记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

IDS和IPS的部署细节科普

摘要 这篇文章主要介绍的是入侵检测系统(IDS)和入侵防御系统(IPS),而这两者均是保护我们网络安全的重要机制。在过去的几年里,网络攻击所带来的安全威胁严重程度已经上升了很多倍,几乎每个月都会发生数起严重的数据泄露事件。基于网络的IDS/IPS并不是一种新出现的技术,但是考虑到网络攻击技术的最新发展趋势,IDS和IPS的实现方式仍然是我们需要理解和考虑的内容。 因此,在这篇文章中,我们将从高层设计角度触发,跟大家讨论一下如何在不同的IT环境中更加有效地部署IDS和IPS。本文包含以下几个话题内容: 1. 什么是基于网络的IDS和IPS 2. 什么是基于主机的IDS和IPS 3. 企业环境下的IDS/IPS设计 4. 基于设备的IDS/IPS 5. 基于路由器的IDS/IPS 6. 基于防火墙的IDS/IPS
发布时间:2017-10-05 13:25 | 阅读:105672 | 评论:0 | 标签:新手科普 ids ips

成熟产品IPS的创新实践和思考

成熟产品通常经过多年的研发和市场销售,销售额达到较高的水平,甚至市场占有率比较高的水平。这种状况下,如何保障产品进一步的增长的空间是成熟产品最大的挑战。 一、 成熟产品的困境 成熟产品通常经过多年的研发和市场销售,销售额达到较高的水平,甚至市场占有率比较高的水平。这种状况下,如何保障产品进一步的增长的空间是成熟产品最大的挑战。困扰成熟产品的发展的还有很多问题: 产品功能逐步丰富后,即使创新出新功能如何引起用户的兴趣? 成熟产品通常定位较明确,如何突破传统产品的思维框框进一步创新? 内部需求有时候和外部需求有一定的矛盾,如何有机结合起来? 新的技术发展如何有效引入到成熟产品的框架中? 绿盟科技的IDS/IPS产品有类似成熟产品的状况,销售额上亿,常年销售额领先,市场占有率国内名列前茅。但如何进一步发展,如何
发布时间:2016-09-01 02:40 | 阅读:98180 | 评论:0 | 标签:网络安全 APT防护 DDoS IPS SQL注入 WEB攻击 xss 云端 产品 威胁情报 威胁防御 机器学习 虚拟化

行为检测要走得更深

攻击者已经在绕过传统签名和恶意软件沙盒方面做得更好了,安全团队正日渐转向基于行为的检测模式,找到网络攻击的活跃标志。此类基于行为的检测方式带来了许多优势。行为检测模型专注于黑客真正做了什么,而不是通过代表漏洞利用行为的一系列签名(也被称为指标)来进行查找,因为后者往往存在滞后。比如,在边界上的IPS错过一次路过下载时,行为分析方法可以识别出作为受害者的终端用户的行为开始变得异常:有可能是尝试访问非正常资源,或者下载了非正常数量的文件。这其实正是1980年代最初版本的入侵检测系统的设计功能。不过,如果忘记了入侵行为检测手段为什么当年失宠,也是不明智的。通常情况下,基于用户行为的分析识别出的是异常,而不是威胁。假设负责会计的Joe正在下载比通常更多的数据,但这到底是一次攻击的迹象,还是仅仅因为他是在为要做的报告准备
发布时间:2016-06-14 01:10 | 阅读:86708 | 评论:0 | 标签:术有专攻 IPS 人工分析方法 行为检测

重庆潮讯信息技术招聘网络安全工程师

重庆潮讯信息技术有限公司招聘  网络安全工程师 渗透方向 岗位职责: 1、根据项目需要,实施经过合法授权的主机、网络和Web安全渗透测试; 2、提供网络安全攻防技术培训演练及应急响应工作。 3、对互联网领域的重大安全事件进行跟踪、分析; 4、对安全领域的新技术、新方法进行研究。 岗位要求: 1、熟悉渗透测试的步骤、方法和流程; 2、熟悉常见攻击和防御办法,熟悉web安全和渗透技术,能自行进行web渗透测试,WEB代码漏洞挖掘和分析; 3、熟悉主流操作系统、数据库、网络与应用系统的工作原理,全面掌握常见的安全漏洞及利用技术; 4、熟悉主流的Web安全技术,包括SQL注入,XSS,CSRF等OWASP TOP 10安全风险; 5、熟悉国内外主流WEB安全产品、工具,如:Nmap,SqlMap,穿山甲,APPSc
发布时间:2016-04-06 04:10 | 阅读:303315 | 评论:0 | 标签:招聘 APPscan Blackhold csrf IDS Inspect ips metasploit Nmap OW

乌克兰电力系统遭黑客攻击,千万家庭面临黑暗

上周在乌克兰,超过三个区域的电力系统被黑客攻击,导致大规模的停电,成千上万的家庭在黑暗中度过。 乌克兰新闻通讯社 TSN 报道了本次恶性黑客攻击事件,据悉此次大规模的停电主要是电力系统存在设计缺陷,被黑客发现了0day漏洞,黑客利用该漏洞攻击电力系统,从而导致发电站意外关闭。 这并不是第一起针对工控行业的黑客攻击,当年席卷全球工业界的震网病毒(Stuxnet)曾让伊朗的核工业倒退十年,虽然近几年看似平静,但以此次恶性事件为引子,针对工控行业的黑客攻击很可能卷土重来。 目前针对0day漏洞和APT攻击并没有完美的解决方案,防火墙、IPS、IDS等常规安全设备的防护能力日趋捉襟见肘。不过在安全行业与黑客的长期斗争中,出现了一种新的安全品类:主机加固产品,该类产品属于底层安全产品,基于操作系统内核加固技术,可对服务
发布时间:2016-01-10 09:40 | 阅读:75072 | 评论:0 | 标签:业界 IPS Stuxnet 乌克兰 电力系统 黑客

