以前我們講服務器防御,一直多是借助工具,從沒有講過如何通過修“內功”來建設主機入侵防御系統,來區別傳統意義的防火墻和殺毒軟件,建立在特征碼掃描和主動殺毒之上,這就是入侵預防系統是對防病毒軟件和防火墻的補充。服務器入侵防御系統是一部能夠監視網絡或網絡設備的網絡數據傳輸行為的計算機網絡安全設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡數據傳輸行為,系統的安全性取決于用戶本身,這種系統將控制權完全交給用戶。
高防服務器價格表:http://www.ukunilife.com/dedicated/hk-ddos.html
入侵防御系統專門深入網絡數據內部,查找它所認識的攻擊代碼特征,過濾有害數據流,丟棄有害數據包,并進行記載,以便事后分析。除此之外,更重要的是,大多數入侵預防系統同時結合考慮應用程序或網絡傳輸層的異常情況,來輔助識別入侵和攻擊。比如,用戶或用戶程序違反安全條例、數據包在不應該出現的時段出現、操作系統或應用程序弱點的空子正在被利用等等現象。入侵預防系統雖然也考慮已知病毒特征,但是它并不僅僅依賴于已知病毒特征。
除了執行服務器數據備份與恢復方案,目前主機入侵防御系統可提供三種防御幫你練就“金鐘罩鐵布衫”:應用程序防御體系AD、注冊表防御體系RD、文件防御體系FD,這三種體系合稱為“3D防御”,根據實際情況,并非所有HIPS都提供了完整的3D體系,例如文件防御體系就經常被取消。
1、應用程序防御體系(AD):AD通過攔截系統調用函數來達到監視目的,當一個程序請求執行時,系統會記錄該程序的宿主(即該程序的執行請求由哪個程序發出),基于這個原理,許多偽造成系統程序的木馬其實很容易被發現,HIPS的AD體系不僅能攔截到用戶或某個程序產生的進程創建請求,它還能攔截到進程產生的所有操作,如DLL加載、組件調用等,這樣我們也能用它來攔截一些DLL形態的進程注入。
當大部分木馬病毒的來襲,只要用戶選取了“拒絕執行”功能,這些潛在的木馬就無法入侵用戶的系統了——但是要注意一點,那就是木馬本體已經被釋放或下載回來了,只是它們無法被執行而已,HIPS不是殺毒軟件,它不能阻止非法程序的下載和釋放,更不提供自動刪除文件的功能,它所做的,只是攔截進程操作而已,使用HIPS保護的系統安全取決于用戶自身。
2、HIPS注冊表防御體系(RD):Windows系統結構中,注冊表是比較危險的,許多非法程序和木馬通過修改注冊表達到入侵目的,如主頁修改劫持等,而木馬等程序的自啟動也是由注冊表的啟動項負責的。早前用戶用的注冊表監視工具已經不能幫助用戶保護注冊表了,其調用的API函數也是經過層層封裝返回的,在當前核心層的木馬面前,程序容易掉落陷阱,要監視到注冊表操作,必須進入核心層,搶先攔截到系統相關的底層注冊表操作函數,這就是注冊表防御體系的工作。
RD默認提供了對幾個常見的系統敏感注冊表項進行監視,如啟動項、服務驅動項、系統策略項、瀏覽器設置項等,所有木馬要自啟動都必須經過啟動項或服務驅動項的添加修改來實現,而要對瀏覽器進行劫持和主頁修改就得通過修改瀏覽器設置項等,而這些操作默認都被RD視為敏感行為而攔截掛起,并彈出警告框報告用戶該次操作的具體內容和發出操作請求的執行體,操作最終能否通過也同樣取決于用戶本身,由于它攔截了系統核心層導出的API函數,無論是木馬還是用戶程序的操作都逃不過法眼,從而實現了真正有效的監視和攔截。
3、文件防御體系(FD),這個功能的作用是監視系統敏感目錄的文件操作,如修改刪除系統目錄里的任何文件或創建新文件等,也可用來發現被驅動木馬隱藏的文件本體,FD體系在許多殺毒軟件里已經提供,一部分HIPS為了提高效率,并不具備FD,因為它相對要消耗的資源比較大,而前面的AD+RD+有一定經驗的用戶操作,就已經足夠防止危害的文件操作產生了。
實現文件防御體系的要點同樣也是攔截系統底層函數如NtOpenFile等,HIPS默認對系統敏感目錄進行監控保護,一旦發現異常讀寫,則把相關操作掛起,并提示用戶是否放行,FD不僅僅只有HIPS提供,其他安全工具如360安全衛士、超級巡警等也具備此功能,該功能運作起來要比前兩者消耗的資源大些。
互聯數據為您提供一站式 Web
業務運營風險防護方案,對防御系統的補充能夠在發現入侵時,迅速作出反應,并自動采取阻止措施。而入侵預防系統則作為二者的進一步發展,汲取了二者的長處。幫助用戶應對網站入侵,漏洞利用,掛馬,篡改,后門,爬蟲Bot,域名劫持等安全問題,為組織網站及Web業務安全運營保駕護航。
上一篇:
iis服務器的安裝和配置的操作步驟
下一篇:
如何理解“ftp服務器是什么?”你有很多誤會
