1.基本预防措施
使系统和应用程序更新,删除或禁用不需要的服务和协议,使用入侵检测和防御系统,使用最新版
本的反恶意软件,使用防火墙,实施配置管理和系统管理流程。
本的反恶意软件,使用防火墙,实施配置管理和系统管理流程。
2.对网站被入侵攻击的理解,僵尸网络:电脑中毒后肉鸡,拒绝服务攻击:导致网站失败的网络攻
击,同步洪水攻击:利用同步消息使网站关闭的网络攻击,smurf,wranggle攻击:过时的基于无
线电的icmp和udp拒绝服务,ping洪水攻击:使用icmp消息使网站失败的网络攻击,死亡ping:一
个过时的超大icmp消息,导致系统失败,基于碎片失败的网络攻击,地面攻击:具有相同源IP和
目标IP地址的网络攻击。
击,同步洪水攻击:利用同步消息使网站关闭的网络攻击,smurf,wranggle攻击:过时的基于无
线电的icmp和udp拒绝服务,ping洪水攻击:使用icmp消息使网站失败的网络攻击,死亡ping:一
个过时的超大icmp消息,导致系统失败,基于碎片失败的网络攻击,地面攻击:具有相同源IP和
目标IP地址的网络攻击。
零日攻击:apt使用无补丁的漏洞进行网络攻击
恶意代码:病毒、蠕虫、木马、僵尸网络
中介攻击:一种嗅探和篡改的双边间谍网络攻击
故意破坏:义愤填膺后的报复行为
间谍:窃取商业秘密
网站入侵检测和防御系统
基于知识和基于行为,基于知识的检测(传统规则库),基于行为的检测(流基线)收集大量的
数据发送到安全信息和事件管理系统实际上是流行的态势感知系统。检测到事件触发报警系统
后,被动报警将记录安全事件并发出通知,主动报警,除了防火墙等安全设备将被激活实施阻
塞。被动响应:生成安全事件报告、发送给管理员的本消息,或在网络中心的大屏幕上显示,
活动响应:连接防火墙,修改访问控制列表,拦截端口、协议和源地址的通信量,基于主机
的ID和基于网络的ID,基于主机的ID:监控计算机上的活动,包括网络信息、dns信息、流程
调用、系统日志、应用日志、安全措施和基于主机的防火墙日志。基于网络的ips:监控和评
估网络活动,从中发现攻击或异常事件,探测就位以将数据发送到siem。
数据发送到安全信息和事件管理系统实际上是流行的态势感知系统。检测到事件触发报警系统
后,被动报警将记录安全事件并发出通知,主动报警,除了防火墙等安全设备将被激活实施阻
塞。被动响应:生成安全事件报告、发送给管理员的本消息,或在网络中心的大屏幕上显示,
活动响应:连接防火墙,修改访问控制列表,拦截端口、协议和源地址的通信量,基于主机
的ID和基于网络的ID,基于主机的ID:监控计算机上的活动,包括网络信息、dns信息、流程
调用、系统日志、应用日志、安全措施和基于主机的防火墙日志。基于网络的ips:监控和评
估网络活动,从中发现攻击或异常事件,探测就位以将数据发送到siem。
网站入侵防护系统
入侵防御系统是一种特殊的主动响应类型,可以在攻击到达目标系统之前对其进行检测和拦
截。id和ips之间的区别:ips安装在一条带有通信流的线上,所有通信流都必须通过ips,ips
可以选择允许哪些通信流。
截。id和ips之间的区别:ips安装在一条带有通信流的线上,所有通信流都必须通过ips,ips
可以选择允许哪些通信流。
