从攻击到防御网络安全的终极要义（网络安全知识篇）

　　9月5日，国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告，全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头，并指出了罪魁祸首是美国国家安全局（NSA）下属的“特定入侵行动办公室”（TAO）。面对日益复杂的国际政治环境，加强国家的入侵防御能力客户融合，今天就由小编带着大家了解下入侵防御系统相关的知识，各位看官，且听小编娓娓道来。

入侵防御

入侵是指未经授权蓄意访问、篡改数据，使网络系统不可使用的行为。入侵防御系统是电脑网络安全设施，是对防病毒软件和防火墙的补充，是能够通过对行为、安全日志、审计数据或其他网络上可以获得的信息进行操作，检测到对系统的入侵或入侵企图的计算机网络安全设备，能够及时中断、调整或隔离一些不正常或是具有伤害性的行为，阻止入侵行为的进一步发展。入侵防御系统常分为主机入侵防御系统和网络入侵防御系统。

入侵防御系统

入侵防御系统是一种主动的安全技术。不仅可以检测到来自外部的入侵行为，同时对于来自网络内部用户的未授权活动、误操作等行为进行检测，可有效弥补防火墙的不足，通常与防火墙联合，把攻击阻挡在防火墙之外。

入侵防御主要检测内部网络的流量，尤其是关键网络区域的流量，及时报警并通知管理员，主要包括以下5大功能：

解锁入侵防御技能

• 识别常见入侵及攻击手段；
• 监控并记录网络异常通信；
• 鉴别对系统漏洞或后门的利用；
• 实时对监控到的入侵进行告警；
• 提供及时的响应机制，阻止入侵进一步进行。

入侵防御系统根据网络包的特征及上下文进行攻击行为判断，进而根据预设的过滤器控制包的转发，其工作机制类似于路由器或防火墙，详见下图：

入侵防御工作原理

入侵防御系统与防火墙相比，弥补了内网安全问题，但是自身仍然存在不少问题有待解决和突破，具体如下：

攻击者绕过入侵防御系统

• 随着攻击技术的不断更新，当下的检测手段和策略很容易被绕过，难以及时跟进最新的攻击技术；
• 通常假设攻击是明文传输的，加密的恶意信息可以轻松地逃避检测；
• 网络设备多样化，需要协调或适应的网络环境复杂多变；
• 用户关注实时告警，需要对大规模数据进行实时分析；
• 各厂商各自为战，缺乏统一的安全标准，不同厂商不同型号之间产品无法互通，协同联防困难；
• 大量的误报和漏报使得发现真正的攻击非常困难。

入侵防御系统是对入侵行为的控制。当用户明确信息系统安全建设方案和策略后，可以在入侵防御系统中实施边界防护安全策略。

入侵防御系统部署图

入侵防御系统部署在网络边界，所有来自外部的数据在通过防火墙后，必须串行通过入侵防御系统，入侵防御系统可实时分析网络流量，实施深层防御安全策略，发现攻击行为立即报警，并根据预测处置策略立即予以响应阻断，保证来自外部的攻击数据不能通过网络边界进入网络。

内容较基础，但为了保证知识的完整性及体系化，也是很有必要提提的，不喜勿喷。后续文章同样精彩，欢迎关注，一起学习提高。