|
|
知识路径: > 入侵检测技术原理与应用 > 入侵检测系统主要技术指标与产品 > 入侵检测产品工作机制分析、入侵检测产品标准理解、入侵检测产品适用场景等 >
|
|
相关知识点:7个
|
|
|
|
|
入侵检测是网络安全监测与预警的核心关键技术,其产品技术日渐成熟完善。目前,常见的入侵检测相关产品有如下几类。
|
|
|
|
|
|
产品技术原理是根据主机活动信息及重要文件,采用特征匹配、系统文件监测、安全规则符合检查、文件数字指纹、大数据分析等综合技术方法发现入侵行为。典型产品形态有终端安全产品,如北信源主机监控审计系统、360安全卫士、McAfee MVISION Endpoint Detection and Response(EDR)等。
|
|
|
|
|
|
产品技术原理是根据网络流量数据进行分析,利用特征检测、协议异常检测等技术方法发现入侵行为。以绿盟科技集团股份有限公司的IDS为例,其产品技术结构如下图所示。
|
|
|
|
|
|
|
|
北京天融信网络安全技术有限公司、启明星辰信息技术集团股份有限公司等国内安全公司也都提供此类产品。
|
|
|
|
|
|
统一威胁管理(简称为UTM)通常会集成入侵检测系统相关的功能模块,是入侵检测技术产品的表现形态之一。统一威胁管理是由硬件、软件和网络技术组成的具有专门用途的设备,该设备主要提供一项或多项安全功能,同时将多种安全特性集成于一个硬件设备里,形成标准的统一威胁管理平台。其通过统一部署的安全策略,融合多种安全功能,是针对网络及应用系统的安全威胁进行综合防御的网关型设备或系统。UTM通常部署在内部网络与外部网络的边界,对流出和进入内部网络的数据进行保护和控制。UTM在实际网络中的部署方式通常包括透明网桥、路由转发和NAT网关。
|
|
|
|
|
|
高级持续威胁(简称为APT)是复杂性攻击技术,通常将恶意代码嵌入Word文档、Excel文档、PPT文档、PDF文档或电子邮件中,以实现更隐蔽的网络攻击,以逃避普通的网络安全检查。例如,肚脑虫(Donot)组织以“克什米尔问题”命名的诱饵漏洞文档,该文档利用了CVE-2017-8570漏洞,其主要的攻击流程如下图所示。
|
|
|
|
|
|
|
|
高级持续威胁检测系统是入侵检测技术产品的特殊形态,其产品技术原理基于静态/动态分析检测可疑恶意电子文件及关联分析网络安全大数据以发现高级持续威胁活动。目前,国内的APT产品有安天追影威胁分析系统、360天眼新一代威胁感知系统、华为FireHunter6000系列沙箱及CIS网络安全智能系统。
|
|
|
|
|
|
根据入侵检测应用对象,常见的产品类型有Web IDS、数据库IDS、工控IDS等。其中,Web IDS利用Web网络通信流量或Web访问日志等信息,检测常见的Web攻击,如Webshell、SQL注入、远程文件包含(RFI)、跨站点脚本(XSS)等攻击行为;数据库IDS利用数据库网络通信流量或数据库访问日志等信息,对常见的数据库攻击行为进行检测,如数据库系统口令攻击、SQL注入攻击、数据库漏洞利用攻击等;而工控IDS则通过获取工控设备、工控协议相关信息,根据工控漏洞攻击检测规则、异常报文特征和工控协议安全策略,检测工控系统的攻击行为。
|
|
|
