【信息安全知识普及 第8讲 网络安全】
(1)认识黑客
3. 正确认识黑客
黑客是神还是恶魔?
有人说黑客是神,因为这些牛人编程序写代码样样精通,不管你网络系统有多高端,他们都可以找到漏洞攻破你,得到他们想要的东西。热映的美剧《天蝎(Scorpion)》里就展示了这些神人级的黑客,他们完成了一个又一个不可能完成的任务,打败敌手,战胜邪恶,维护正义,他们的能力让大家惊叹和羡慕不已。
也有人说黑客是恶魔。因为黑客无时无刻都在搞破坏,例如他们不仅可以盗取我们的QQ等社交网络账号,还可以控制我们的家用摄像头侵犯我们个人的隐私;他们已经不仅可以入侵任何一个网络系统,甚至可以劫持一个国家的卫星……他们的存在使得这个世界不再安宁。
那么黑客到底是神还是恶魔的答案,根据我们本节的普及,大家应该有了答案。因为黑客可以分为三类,白帽和灰帽以及黑帽。可以说,他们分别扮演着大神和恶魔的角色。
还有,我们必须认识到,无论哪类黑客,对技术的崇拜和对创新的不断追求,始终是黑客的共同点。黑帽的存在促使我们不断革新技术、更新系统,追求更加完美的功能,白帽和灰帽的存在帮助我们在与黑帽对抗的过程中不断追求完美。
对与错、正义与邪恶的对抗将始终是这个世界的主题。
#信息安全知识普及 #网络安全 #黑客
信息安全技术频道🔎
@tg_InternetSecurity
(1)认识黑客
3. 正确认识黑客
黑客是神还是恶魔?
有人说黑客是神,因为这些牛人编程序写代码样样精通,不管你网络系统有多高端,他们都可以找到漏洞攻破你,得到他们想要的东西。热映的美剧《天蝎(Scorpion)》里就展示了这些神人级的黑客,他们完成了一个又一个不可能完成的任务,打败敌手,战胜邪恶,维护正义,他们的能力让大家惊叹和羡慕不已。
也有人说黑客是恶魔。因为黑客无时无刻都在搞破坏,例如他们不仅可以盗取我们的QQ等社交网络账号,还可以控制我们的家用摄像头侵犯我们个人的隐私;他们已经不仅可以入侵任何一个网络系统,甚至可以劫持一个国家的卫星……他们的存在使得这个世界不再安宁。
那么黑客到底是神还是恶魔的答案,根据我们本节的普及,大家应该有了答案。因为黑客可以分为三类,白帽和灰帽以及黑帽。可以说,他们分别扮演着大神和恶魔的角色。
还有,我们必须认识到,无论哪类黑客,对技术的崇拜和对创新的不断追求,始终是黑客的共同点。黑帽的存在促使我们不断革新技术、更新系统,追求更加完美的功能,白帽和灰帽的存在帮助我们在与黑帽对抗的过程中不断追求完美。
对与错、正义与邪恶的对抗将始终是这个世界的主题。
#信息安全知识普及 #网络安全 #黑客
信息安全技术频道🔎
@tg_InternetSecurity
全球武汉肺炎确诊病例突破一亿
27日,全球武汉肺炎确诊病例突破了一亿例,死亡病例超过 215 万例,美国感染病例超过 2543 万,死亡病例超过 42.5 万,印度的感染病例数仅次于美国,超过 1068 万,巴西 893 万,俄罗斯 317 万。根据中国国家卫健委的最新数据,现有确诊病例 1862 例(其中重症病例 111 例),过去 24 小时新增确诊病例 75 例,其中境外输入病例 20 例,本土病例 55 例。
#新冠肺炎
信息安全技术频道🔎
@tg_InternetSecurity
27日,全球武汉肺炎确诊病例突破了一亿例,死亡病例超过 215 万例,美国感染病例超过 2543 万,死亡病例超过 42.5 万,印度的感染病例数仅次于美国,超过 1068 万,巴西 893 万,俄罗斯 317 万。根据中国国家卫健委的最新数据,现有确诊病例 1862 例(其中重症病例 111 例),过去 24 小时新增确诊病例 75 例,其中境外输入病例 20 例,本土病例 55 例。
