日志分析与HIDS系统之入侵检测与防御系统

于 2025-03-18 21:55:37 发布
阅读量693 收藏 12
点赞数 11
分类专栏: 日志分析与HIDS系统 安全防御与运营保障 渗透测试与护网蓝队 文章标签: 安全防御与运营保障 网络安全 日志分析与HIDS系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/YhMjQx/article/details/146353620
版权

文章目录

入侵检测与防御系统

教材内容

一、IDPS原理与产品
1、IDS与IPS概述

网络安全的各类产品,都有软件和硬件的存在形式,可以使用纯硬件的解决方案,也可以使用纯软件的解决方案。

无论是硬件还是软件,其工作原理都是一样的,只是性能可能会存在差别,另外就是一些高级功能。

(1)IDS:Intrusion Dedection System(检测恶意攻击行为并进行预警)

第一类:基于交换机或服务器流量(NIDS,基于网络流量的IDS),关注通信流量, 对加密流量存在检测难题

第二类:基于操作系统文件或日志(HIDS,基于主机的IDS),不关心网络通信,只关心主机行为与日志信息

(2)IPS:Intrusion Protection System(不仅检测攻击,并且可以防御)

第一类:基于网络流量的IPS(不能旁挂,必须串联,并且如果发现流量非法,则直接阻断流量)

第二类:基于Web服务器或各类应用服务器,比如Niginx或Apache,或PHP编程语言的WAF等

image-20210806145431418

2、开源产品

HIDS:OSSEC,https://www.ossec.net/,Wazuh:https://github.com/wazuh (Server+Agent),如果检测到攻击行为,则可以主动响应,比如通过DenyHost来阻止IP地址,通过防火墙进行Drop(运行批处理脚本来达到目的)。

NIDS:Snort,http://www.snort.org/, Suricata:https://suricata.io/ ,Zeek等(直接监听网络流量,通过规则来检测攻击行为),同时可以设置让所有流量经过NIDS,再调用iptables对流量进行Drop,进而让流量不到达目标服务器上。

难点:规则库的建立和编写(目前有很多规则库的积累,但是我们需要自己编写满足自己业务需要的规则库):黑名单

3、基于AI的IDPS

让AI学习大量的合法访问数据(白名单),如果发现一条流量或日志,与已经学习的特征库不匹配,则认为这是异常流量,则进行预警或防御。

4、EDR

端点检测与响应(Endpoint Detection and Response,EDR),端点指:台式机、服务器、移动设备和嵌人式设备等。攻击者往往首先利用目标网络中的脆弱端点建立桥头堡,再通过进一步的漏洞利用来构筑长期驻留条件,最终迈向既定目标。EDR完全不同于以往的端点被动防护思路,而是通过云端威胁情报、机器学习、异常行为分析、攻击指示器等方式,主动发现来自外部或内部的安全威胁,并进行自动化的阻止、取证、补救和溯源,从而有效对端点进行防护。

端点检测和响应是一种主动式端点安全解决方案,通过记录终端与网络事件(例如用户,文件,进程,注册表,内存和网络事件),并将这些信息本地存储在端点或集中数据库。结合已知的攻击指示器(Indicators of Compromise,IOCs)、行为分析的数据库来连续搜索数据和机器学习技术来监测任何可能的安全威胁,并对这些安全威胁做出快速响应。还有助于快速调查攻击范围,并提供响应能力。

5、日志分析与流量分析

(1)两种方式:在线实时分析、离线分析。

(2)规则是核心:如何基于日志或流量的特征来识别和编写规则,是在线实时分析的重点所在。

(3)安全和性能本质上无法兼得。

二、产品介绍
1、Wazuh

官方网站:https://wazuh.com/

下载清单:https://documentation.wazuh.com/current/installation-guide/packages-list.html

image-20211212000739411

(1)安全分析:基于主机日志,分布式采集

(2)入侵检测:基于解码器和规则库进行匹配和预警

(3)日志分析:支持Windows和Linux操作系统日志及自定义日志文件

(4)文件完整性检查:检查文件和目录的完整性,被篡改提醒等

(5)漏洞检测:基于Mitre和CVE进行漏洞库检测

(6)安全配置审计:SCA执行扫描以发现受监视主机中的暴露或配置错误

(7)事件响应:触发预先定义的各类指令集或批处理脚本进行处理

(8)监管合规:GDPR通用数据保护条例, PCI DSS支付行业安全标准

(9)云安全:云服务器环境更加适合软件版本的IDS

(10)容器安全:同上

image-20211212001024962

(1)基于主机的入侵检测系统

(2)合规及安全管理

(3)综合全面的SIEM解决方案:Security Information & Event Management,安全信息和事件管理

https://www.jianshu.com/p/3e0d309fbbb2

2、Suricata

官方网站:https://suricata.io/

在线文档:https://suricata.readthedocs.io/en/latest/

中文文档:https://www.osgeo.cn/suricata/, 知乎教程:https://www.zhihu.com/column/c_1340331871608311808

