概述
入侵检测系统(IDS)是网络行为的监控系统。它通过实时地监视网络,一旦发现异常情况就发出警告,根据检测方法又可分为异常入侵检测和基于特征库的入侵检测。
不同于防火墙,IDS是一个监听设备,采用旁路部署,不需串接在网络中,无须网络流量“流经”它便可以工作。IDS部署唯一要求是,IDS应当旁路部署于所关注流量都流经的链路上。在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。
入侵防御系统(IPS)是在IDS技术上发展起来的。旁路式IDS(入侵检测系统)对绝大多数的攻击行为只能记录日志,而不能进行阻断。而IPS是在线式的,直接部署在不同安全级别的网络区域之间。这种在线式的IPS对各种攻击均可直接阻断并生成日志。
自由的部署模式
入侵检测/防御系统(IPS/IDS)具有多种部署模式,用户可以根据自己的实际网络情况选择相应的部署方式。
NAT模式
NAT模式是指设备工作在三层路由模式,以网关模式部署在组织网络中,所有流量都通过处理,实现对内网用户上网行为的流量管理、行为控制、日志审计等功能。作为组织的出口网关,安全功能可保障组织网络安全,支持多线路技术扩展出口带宽,NAT功能代理内网用户上网,实现路由功能等。
透明模式
透明模式是指设备工作在二层交换模式,设备以网桥模式部署在组织网络中,如同连接在出口网关和内网交换机之间的“智能网线”,实现对内网用户上网行为的流量管理、行为控制、日志审计、安全防护等功能。网桥模式适用于不希望更改网络结构、路由配置、IP配置的组织。
旁路模式
旁落模式采用流量镜像的方式,也就是在交换机或者路由器上做流量镜像。IDS对流量进行监听,发现其中的攻击、病毒和各种网络行为。IDS可以支持多路流量的审计
强大的攻击库
IPS特征库内置7000多种攻击特征,并自动通过Internet更新,确保用户在第一时间实现对最新攻击方式的防御。IPS特征库中包含大量国内特有的攻击或应用,如QQ、迅雷等,适应国内用户的本土化需求。
溢出类攻击(buffer overflow)
缓存溢出(Buffer overflow),是指在存在缓存溢出安全漏洞的计算机中,攻击者可以用超出常规长度的字符数来填满一个域,通常是内存区地址。在某些情况下,这些过量的字符能够作为“可执行”代码来运行。从而使得攻击者可以不受安全措施的约束来控制被攻击的计算机。
暴力破解类
暴力破解(brute force),又名暴力攻击、暴力猜解,从数学和逻辑学的角度,它属于穷举法在现实场景的运用。比如,由于同一个Web应用系统需要同时提供给不同的用户进行访问,为了区分用户及权限,身份认证和访问控制作为Web应用安全手段逐渐应用开来。然而由于登录功能的公开性,使得攻击者猜测用户名和密码以获取未授权访问的应用程序功能的攻击成了一种常见的Web应用安全风险。这种攻击手法我们一般称之为“暴力破解”。
SQL注入类攻击
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
Webshell类攻击
攻击者在入侵企业网站时,通常要通过各种方式获取webshell从而获得企业网站的控制权,然后方便进行之后的入侵行为。常见攻击方式有:直接上传获取webshell、SQL注入、远程文件包含(RFI)、FTP,甚至使用跨站点脚本(XSS)作为攻击的一部分,甚至一些比较老旧的方法利用后台数据库备份及恢复获取webshell、数据库压缩等。通用功能包括但不限于shell命令执行、代码执行、数据库枚举和文件管理。
跨站脚本类攻击(XSS)
跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。
扫描类攻击(Scanner)
漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。漏洞扫描器包括网络漏扫、主机漏扫、数据库漏扫等不同种类。
跨站请求伪造攻击(CSRF)
浏览器有关Cookie的设计缺陷当前主流的Web应用都是采用Cookie方式来保存会话状态,但是浏览器在引入Cookie时却忽视了一项非常重要的安全因素,即从WEB页面产生的文件请求都会带上COOKIE。Cookie的这一特性使得用户始终以登录的身份访问网站提供了便利,但同时,也方便了攻击者盗用身份信息执行恶意行为