#新冠肺炎
信息安全技术频道🔎
@tg_InternetSecurity
MeWe 成香港最热门 App
相信很多人早已经对 Facebook 产生了厌恶感,对其不满的人越来越多,所以,很希望有一个新平台取代。以前 Google Plus 推出时,并没有足够动力让大家搬家,而经过这一两年来,大家应该都想撤出 Facebook 了。
MeWe 虽然是一个早于八年前 (2012年) 已经成立的社交网站,但由于一直受到 Facebook 的压迫而令其知名度不高。直至今年,一场美国大选揭破了 Facebook 跟 Twitter 的假面具,令到 MeWe 声名大噪,一夜间全球数百上千万用户由 Facebook 搬家至 MeWe。
作为操作方式与 Facebook 类似的社交平台,相信大家开设帐号后很快就能够上手。但 MeWe 跟 Facebok 最大不同之处,在于 MeWe 不卖广告、不出售用户资料、不会为了广告收入而降低发布商的贴文接触量。因为,在MeWe 上可以免费使用基本功能,但一些较商业或进阶的功能例如开设专页等需要支付订阅费,而且一些进阶功能、布景主题、贴图等也可以按需要课金获得,从而支持各个创作单位,以营造一个健康的生态环境。
看似 MeWe 的吸引条件不够 Facebook 的免费任用高,但是对商业用户来讲,这点收费比起课金给 Facebook 推 Post 实在少得可怜。所以,一般用户免费使用其实已经足够,需要课金支持这个平台发展当然是最好了,始终不用再受Facebook 的霸权压迫,不用再受Facebook 的个人资料出卖也是一件令人开心值得花费而且有回报的事。
#MeWe #app #香港
信息安全技术频道🔎
@tg_InternetSecurity
相信很多人早已经对 Facebook 产生了厌恶感,对其不满的人越来越多,所以,很希望有一个新平台取代。以前 Google Plus 推出时,并没有足够动力让大家搬家,而经过这一两年来,大家应该都想撤出 Facebook 了。
MeWe 虽然是一个早于八年前 (2012年) 已经成立的社交网站,但由于一直受到 Facebook 的压迫而令其知名度不高。直至今年,一场美国大选揭破了 Facebook 跟 Twitter 的假面具,令到 MeWe 声名大噪,一夜间全球数百上千万用户由 Facebook 搬家至 MeWe。
作为操作方式与 Facebook 类似的社交平台,相信大家开设帐号后很快就能够上手。但 MeWe 跟 Facebok 最大不同之处,在于 MeWe 不卖广告、不出售用户资料、不会为了广告收入而降低发布商的贴文接触量。因为,在MeWe 上可以免费使用基本功能,但一些较商业或进阶的功能例如开设专页等需要支付订阅费,而且一些进阶功能、布景主题、贴图等也可以按需要课金获得,从而支持各个创作单位,以营造一个健康的生态环境。
看似 MeWe 的吸引条件不够 Facebook 的免费任用高,但是对商业用户来讲,这点收费比起课金给 Facebook 推 Post 实在少得可怜。所以,一般用户免费使用其实已经足够,需要课金支持这个平台发展当然是最好了,始终不用再受Facebook 的霸权压迫,不用再受Facebook 的个人资料出卖也是一件令人开心值得花费而且有回报的事。
#MeWe #app #香港
信息安全技术频道🔎
@tg_InternetSecurity
😁1
【信息安全知识普及 第8讲 网络安全】
(2)黑客攻击一般步骤
1. 网络攻击的一般步骤
1)隐藏攻击源