特性介绍:https://suricata.io/features/

3、Elastic Stack

核心产品包括 Elasticsearch、Kibana、Beats 和 Logstash(也称为 ELK Stack)。能够安全可靠地获取任何来源、任何格式的数据,然后实时地对数据进行搜索、分析和可视化。

(1)Elasticsearch搜索

image-20211212003909839

(2)Kibana展示

image-20211212003942752

(3)数据采集

image-20211212004007739

三、云主机入侵检测服务

image-20211214212553031

image-20211215045341168

入侵检测系统(IDS)和入侵防御系统(IPS)的区别
网络技术联盟站
06-08 1809
你好,这里是网络技术联盟站,我是瑞哥。在当今信息化社会,网络已经成为人们生活和工作的重要组成部分。然而,随着网络的普及和发展,网络攻击的威胁也日益严重。从早期的蠕虫病毒到如今复杂的APT(高级持续性威胁),网络攻击手段不断演化,给个人、企业甚至国家带来了巨大的安全隐患。在这种背景下,网络安全技术的研究和应用显得尤为重要。入侵检测系统(IDS)和入侵防御系统(IPS)作为网络安全的重要防护措施,逐渐成为保障网络安全的关键技术。IDS和IPS在网络安全防护中起着至关重要的作用。
基于深度学习的入侵检测系统设计实现
AI天才研究院
11-13 2275
《基于深度学习的入侵检测系统设计实现》 关键词 深度学习、入侵检测系统网络安全、异常检测、卷积神经网络、循环神经网络 摘要 本文深入探讨了基于深度学习的入侵检测系统的设计实现。首先,介绍了深度学习和入侵检测系统的基本概念,然后详细解析
IDS/IPS入侵检测防御系统
测试0901-1
04-13 1723
1. 介绍IDS(Intrusion Detection Systems):入侵检测系统,是一种网络安全设备或应用软件,可以依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,并发出安全警报。IPS(Intrusion Prevention System):入侵防御系统,除了具...
网络安全入侵检测系统的原理应用
浪里个狼游记
06-20 758
入侵检测系统(IDS)是一种动态的安全解决方案,它监控网络流量和系统活动,寻找可疑的模式或已知的威胁。IDS可以分为两大类:网络入侵检测系统(NIDS)和主机入侵检测系统HIDS)。入侵检测系统网络安全架构中的关键组件,它提供了对网络和系统安全威胁的深入洞察。通过实施IDS,组织可以更有效地防范和应对安全事件。本文提供了入侵检测系统的基础知识和一个简单的代码示例。希望这些信息能够帮助您更好地理解IDS的原理和应用,并考虑将其作为您网络安全策略的一部分。
入侵检测系统的设计实现
mh007的博客
02-23 2177
这些事件可能包括未经授权的访问、恶意软件、拒绝服务攻击等。入侵检测系统通过不同的技术手段来实现对网络流量、系统日志以及用户行为等的监控和分析,从而及时发现潜在的安全威胁。
入侵检测系统:实时监测防范网络攻击
a38417的博客
04-28 1513
基于恶意行为进行检测——以ATT&CK框架中定义的入侵模型为参考,结合对于运行时基础事件监控来建立IOC模型进行分析,能有效发现初始入侵时的远程漏洞利用、无文件攻击行为、远程控制的反弹Shell、端口扫描、横向移动、K8S的异常调用等行为。(入侵的响应)是入侵检测之后的处理工作,主要包括损失评估,根除入侵者留下的后门,数据恢复,收集入侵者留下的证据等。这是分析传入网络流量的系统。所以,入侵检测显得非常有用了,防火墙管理进入的内容,而入侵检测管理流经系统的内容,一般位于防火墙后面,防火墙协同工作。
第10篇:防火墙入侵检测系统
weidl001的博客
10-18 1469
防火墙入侵检测系统网络安全防护的重要组成部分。防火墙通过设定安全规则来控制流量,保护网络免受外部攻击;而IDS则通过实时分析网络流量和系统活动,及时检测潜在的威胁。通过对防火墙类型、策略配置、入侵检测方法的深入了解,我们可以更好地保护网络环境的安全。本篇文章为您提供了关于防火墙和入侵检测系统的详细介绍,帮助您理解如何在现实网络环境中使用这些技术进行安全防护。下一篇文章将进一步介绍网络安全协议的细节,例如SSL/TLS、VPN和IPSec的实现和应用。
入侵检测系统IDS
小哥(xpc)
11-05 5027
入侵检测系统IDS 入侵防御系统 IPS
网络安全产品之认识入侵检测系统
shuicarry66的博客
12-12 1697
入侵检测系统(IDS,Intrusion Detection Systems)是一种网络安全技术,它主动保护自己免受攻击。IDS可以被视为防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测即通过从网络系统中的若干关键节点收集并分析信息,监控网络中是否有违反安全策略的行为或者是否存在入侵行为。如果将防火墙比喻为一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统
