知识库
以前我们讲服务器防御,一直多是借助工具,从没有讲过如何通过修“内功”来建设主机入侵防御系统,来区别传统意义的防火墙和杀毒软件,建立在特征码扫描和主动杀毒之上,这就是入侵预防系统是对防病毒软件和防火墙的补充。服务器入侵防御系统是一部能够监视网络或网络设备的网络数据传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络数据传输行为,系统的安全性取决于用户本身,这种系统将控制权完全交给用户。
高防服务器价格表:http://www.hkt4.com/dedicated/hk-ddos.html
入侵防御系统专门深入网络数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。除此之外,更重要的是,大多数入侵预防系统同时结合考虑应用程序或网络传输层的异常情况,来辅助识别入侵和攻击。比如,用户或用户程序违反安全条例、数据包在不应该出现的时段出现、操作系统或应用程序弱点的空子正在被利用等等现象。入侵预防系统虽然也考虑已知病毒特征,但是它并不仅仅依赖于已知病毒特征。
除了执行服务器数据备份与恢复方案,目前主机入侵防御系统可提供三种防御帮你练就“金钟罩铁布衫”:应用程序防御体系AD、注册表防御体系RD、文件防御体系FD,这三种体系合称为“3D防御”,根据实际情况,并非所有HIPS都提供了完整的3D体系,例如文件防御体系就经常被取消。
1、应用程序防御体系(AD):AD通过拦截系统调用函数来达到监视目的,当一个程序请求执行时,系统会记录该程序的宿主(即该程序的执行请求由哪个程序发出),基于这个原理,许多伪造成系统程序的木马其实很容易被发现,HIPS的AD体系不仅能拦截到用户或某个程序产生的进程创建请求,它还能拦截到进程产生的所有操作,如DLL加载、组件调用等,这样我们也能用它来拦截一些DLL形态的进程注入。
当大部分木马病毒的来袭,只要用户选取了“拒绝执行”功能,这些潜在的木马就无法入侵用户的系统了——但是要注意一点,那就是木马本体已经被释放或下载回来了,只是它们无法被执行而已,HIPS不是杀毒软件,它不能阻止非法程序的下载和释放,更不提供自动删除文件的功能,它所做的,只是拦截进程操作而已,使用HIPS保护的系统安全取决于用户自身。
2、HIPS注册表防御体系(RD):Windows系统结构中,注册表是比较危险的,许多非法程序和木马通过修改注册表达到入侵目的,如主页修改劫持等,而木马等程序的自启动也是由注册表的启动项负责的。早前用户用的注册表监视工具已经不能帮助用户保护注册表了,其调用的API函数也是经过层层封装返回的,在当前核心层的木马面前,程序容易掉落陷阱,要监视到注册表操作,必须进入核心层,抢先拦截到系统相关的底层注册表操作函数,这就是注册表防御体系的工作。
RD默认提供了对几个常见的系统敏感注册表项进行监视,如启动项、服务驱动项、系统策略项、浏览器设置项等,所有木马要自启动都必须经过启动项或服务驱动项的添加修改来实现,而要对浏览器进行劫持和主页修改就得通过修改浏览器设置项等,而这些操作默认都被RD视为敏感行为而拦截挂起,并弹出警告框报告用户该次操作的具体内容和发出操作请求的执行体,操作最终能否通过也同样取决于用户本身,由于它拦截了系统核心层导出的API函数,无论是木马还是用户程序的操作都逃不过法眼,从而实现了真正有效的监视和拦截。
3、文件防御体系(FD),这个功能的作用是监视系统敏感目录的文件操作,如修改删除系统目录里的任何文件或创建新文件等,也可用来发现被驱动木马隐藏的文件本体,FD体系在许多杀毒软件里已经提供,一部分HIPS为了提高效率,并不具备FD,因为它相对要消耗的资源比较大,而前面的AD+RD+有一定经验的用户操作,就已经足够防止危害的文件操作产生了。
实现文件防御体系的要点同样也是拦截系统底层函数如NtOpenFile等,HIPS默认对系统敏感目录进行监控保护,一旦发现异常读写,则把相关操作挂起,并提示用户是否放行,FD不仅仅只有HIPS提供,其他安全工具如360安全卫士、超级巡警等也具备此功能,该功能运作起来要比前两者消耗的资源大些。
互联数据为您提供一站式 Web 业务运营风险防护方案,对防御系统的补充能够在发现入侵时,迅速作出反应,并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展,汲取了二者的长处。帮助用户应对网站入侵,漏洞利用,挂马,篡改,后门,爬虫Bot,域名劫持等安全问题,为组织网站及Web业务安全运营保驾护航。