重振入侵检测系统

许多人认为,入侵检测系统(IDS)就像当年的寻呼机一样已经过时。这个观点很大程度上与入侵检测系统已经被入侵防御系统(IPS)所兼并有关,而IPS也已经被第二代防火墙和UTM兼并。这种看法已经从IDS/IPS厂商那里得到验证,这些致力于提高他们的IPS性能的厂商已经把IDS作为IPS组合产品中的其中一项部署。“你想检测入侵吗?那么,只要部署我们的IPS(out-of-band)就可以了!”显而易见,入侵检测系统和入侵防御系统不仅仅是简单的同一种技术的两种部署选项,它们实际上是有着不同需求,目标和不同角色的两种概念。时间和地点现代IDS和IPS最明显的差别在于它们位于攻击的不同阶段。入侵防御是一切关于通过实时检测病毒感染和计算机妥协将危险挡在网络外的技术。IPS检测成千上万个计算机漏洞、已知恶意域名和攻击信号。相反
发布时间:2015-11-16 21:30 | 阅读:79829 | 评论:0 | 标签:牛观点 牛闻牛评 IDS IPS 入侵检测

传统企业的IPS运维

这篇东西主要谈论传统行业公司的安全部门,在日常运维中针对IPS可能遇到的问题,以及个人经验总结。和互联网企业的安全运维并非一个范畴的东西,和传统企业的IT运维有明星区别。   传统行业的公司,与互联网公司的最大区别,在于主营业务和主营产品的不同。这是句废话。但这句废话直接决定了两种类型公司在面对安全问题的思路会有些许区别。互联网公司的产品就是互联网产品、网站系统,所以他们面对的互联网攻击数量更多,威胁也更丰富。加之互联网公司的员工绝大部分都是具备一定开发能力的程序员,根据目前我看到的情况来说,互联网公司在处理网络攻击时,更喜欢自建一套产品。一方面,自开发产品更能针对自己的业务特性和需要,另一方面,自开发产品可以更能满足互联网公司大流量高并发的需求,最后,成本也更容易控制。 传统行业公司不具备足够数量的
发布时间:2015-07-30 17:45 | 阅读:100167 | 评论:0 | 标签:安全相关 IPS 日志 漏报 误报

@赵彦_ayazero ,互联网企业安全管理和传统行业的区别

总体来看,传统安全偏重管理,“三分技术,七分管理”,互联网行业偏重技术,我认为应该倒过来。其实这种说法也是不准确的,到底什么算技术,什么算管理,这些都没有明确的定义,安全领域大部分所谓管理不过是组织技术性的活动而已,充其量叫技术管理,如果你较真这些理论那你就掉坑里了。 先说一下传统安全和互联网安全的建设需求上的差异: 传统安全: IT资产相对固定 业务变更不频繁 网络边界比较固定 IDC规模不会很大甚至没有 使用基于传统的资产威胁脆弱性的风险管理方法论加上购买和部署商业安全产品(解决方案)通常可以搞定。 互联网安全生态,对于大型互联网而言,需要应对: 海量IDC和海量数据 完全的分布式架构 应对业务的频繁发布和变更 同时架构层面关注: 高性能 高可用性 扩展性 TCO(ROI) 在规模不大的互联网公
发布时间:2015-06-01 14:15 | 阅读:126945 | 评论:0 | 标签:业界 IDS IPS 企业安全 赵彦_ayazero

渗透测试中密码扫描与破解小结

0x00 前言                 一次测试的过程总会涉及到”密码”与”加解密”。在踩点的过程中,对弱口令的尝试是必不可少的过程,从xx抓鸡到内网哈希批量传递,从个人PC到网络设备/工控设施,只要依旧采用单因素模式的密码认证,密码扫描就不会被遗忘。以下笔者简单分享总结安全测试中密码扫描与破解的技巧,如有疏漏错误,还望 不吝赐教。   0x01 整理一份优秀的字典 想破解密码,要求我们已经”拥有”别人的密码。字典在口令扫描尝试过程中的重要性不言而喻。要整理一份优秀的字典,不妨参考各大网站泄漏数据库,将密码(明文)字段收集后,依出现频率先后生成字典。 一个demo脚本:#!/bin/bash/python import
发布时间:2014-12-25 07:25 | 阅读:120653 | 评论:1 | 标签:安全文献 backdoor Burp Suite BurpSuite Cupp.py Fcrackzip GPU Has

著名开源入侵检测系统(IDS/IPS):Snort V2.9.5发布

Snort是一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS。在全球拥有百万级的下载量和近400,000的注册用户,已经成为IPS的标准。主要新特性* 新增FTP跟踪数据通道* 增加PAF的支持* 新增Cisco ERSPAN的解码支持* 规则中新增HTTP上传跟踪下载地址
发布时间:2013-07-12 12:00 | 阅读:74175 | 评论:0 | 标签:工具 ids ips

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云