安氏领信入侵检测系统LinkTrust HIDS
07-09
安氏领信入侵检测系统LinkTrust HIDS是一款专注于主机安全防护的入侵检测系统,由安氏公司自主研发,融合了先进的国外技术。该系统主要由控制台、分析器、调度器、计划器和目标引擎五个核心组件构成,为企业的服务器...
基于Linux的入侵检测系统的设计实现.pdf
09-06
本文总结了基于Linux的入侵检测系统的设计实现,涵盖了入侵检测技术的相关概念、Snort入侵检测系统的捕包机制和分析、Linux入侵检测系统模型的设计和实现、实验验证等内容。 知识点1:入侵检测技术的相关概念 ...
nids.rar_NIDS_nids-base_入侵检测 linux_入侵检测系统_网络入侵检测
09-24
4. **其他安全工具集成**:NIDS可防火墙、入侵防御系统(IPS)等配合,形成多层次的安全防护。 5. **定期更新签名库**:保持对最新威胁的敏感性,定期更新签名库以覆盖新出现的攻击方式。 总的来说,这个压缩包...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8668
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
COMSOL焊接热源模型详解:双椭球、高斯旋转体柱状体热源的应用优化
04-06
内容概要:本文详细介绍了COMSOL软件中三种常用的焊接热源模型:双椭球热源、高斯旋转体热源和柱状体热源。双椭球热源适用于电弧焊,通过将热源分为前后两个半椭球,能够更好地模拟熔池的温度梯度变化;高斯旋转体热源适合激光焊,采用旋转对称的高斯函数描述热流密度分布;柱状体热源则用于电阻焊等均匀加热场景,尽管物理上不够精确,但计算速度快。文中还提供了具体的MATLAB代码实现,并分享了参数调试的经验和注意事项。 适合人群:从事焊接仿真研究的技术人员、研究生以及相关领域的研究人员。 使用场景及目标:帮助用户选择合适的热源模型进行焊接仿真,确保仿真结果的准确性。同时,提供实用的参数调试技巧,避免常见错误,提高仿真的效率和可靠性。 其他说明:强调了不同热源模型的特点及其适用场景,提醒用户根据实际情况灵活调整参数,并结合实验数据进行验证。
带你去认识RFID技术
最新发布
04-06
带你去认识RFID技术
开关磁阻电机(SRM)的MatlabMaxwell仿真建模及控制策略研究
04-06
内容概要:本文深入探讨了开关磁阻电机(SRM)的仿真方法和技术细节,涵盖了从Matlab仿真模型搭建到Maxwell有限元仿真的全过程。首先介绍了SRM的基本参数设置及其在Simulink中的电磁关系建模,接着详细讲解了两种常见的控制策略:电流斩波控制(CCC)和角度位置控制(APC)。随后讨论了Maxwell中SRM几何结构的精确建模、材料属性设置及网格划分技巧,并阐述了转矩分配函数(TSF)和直接转矩控制(DTC)的具体实现。最后分享了一些实用的仿真优化建议,如响应面法和遗传算法的应用。 适合人群:从事电机控制系统设计的研发工程师、高校师生及相关领域的研究人员。 使用场景及目标:适用于希望深入了解SRM工作原理并掌握其仿真技能的专业人士;旨在帮助读者构建高效的SRM仿真平台,提高电机性能,降低开发成本。 其他说明:文中提供了大量MATLAB代码片段和Maxwell建模指导,便于读者理解和实践。此外,还提到了许多实际操作中的注意事项和常见错误,有助于避免不必要的弯路。
Windows 10 Enterprise G 麦克风摄像头开关工具
04-06
一键打开或关闭Windows 10 Enterprise G 麦克风或摄像头
LightCNN-29Layer预训练模型
04-06
https://github.com/AlfredXiangWu/LightCNN 预训练模型
电-气-热综合能源系统节点能价计算方法及其碳排放成本优化
04-06
内容概要:本文深入探讨了电-气-热综合能源系统的节点能价计算方法,重点介绍了如何将碳排放成本纳入系统优化中。作者通过复现论文中的模型,展示了电、气、热潮流的耦合实现,并提出了以综合能源系统总运行成本和碳排放成本最小为目标函数的优化调度模型。文中详细解释了模型的关键组成部分,如目标函数的设计、多能流优化以及节点能价的计算方法。通过多个实例验证,证明了该模型的有效性和通用性。 适合人群:对综合能源系统建模感兴趣的科研人员和技术开发者,尤其是希望深入了解电-气-热耦合系统及碳排放成本优化的人群。 使用场景及目标:适用于需要进行综合能源系统优化的研究和工程项目,旨在降低碳排放并优化能源系统的总成本。具体应用场景包括但不限于电力系统、天然气系统和热力系统的联合优化调度。 其他说明:文章不仅提供了详细的代码实现和模型解析,还讨论了模型的实际应用效果和潜在改进方向。通过具体的案例分析,展示了模型在不同规模和类型的能源系统中的表现,为后续研究提供了宝贵的参考。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值