IDS防火墙的安全威胁检测机制,为了真正理解ids,我们必须理解它能够探测到的安全威胁。
威胁可以分为攻击或滥用,它们可以在应用层使用网络协议或恶意内容。
1.网站攻击或滥用
攻击是一种未经授权的活动,恶意尝试利用巧尽心思构建的代码或技术。攻击包括拒绝服务、病
毒或蠕虫感染、缓冲区溢出、格式错误的请求、文件损坏、禁用网络数据包或未经授权的程序执
行。滥用是一种没有特殊代码的未经授权的活动。在这种情况下,攻击性的人通常使用精心设计
的传输或请求和授权级别进行恶意破坏。滥用也可能意味着意外的后果。无论如何检测警报,管
理员将所有警报分为四类:正确肯定(正确报告的重要事件),错报(报告错误的无关紧要事件),
正确的否认(被正确忽略的不重要事件),报告失败(一个不被正确忽视的重要事件)大多数id
用于从外部检测恶意攻击,但是企业内部也有检查来监视用户行为和违规行为。安全性调查常常
表明,内部滥用事件是缺少企业数据的主要原因,而ids工具可以跟踪内部恶意攻击(故意或无意
)或外部攻击。
毒或蠕虫感染、缓冲区溢出、格式错误的请求、文件损坏、禁用网络数据包或未经授权的程序执
行。滥用是一种没有特殊代码的未经授权的活动。在这种情况下,攻击性的人通常使用精心设计
的传输或请求和授权级别进行恶意破坏。滥用也可能意味着意外的后果。无论如何检测警报,管
理员将所有警报分为四类:正确肯定(正确报告的重要事件),错报(报告错误的无关紧要事件),
正确的否认(被正确忽略的不重要事件),报告失败(一个不被正确忽视的重要事件)大多数id
用于从外部检测恶意攻击,但是企业内部也有检查来监视用户行为和违规行为。安全性调查常常
表明,内部滥用事件是缺少企业数据的主要原因,而ids工具可以跟踪内部恶意攻击(故意或无意
)或外部攻击。
2.网络协议攻击
ids开发网络协议(osi模型的第二层和第三层)检测到许多安全威胁。当信息在网络主机之间传
输时,高级应用程序(如ftp客户端、Web服务器和im聊天程序)发送的指令和数据被视为装载放
在离散容器中的内容(称为数据报或消息),然后从源地址编号并发送到目标。当数据包到达目
的地时,它们将重组并将内容传递给目标应用程序。网络协议定义了数据包的格式以及源和目标
之间的传输模式。恶意网络协议攻击干扰进程的正常运行。分段和重构攻击。攻击可以使用分段
偏移值将数据包重新组装成恶意数据包。如果id或防火墙允许切片,而且在检查前不会重组数据
包,则漏洞可能会被混淆。如今,大多数id、操作系统和防火墙都涉及碎片防御。
输时,高级应用程序(如ftp客户端、Web服务器和im聊天程序)发送的指令和数据被视为装载放
在离散容器中的内容(称为数据报或消息),然后从源地址编号并发送到目标。当数据包到达目
的地时,它们将重组并将内容传递给目标应用程序。网络协议定义了数据包的格式以及源和目标
之间的传输模式。恶意网络协议攻击干扰进程的正常运行。分段和重构攻击。攻击可以使用分段
偏移值将数据包重新组装成恶意数据包。如果id或防火墙允许切片,而且在检查前不会重组数据
包,则漏洞可能会被混淆。如今,大多数id、操作系统和防火墙都涉及碎片防御。
3.应用程序攻击
尽管网络协议攻击非常普遍,但大多数安全威胁都是使用主机应用层。在这种情况下,tcp/ip数
据包是合法构造的,但它们的数据加载包含恶意内容。应用程序攻击可能是利用操作系统或应用
程序漏洞的文本命令,也可能包含恶意内容,如缓冲区溢出漏洞、恶意构建的命令或计算机病毒
。应用程序攻击包括密码盗窃、跨站点脚本攻击、恶意网站、试图破译密码、根工具箱软件、非
法数据操作、未经授权的文件访问以及任何不依赖恶意网络数据包工作的攻击。内容模糊性和标
准,大多数id可以在网络包加载数据中查找已知的恶意命令或数据。ids数据库中逐字节的比较。
如果有内容匹配,则将其标记为事件。这是基于信号的入侵检测系统的原理。
据包是合法构造的,但它们的数据加载包含恶意内容。应用程序攻击可能是利用操作系统或应用
程序漏洞的文本命令,也可能包含恶意内容,如缓冲区溢出漏洞、恶意构建的命令或计算机病毒
。应用程序攻击包括密码盗窃、跨站点脚本攻击、恶意网站、试图破译密码、根工具箱软件、非
法数据操作、未经授权的文件访问以及任何不依赖恶意网络数据包工作的攻击。内容模糊性和标
准,大多数id可以在网络包加载数据中查找已知的恶意命令或数据。ids数据库中逐字节的比较。
如果有内容匹配,则将其标记为事件。这是基于信号的入侵检测系统的原理。
您可以使用代码隐藏命令文本和数据以创建恶意消息。攻击者使用各种技术欺骗入侵检测系统
,包括使用标记代替空格、将小写值改为大写、长时间将数据分割成命令、隐藏参数、过早结束
请求、对几个不同数据包使用太长的网址以及使用文本分隔符。ids的特性数据库必须考虑所有
可以最终创建相同恶意模式的编码方法和技术。这项任务通常在检查前通过数据标准化来完成。
标准化将片段重新组装成整个包,将编码字符转换成ascii纯文本,纠正语法错误,删除冗余字
符,将索引标签转换成空格,删除常用的黑客技术,并尝试将数据转换成最终希望的形式。
,包括使用标记代替空格、将小写值改为大写、长时间将数据分割成命令、隐藏参数、过早结束
请求、对几个不同数据包使用太长的网址以及使用文本分隔符。ids的特性数据库必须考虑所有
可以最终创建相同恶意模式的编码方法和技术。这项任务通常在检查前通过数据标准化来完成。
标准化将片段重新组装成整个包,将编码字符转换成ascii纯文本,纠正语法错误,删除冗余字
符,将索引标签转换成空格,删除常用的黑客技术,并尝试将数据转换成最终希望的形式。