”,或者简单地选择几种攻击类型。最终,这种非目标策略导致入侵防御系统(IPS)在操作过程中产生大量事件,即使检测到真实的攻击行为,也无法及时呈现。
IPS提示事件通常可分为以下四类:
1.警告信息类别:不安全且存在隐患的正常访问行为(如FTP匿名访问、管理员帐户登录远程桌面、访问网页的admin.php页面等)。);2.可疑事件类别:可能对保护目标造成损害的访问行为(例如,过长的网址请求、带有“窗口”的网页上传。打开“(网址)”);3.攻击行为类:真正的恶意扫描和攻击行为(如端口扫描、SQL注入语句等)。)瞄准目标。此类事件通常检测到访问中存在明显的具有攻击特征的信息;4.虚警类型:由入侵防御系统检测机制引起的虚警事件,是当前入侵防御系统不可避免的;由此可见,入侵防御系统中内置的默认策略模板都引用了大量的特征规则或所有特征规则,这使得入侵防御系统上线后收集的信息非常多。这种入侵防御系统调试方法最终导致预警信息、可疑事件和误报信息在长期运行过程中逐渐“堆积成山”,淹没关键攻击行为警报或其他重要事件。用户每次登录设备时都会面临无数不关心的警报,体验的感觉自然是无法谈论的。
三。IPS如何解决问题
事实上,由于入侵防御系统产品的工作原理和特点,它们的在线部署与防火墙等网关安全产品有很大区别。一般来说,IPS产品需要经过实际环境中策略的测试和操作,以及以后有针对性的调整过程。同时,为了确保用户能够正确使用入侵防御系统,并在日常工作中充分利用入侵防御系统,他们还需要入侵防御系统日常管理方面的培训。虽然入侵防御系统具有上述“硬实力”,但为了进一步确保入侵防御系统在测试和使用过程中获得最佳效果和经验,并展示入侵防御系统的卓越保护能力,建议将产品与下图所示标准化流程的“软实力”结合起来在线部署:
图IPS标准化部署流程
1.系统环境调查(System Environment Survey):在部署入侵防御系统之前,在保证准确性的前提下,尽可能详细地收集目标系统环境信息,至少包括:用户的真实需求、网络条件、应用系统条件、业务对象和流程,以确定入侵防御系统的访问方法、保护对象和策略等。
2.初始策略定义(Initial Policy Definition):在对系统环境有了大致的了解之后,有必要为入侵防御系统制定相应的保护策略。以入侵防御系统为例,要考虑的策略包括“访问控制策略”、“流量策略”、“攻击检测策略”、“病毒检测策略”、“应用程序识别策略”和“网址过滤策略”。当然,在复杂的网络和应用环境下,很多时候当系统环境信息的收集不能全面和准确时,可以全面和宽松地定义初始策略,即避免遗漏保护目标的检测,并防止对正常访问的严重影响。
3.初步分析和确认:在加载并运行初始策略后,通常会生成许多事件信息。因此,有必要对这些信息进行分析和确认,其中,根据警告信息的提示,确认是否存在隐患(如事件中有FTP匿名访问请求,系统是否允许FTP匿名访问);根据可疑事件类型信息提示,确认访问是否危及保护目标(如事件中存在网址过长请求,网页发布者是网址过长请求溢出漏洞的版本,如IIS4.0或更低版本);根据攻击行为信息的提示,确认是否是虚警。通过对收集到的事件的初步分析,系统管理员可以经常了解许多被忽视的问题和隐患,甚至可以清楚地分析出连管理员都不太清楚的业务访问过程。在此阶段,可以根据入侵防御系统检测到的信息(例如修改默认帐户、打补丁、升级系统版本等),帮助用户简单地增强目标系统。)。
4.目标细化策略:根据分析和确认的结果,将有针对性地调整IPS策略。由于不同的保护目标采用不同的系统、应用程序和业务流程,建议根据保护目标制定有针对性的检测规则和保护策略。基于初始策略,攻击检测规则可以移除不会造成损害的预警事件(例如,如果FTP服务器不允许匿名访问,则可以移除FTP匿名访问检测规则),以及用户选择忽略的预警事件(例如,用户认为他的admin.php具有证书认证机制,并且不会受到密码爆炸的威胁)。然后可以删除admin.php访问检测规则),并且可以删除可以排除的可疑事件的信息(例如,Apache版本2.2或更高版本,Apache网络服务器程序不知道的远程拒绝服务攻击检测规则)。对于被确认为误报的事件,如果确定无法接收到此类攻击的影响,也可以删除检测规则,或者通过调整特征规则的定义来解决检测规则。同时,由于细化后的策略排除了一些不需要注意的规则和误报,在策略定义中可以采用各种检测规则的默认动作,一些高风险的扫描和攻击行为可以及时被阻止(但是,建议阻塞检测规则应该配置“记录消息”作为攻击取证或误报的判断依据)。
5.重新分析和确认:在加载了有针对性的详细策略后,设备能够检测到的事件理论上是用户真正关心的事件,如“攻击行为类”,可能导致保护目标被破坏。但是,由于设备加载的初始策略运行时间短,一些访问不会发生。加载优化策略时,仍可能会生成少量预警信息或错误警报(日常操作中将会定期更新)。因此,还可以看出,事件分析和策略目标细化是整个入侵防御系统使用过程中的一个循环内容。因此,建议要求用户相关管理人员参与分析确认和政策针对性细化过程,以方便事件分析,加深用户对IPS产品核心功能的理解。
6.日常管理培训:入侵防御系统(IPS)和防火墙等被动防御网关产品各不相同,要求管理员在日常使用中频繁执行更频繁的操作,如监控系统自身运行状态、监控业务运行安全状态、监控终端行为安全状态、分析入侵防御系统事件、调整策略、生成和管理报告、处理故障等。因此,有必要对入侵防御系统的日常管理人员进行有针对性的培训,以便管理员能够对入侵防御系统的设计理念、保护功能有透彻的了解,并熟悉操作流程。