猿创征文｜HCIE-Security Day56：入侵防御技术

传统的防病毒技术，单机版的也好，网关板的也好，都是基于病毒特征进行检测的，具有一定滞后性，如果攻击者设计开发新的病毒，因为是新的特征，则无能为力。

为了实时监测病毒，防御未知的威胁，则可以使用沙箱firehunter等设备。

网络入侵监测简介

传统电脑病毒等网络威胁，向由利益驱动的，全面的网络威胁发展变化。

主要有：黑客入侵、拒绝服务攻击、病毒及恶意软件、个人安全意识薄弱。

入侵

什么是入侵

指未经授权而尝试访问信息系统资源、篡改信息系统中的数据、使信息系统不可靠或者不能使用的行为，入侵企图破坏信息系统的完整性，机密性以及可用性、可控性。

典型的入侵行为

篡改web网页

破解系统密码

复制/查看敏感数据

使用网络嗅探工具获取用户密码

访问未经允许的服务器

其他特殊硬件获得原始网络包

向主机植入特洛伊木马程序

常见入侵方式

漏洞

指在硬件、软件、协议的具体实现或者系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或者破坏系统

漏洞会影响到很大范围的软硬件设备，包括操作系统本身及支撑软件，路由器、防火墙等。

在不同的软、硬件设备中，不同系统、或者同种系统在不同的设置条件下，都会存在各自不同的安全漏洞问题。

入侵检测系统

ids和ips可以同时出现，也可以单个出现。华为使用NIP这个称呼表示IDS/IPS,LAB使用NIP6000E。

入侵检测：通过监视各种操作，分析、审计各种数据和现象来实时监测入侵行为的过程，它是一种积极的和动态的安全防御技术；入侵监测的内容涵盖了授权的和非授权的各种入侵行为。

入侵检测系统：用于入侵检测的所有软硬件系统，发现有违反安全策略的行为或系统存在被攻击的痕迹，立即启动有关安全机制进行应对。该系统也部分集成到了防火墙中。

特点

检测速度快

隐蔽性好：一般使用二层&#