为什么——在因特网上的主机均有自己的网络地址,因此攻击者在实施攻击活动时的首要步骤是设法隐藏自己所在的网络位置,如 IP 地址和域名,这样使调查者难以发现真正的攻击来源。
怎么做——利用被侵入的主机(俗称“肉鸡”)作为跳板进行攻击,这样即使被发现了,也是“肉鸡”的 IP 地址;使用多级代理,这样在被入侵主机上留下的是代理计算机的 IP 地址;伪造 IP 地址。
2)信息搜集
为什么——攻击者搜集目标的信息,并进行综合、整理和分析后,能够初步了解一个机构的安全态势,并能够据此拟定出一个攻击方案。
怎么做——确定攻击目标;踩点,通过各种途径收集目标系统的相关信息,包括机构的注册资料、公司的性质、网络拓扑结构、邮件地址、网络管理员的个人爱好等;扫描,利用扫描工具在攻击目标的 IP 地址或地址段的主机上,扫描目标系统的软硬件平台类型,并进一步寻找漏洞如目标主机提供的服务与应用及其安全性的强弱等等;嗅探,利用嗅探工具获取敏感信息,如用户口令等。
3)掌握系统控制权
为什么——一般账户对目标系统只有有限的访问权限,要达到某些攻击目的,攻击者只有得到系统或管理员权限,才能控制目标主机实施进一步的攻击。
怎么做——系统口令猜测;种植木马;会话劫持等。
4)实施攻击
为什么——不同的攻击者有不同的攻击目的,无外乎是破坏机密性、完整性和可用性等
怎么做——下载、修改或删除敏感信息;攻击其它被信任的主机和网络;瘫痪网络或服务;其它非法活动。
5)安装后门
为什么——一次成功的入侵通常要耗费攻击者的大量时间与精力,所以精于算计的攻击者在退出系统之前会在系统中安装后门,以保持对已经入侵主机的长期控制。
怎么做——放宽系统许可权;重新开放不安全的服务;修改系统的配置,如系统启动文件、网络服务配置文件等;替换系统本身的共享库文件;安装各种木马,修改系统的源代码。
6)隐藏攻击痕迹
为什么——一次成功入侵之后,通常攻击者的活动在被攻击主机上的一些日志文档中会有记载,如攻击者的IP地址、入侵的时间以及进行的操作等等,这样很容易被管理员发现。为此,攻击者往往在入侵完毕后清除登录日志等攻击痕迹。
怎么做——清除或篡改日志文件;改变系统时间造成日志文件数据紊乱以迷惑系统管理员;利用前面介绍的代理跳板隐藏真实的攻击者和攻击路径。
#信息安全知识普及 #网络安全 #黑客 #网络攻击
信息安全技术频道🔎
@tg_InternetSecurity
(2)黑客攻击一般步骤
1. 网络攻击的一般步骤
1)隐藏攻击源
为什么——在因特网上的主机均有自己的网络地址,因此攻击者在实施攻击活动时的首要步骤是设法隐藏自己所在的网络位置,如 IP 地址和域名,这样使调查者难以发现真正的攻击来源。
怎么做——利用被侵入的主机(俗称“肉鸡”)作为跳板进行攻击,这样即使被发现了,也是“肉鸡”的 IP 地址;使用多级代理,这样在被入侵主机上留下的是代理计算机的 IP 地址;伪造 IP 地址。
2)信息搜集
为什么——攻击者搜集目标的信息,并进行综合、整理和分析后,能够初步了解一个机构的安全态势,并能够据此拟定出一个攻击方案。
怎么做——确定攻击目标;踩点,通过各种途径收集目标系统的相关信息,包括机构的注册资料、公司的性质、网络拓扑结构、邮件地址、网络管理员的个人爱好等;扫描,利用扫描工具在攻击目标的 IP 地址或地址段的主机上,扫描目标系统的软硬件平台类型,并进一步寻找漏洞如目标主机提供的服务与应用及其安全性的强弱等等;嗅探,利用嗅探工具获取敏感信息,如用户口令等。
3)掌握系统控制权
为什么——一般账户对目标系统只有有限的访问权限,要达到某些攻击目的,攻击者只有得到系统或管理员权限,才能控制目标主机实施进一步的攻击。
