网络安全技术
网络安全模型
- PDR模型
- P2DR模型
- PDRR安全模型
- APPDRR模型
- PADIMEE模型
网络安全预警
- 实时网络数据流跟踪
- 网络攻击模式识别
- 网络安全违规活动捕获
- 对将要发生的或已发生的网络攻击进行预警
- 对攻击的下一步动作进行合理的推测
过程
- 数据采集
- 检测信息、设备操作信息、流量变化情况
- 数据提取
- 格式转换
- 事件分析
- 分类、挖掘
- 安全预警
- 生成未来可能发生的事件
- 结果
- 响应方案
常见预警模型
- 基于入侵事件
- 基于攻击过程
- 基于流量监控
- 宏观网络
威胁情报技术
- 战略性威胁情报是从威胁的全貌及未来发展动态的知识信息,主要提供给高层战略决策者使用。
- 操作性威胁情报是针对特定攻击的可付诸行动的知识信息。
- 战术性威胁情报是关于网络攻击战术性的知识信息(如攻击技巧、方法等)。
- 技术性威胁情报是关于攻击的技术细节的知识信息,包括攻击的工具、命令、控制渠道、基础架构等技术信息。
基于威胁情报的网络安全预警
加密保护技术
- 数据传输加密
- 数据存储加密
- 数据完整性鉴别
传输加密模式
- 链路加密
- 保护通信链路中所有节点之间的链路信息安全
- 节点加密
- 保护明文不在节点中出现的加密技术
- 端到端加密
- 用于向源节点到目的节点的数据提供端到端加密保护
VPN技术
- 隧道技术
- 隧道将将其它协议的数据重新封装然后通过隧道发送
内网监管技术
针对局域网内的用户终端和网络设备进行监视和控制,规范内部网络用户的行为、防止敏感信息的泄漏
- 合理划分和管理内网与外网的边界
- 限制VPN的访问
- 实时、自动跟踪安全策略的变化
- 严格限制网络服务和外设服务,防止攻击者从外部渗透入内部网络
- 严格限制无线网络连接访问
- 建立完善的用户账号管理机制
入侵检测技术
入侵检测方法
- 误用检测
- 根据己知的攻击方法,预先定义入侵特征,通过判断这此特征是否出现来完成检测任务
- 异常检测
- 根据用户的行为或资源的使用状况的正常程度来判断
主机入侵检测
- NIDS
检测网络流量中的攻击行为
网络入侵检测
- HIDS
监控各个用户在服务器系统上的行为来检测黑客的存在
入侵防御系统
IPS 会实现额外的逻辑,对网络节点和系统内的行为进行封停,从而阻止黑客入侵
入侵检测体系
stateDiagram-v2 NIDS --> HIDS1 NIDS --> HIDS2 NIDS --> HIDS3 NIDS --> 蜜罐 NIDS --> 统一分析 HIDS1 --> 统一分析 HIDS2 --> 统一分析 HIDS3 --> 统一分析 蜜罐 --> 统一分析漏洞检测技术
- 脆弱性扫描
- 是采用模拟攻击者攻击的方式对目标可能存在的已知安全漏洞进行逐项检测
- 源代码扫描
- 反汇编扫描
- 环境错误注入技术
安全响应技术
- 前期
- 对事件进行确认、初步分析评估及相应的准备工作
- 中期
- 对事件进行处理,包括抑制进一步扩散、根除事件的影响及恢复相关系统
- 后期
- 要包括进一步提供系统的安全性和对事件及其处理过程的分析总结等
蜜罐
吸引攻击者对其发起攻击,同时完整地且不被察觉地将他们的活动记录下来,所有行为都是真实的黑客攻击行为,因此数据量小、价值高,通过这些攻击样本可以发现新的黑客攻击方式
- 捕获僵尸网络
- 捕获垃圾邮件
- 捕获蠕虫病毒
- 捕获钓鱼网络