赞
踩
攻击可能只是一个点,防御需要全方面进行
DPI — 深度包检测技术 — 主要针对完整的数据包(数据包分片,分段需要重组),之后对
数据包的内容进行识别。(应用层)
基于“特征字”的检测技术 — 最常用的识别手段,基于一些协议的字段来识别特
征。
基于应用网关的检测技术 — 有些应用控制和数据传输是分离的,比如一些视频流。
一开始需要TCP建立连接,协商参数,这一部分我们称为信令部分。之后,正式传输数
据后,可能就通过UDP协议来传输,流量缺失可以识别的特征。所以,该技术就是基于
前面信令部分的信息进行识别和控制。
基于行为模式的检测技术 — 比如我们需要拦截一些垃圾邮件,但是,从特征字中很
难区分垃圾邮件和正常邮件,所以,我们可以基于行为来进行判断。比如,垃圾邮件可
能存在高频,群发等特性,如果出现,我们可以将其认定为垃圾邮件,进行拦截,对IP
进行封锁。
DFI — 深度流检测技术— 一种基于流量行为的应用识别技术。这种方法比较适合判断P2P流
量。
结论:
IDS — 侧重于风险管理的设备
IPS — 侧重于风险控制的设备
异常检测基于一个假定,即用户行为是可以预测的,遵循一致性模式的;
误用检测其实就是创建了一个异常行为的特征库。我们将一些入侵行为记录下来,总结成
为特征,之后,检测流量和特征库进行对比,来发现威胁。
对象 ——服务端,客户端,服务端和客户端
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。