入侵防御(IPS)技术，怎么做好入侵防护

比眉伴天荒 2024-03-25 23:27 101阅读 0赞

入侵防御是种既能发现又能阻止入侵行为的新安全防御技术。通过检测发现网络入侵后，能自动丢弃入侵报文或者阻断攻击源，从而从根本上避免攻击行为。入侵防御的主要优势有如下几点：

实时阻断攻击：设备采用直路方式部署在网络中，能够在检测到入侵时，实时对入侵活动和攻击性网络流量进行拦截，把其对网络的入侵降到最低。

深层防护：由于新型的攻击都隐藏在TCP/IP协议的应用层里，入侵防御能检测报文应用层的内容，还可以对网络数据流重组进行协议分析和检测，并根据攻击类型、策略等来确定哪些流量应该被拦截。

全方位防护：入侵防御可以提供针对蠕虫、病毒、木马、僵尸网络、间谍软件、广告软件、CGI（Common Gateway Interface）攻击、跨站脚本攻击、注入攻击、目录遍历、信息泄露、远程文件包含攻击、溢出攻击、代码执行、拒绝服务、扫描工具、后门等攻击的防护措施，全方位防御各种攻击，保护网络安全。

内外兼防：入侵防御不但可以防止来自于企业外部的攻击，还可以防止发自于企业内部的攻击。系统对经过的流量都可以进行检测，既可以对服务器进行防护，也可以对客户端进行防护。  
不断升级，精准防护：入侵防御特征库会持续的更新，以保持最高水平的安全性。

### 与传动IDS的不同： ###

IDS（Intrusion Detection System）入侵检测系统。

总体上说，IDS对那些异常的、可能是入侵行为的数据进行检测和报警，告知使用者网络中的实时状况，并提供相应的解决、处理方法，是一种侧重于风险管理的安全功能。
    
        而入侵防御对那些被明确判断为攻击行为，会对网络、数据造成危害的恶意行为进行检测，并实时终止，降低或是减免使用者对异常状况的处理资源开销，是一种侧重于风险控制的安全功能。

入侵防御技术在传统IDS的基础上增加了强大的防御功能：

传统IDS很难对基于应用层的攻击进行预防和阻止。入侵防御设备能够有效防御应用层攻击。  
而由于重要数据夹杂在过多的一般性数据中，IDS很容易忽视真正的攻击，误报和漏报率居高不下，日志和告警过多。而入侵防御功能则可以对报文层层剥离，进行协议识别和报文解析，对解析后的报文分类并进行专业的特征匹配，保证了检测的精确性。

IDS设备只能被动检测保护目标遭到何种攻击。为阻止进一步攻击行为，它只能通过响应机制报告给FW，由FW来阻断攻击。  
入侵防御是一种主动积极的入侵防范阻止系统。检测到攻击企图时会自动将攻击包丢掉或将攻击源阻断，有效地实现了主动防御功能

服务器被入侵怎么处理

一、检查系统账号安全

1、查看服务器是否有弱口令，远程管理端口是否对公网开放。

2、查看服务器是否存在可疑账号、新增账号。

打开 cmd 窗口，输入lusrmgr.msc命令，查看是否有新增/可疑的账号。

3、查看服务器是否存在隐藏账号、克隆账号

在cmd中输入：net user 看看有没有陌生用户

在cmd中输入：regedit 找到注册表分支“HKEY\_LOCAL\_MACHINE/SAM/SAM/Domains/Account/Users/Names/”看看有没有克隆用户

二、检查网络

在cmd命令行中输入 netstat -ano 查看目前的网络连接，定位可疑的pid。

根据定位出的pid，再通过tasklist命令进行进程定位 tasklist | findstr “PID”

发现的感觉异常的 IP 地址可以在威胁情报平台上查询，如果是已知的恶意 IP，可以比较快速的确认攻击方式。

三、检查日志、启动项、计划任务

1、结合日志，查看管理员登录时间、用户名是否存在异常。

首先Win+R打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”。系统日志包含Windows系统组件记录的事件。应用程序日志包含由应用程序或程序记录的事件。安全日志包含诸如有效和无效的登录尝试等事件，以及与资源使用相关的事件，如创建、打开或删除文件或其他对象。

2、查看启动项

(1)按下win+r键打开运行，输入 shell:startup 打开开机启动项文件夹，检查是否有可疑自启动文件。

(2)按下win+r键打开运行，输入msconfig 查看是否存在命名异常的启动项目，是则取消勾选命名异常的启动项目，并到命令中显示的路径删除文件。

(3)按下win+r键打开运行，输入regedit 打开注册表，查看开机启动项是否正常，特别注意如下三个注册表项：

HKEY\_CURRENT\_USERsoftwaremicorsoftwindowscurrentversion un

HKEY\_LOCAL\_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

HKEY\_LOCAL\_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce

3、查看计划任务

按下win+r键打开运行，输入taskschd.msc 打开任务计划，查看有没有可疑的计划任务。

四、查看日志信息是否还存在或者是否被清空，入侵者可能会删除机器的日志信息。

五、如果数据库被入侵，查看数据库登录日志等，如Sqlserver数据库支持设置记录用户登录成功 和失败的日志信息。

六、检测系统中的文件是否被删除或者更改。

七、 下载杀毒软件对服务器进行全屏的扫描查杀

### 网络安全学习资源分享: ###

**零基础入门**

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

![在这里插入图片描述][e3fe194bc16748bbbd7bac78c4d41daa.png_pic_center]

[CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享 (qq.com)][CSDN_ _qq.com]

同时每个成长路线对应的板块都有配套的视频提供：

![在这里插入图片描述][b34f14b3f8af40918495da7aa0cfdb80.jpeg_pic_center]

![在这里插入图片描述][80948265729a41e097f642334332e2e9.png_pic_center]

[CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享 (qq.com)][CSDN_ _qq.com]

因篇幅有限，仅展示部分资料，需要点击上方链接即可获取

[e3fe194bc16748bbbd7bac78c4d41daa.png_pic_center]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/25/ae14ece9c3f541038ad5b3069eed44b9.png
[CSDN_ _qq.com]: https://docs.qq.com/doc/DZUhPR0ZQV2RHVlRu
[b34f14b3f8af40918495da7aa0cfdb80.jpeg_pic_center]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/25/30f60b2f8fa046d086217efd40f92e7a.png
[80948265729a41e097f642334332e2e9.png_pic_center]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/25/62fa5301d56a42a48d16d612b147f5db.png