怎么做——系统口令猜测;种植木马;会话劫持等。
4)实施攻击
为什么——不同的攻击者有不同的攻击目的,无外乎是破坏机密性、完整性和可用性等
怎么做——下载、修改或删除敏感信息;攻击其它被信任的主机和网络;瘫痪网络或服务;其它非法活动。
5)安装后门
为什么——一次成功的入侵通常要耗费攻击者的大量时间与精力,所以精于算计的攻击者在退出系统之前会在系统中安装后门,以保持对已经入侵主机的长期控制。
怎么做——放宽系统许可权;重新开放不安全的服务;修改系统的配置,如系统启动文件、网络服务配置文件等;替换系统本身的共享库文件;安装各种木马,修改系统的源代码。
6)隐藏攻击痕迹
为什么——一次成功入侵之后,通常攻击者的活动在被攻击主机上的一些日志文档中会有记载,如攻击者的IP地址、入侵的时间以及进行的操作等等,这样很容易被管理员发现。为此,攻击者往往在入侵完毕后清除登录日志等攻击痕迹。
怎么做——清除或篡改日志文件;改变系统时间造成日志文件数据紊乱以迷惑系统管理员;利用前面介绍的代理跳板隐藏真实的攻击者和攻击路径。
#信息安全知识普及 #网络安全 #黑客 #网络攻击
信息安全技术频道🔎
@tg_InternetSecurity
👍1
【信息安全知识普及 第8讲 网络安全】
(2)黑客攻击一般步骤
2. 网络攻击典型手段
上面介绍的是一次完整的攻击过程攻击者通常采取的步骤,实际上攻击过程中的每一步都可以看做是一种攻击。在上述的攻击过程中涉及的具体攻击手段主要包括:
1)伪装攻击。通过指定路由或伪造假地址,以假冒身份与其它主机进行合法通信、或发送假数据包,使受攻击主机出现错误动作。如 IP 欺骗。
2)探测攻击。通过扫描允许连接的服务和开放的端口,能够迅速发现目标主机端口的分配情况、提供的各项服务和服务程序的版本号,以及系统漏洞情况。黑客找到有机可乘的服务、端口或漏洞后进行攻击。
3)嗅探攻击。将网卡设置为混杂模式,对以太网上流通的所有数据包进行嗅探,以获取敏感信息。
4)解码类攻击。用口令猜测程序破解系统用户帐号和密码。
5)缓冲区溢出攻击。通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它的指令。缓冲区攻击的目的在于扰乱某些以特权身份运行的程序的功能,使攻击者获得程序的控制权。
6)欺骗攻击。利用 TCP/IP 协议本身的一些缺陷对 TCP/IP 网络进行攻击,主要方式有:ARP 欺骗、DNS 欺骗、Web 欺骗等。
7)拒绝服务(DoS 攻击)和分布式拒绝服务攻击(DDoS 攻击)。这种攻击行为通过发送一定数量一定序列的数据包,使网络服务器中充斥了大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪、停止正常的网络服务。攻击者通过入侵大量有安全漏洞的主机并获取控制权,在多台被入侵的主机上安装攻击程序,然后利用所控制的这些大量攻击源,同时向目标机发起拒绝服务攻击。
8)Web 脚本入侵。由于使用不同的 Web 网站服务器、不同的开放语言,使网站存在的漏洞也不相同,所以使用 Web 脚本攻击的方式也很多。如黑客可以从网站的文章系统下载系统留言板等部分进行攻击;也可以针对网站后台数据库进行攻击,还可以在网页中写入具有攻击性的代码;甚至可以通过图片进行攻击。Web 脚本攻击常见方式有:注入攻击、上传漏洞攻击、跨站攻击、数据库入侵等。
9)0day 攻击。0day 通常是指还没有补丁的漏洞,而 0day 攻击则是指利用这种漏洞进行的攻击。提供该漏洞细节或者利用程序的人通常是该漏洞的发现者。0day 漏洞的利用程序对网络安全具有巨大威胁,因此 0day 不但是黑客的最爱,掌握多少 0day 也成为评价黑客技术水平的一个重要参数。
10)社会工程学攻击。社会工程学是一种利用人的弱点,如本能反应、好奇心、信任、贪便宜等进行欺骗等手段,获取自身利益的手法。现实中运用社会工程学的犯罪很多,短信诈骗如诈骗银行信用卡号码,电话诈骗如以知名人士的名义去推销诈骗等。利用社会工程学手段,突破信息安全防御措施的事件,已经呈现出上升甚至泛滥的趋势。例如,免费下载软件中捆绑流氓软件、免费音乐中包含病毒、网络钓鱼、垃圾电子邮件中包括间谍软件等,都是近来社会工程学的代表应用。
凯文米特出版的《欺骗的艺术》堪称社会工程学的经典。书中详细地描述了许多运用社会工程学入侵网络的方法,这些方法并不需要太多的技术基础,但可怕的是,一旦懂得如何利用人的弱点,就可以轻易地潜入防护最严密的网络系统。他曾经在很小的时候就能够把这一天赋发挥到极致,像变魔术一样,不知不觉地进入了包括美国国防部、IBM 等几乎不可能潜入的网络系统,并获取了管理员特权。
#信息安全知识普及 #网络安全 #黑客 #网络攻击
信息安全技术频道🔎
@tg_InternetSecurity
(2)黑客攻击一般步骤
2. 网络攻击典型手段
上面介绍的是一次完整的攻击过程攻击者通常采取的步骤,实际上攻击过程中的每一步都可以看做是一种攻击。在上述的攻击过程中涉及的具体攻击手段主要包括:
1)伪装攻击。通过指定路由或伪造假地址,以假冒身份与其它主机进行合法通信、或发送假数据包,使受攻击主机出现错误动作。如 IP 欺骗。
2)探测攻击。通过扫描允许连接的服务和开放的端口,能够迅速发现目标主机端口的分配情况、提供的各项服务和服务程序的版本号,以及系统漏洞情况。黑客找到有机可乘的服务、端口或漏洞后进行攻击。
3)嗅探攻击。将网卡设置为混杂模式,对以太网上流通的所有数据包进行嗅探,以获取敏感信息。
4)解码类攻击。用口令猜测程序破解系统用户帐号和密码。
5)缓冲区溢出攻击。通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它的指令。缓冲区攻击的目的在于扰乱某些以特权身份运行的程序的功能,使攻击者获得程序的控制权。
6)欺骗攻击。利用 TCP/IP 协议本身的一些缺陷对 TCP/IP 网络进行攻击,主要方式有:ARP 欺骗、DNS 欺骗、Web 欺骗等。
7)拒绝服务(DoS 攻击)和分布式拒绝服务攻击(DDoS 攻击)。这种攻击行为通过发送一定数量一定序列的数据包,使网络服务器中充斥了大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪、停止正常的网络服务。攻击者通过入侵大量有安全漏洞的主机并获取控制权,在多台被入侵的主机上安装攻击程序,然后利用所控制的这些大量攻击源,同时向目标机发起拒绝服务攻击。
8)Web 脚本入侵。由于使用不同的 Web 网站服务器、不同的开放语言,使网站存在的漏洞也不相同,所以使用 Web 脚本攻击的方式也很多。如黑客可以从网站的文章系统下载系统留言板等部分进行攻击;也可以针对网站后台数据库进行攻击,还可以在网页中写入具有攻击性的代码;甚至可以通过图片进行攻击。Web 脚本攻击常见方式有:注入攻击、上传漏洞攻击、跨站攻击、数据库入侵等。
9)0day 攻击。0day 通常是指还没有补丁的漏洞,而 0day 攻击则是指利用这种漏洞进行的攻击。提供该漏洞细节或者利用程序的人通常是该漏洞的发现者。0day 漏洞的利用程序对网络安全具有巨大威胁,因此 0day 不但是黑客的最爱,掌握多少 0day 也成为评价黑客技术水平的一个重要参数。
10)社会工程学攻击。社会工程学是一种利用人的弱点,如本能反应、好奇心、信任、贪便宜等进行欺骗等手段,获取自身利益的手法。现实中运用社会工程学的犯罪很多,短信诈骗如诈骗银行信用卡号码,电话诈骗如以知名人士的名义去推销诈骗等。利用社会工程学手段,突破信息安全防御措施的事件,已经呈现出上升甚至泛滥的趋势。例如,免费下载软件中捆绑流氓软件、免费音乐中包含病毒、网络钓鱼、垃圾电子邮件中包括间谍软件等,都是近来社会工程学的代表应用。
凯文米特出版的《欺骗的艺术》堪称社会工程学的经典。书中详细地描述了许多运用社会工程学入侵网络的方法,这些方法并不需要太多的技术基础,但可怕的是,一旦懂得如何利用人的弱点,就可以轻易地潜入防护最严密的网络系统。他曾经在很小的时候就能够把这一天赋发挥到极致,像变魔术一样,不知不觉地进入了包括美国国防部、IBM 等几乎不可能潜入的网络系统,并获取了管理员特权。
#信息安全知识普及 #网络安全 #黑客 #网络攻击
信息安全技术频道🔎
@tg_InternetSecurity
👍1
【信息安全知识普及 第8讲 网络安全】
(3)APT 攻击
随着网络的发展,攻击技术日新月异。近几年,出现了一种有组织、有特定目标、持续时间极长的新型攻击和威胁,通常称之为高级持续性威胁(Advanced Persistent Threat,APT)攻击,或者称之为“针对特定目标的攻击”。
1. APT 定义
2011年美国国家标准与技术研究院 NIST 发布了《SP800-39管理信息安全风险》,其中对 APT 的定义为:攻击者掌握先进的专业知识和有效的资源,通过多种攻击途径(如网络、物理设施和欺骗等),在特定组织的信息技术基础设施建立并转移立足点,以窃取机密信息,破坏或阻碍任务、程序或组织的关键系统,或者驻留在组织的内部网络,进行后续攻击。
可以从“A”、“P”、“T”三个方面来理解 NIST 对 APT 的定义:
1)A(Advanced):技术高级。攻击者掌握先进的攻击技术,使用多种攻击途径,包括购买或自己开发 0day 漏洞,而一般攻击者却没有能力使用这些资源。而且,攻击过程复杂,攻击持续过程中攻击者能够动态调整攻击方式,从整体上掌控攻击进程。
2)P(Persistent):持续时间长。与传统黑客进行网络攻击的目的不同,实施APT攻击的黑客组织通常具有明确的攻击目标和目的,通过长期不断的信息搜集、信息监控、渗透入侵实施攻击步骤,攻击成功后一般还会继续驻留在网络中,等待时机进行后续攻击。
3)T(Threat):威胁性大。APT 攻击通常拥有雄厚的资金支持,由经验丰富的黑客团队发起,一般以破坏国家或是大型企业的关键基础设施为目标,窃取内部核心机密信息。
2. APT 攻击产生的背景
1)APT 攻击成为国家层面信息对抗的需求。
当前,国际形势正经历复杂的变化。冷战、金融危机、新冠肺炎以来的世界形势如同二十世纪初一样,出现新一轮的动荡不安,全球经济复苏缓慢,亚洲、北非、北美政局动荡,各国展开了政治、经济、文化、军事和科技全方位的较量。
如今,各国的关键部门等领域,正在被互联网联成一体,形成各个国家的关键性基础设施。因而,各国都十分看重网络空间的跨国属性和战略价值。国家之间的对抗也由原来的军事对抗转变为信息对抗。在这些复杂因素的驱动下,APT 攻击成为国家层面信息对抗的需求。
2)社交网络的广泛应用为 APT 攻击提供了可能。
社交网络正在从根本上改变我们办公、交友、生活的方式,它消除了由网络设备形成的有形边界,成为跨越传统网络安全边界的无形通道。例如,社交网络上的钓鱼攻击、冒充攻击、身份窃取等为 APT 攻击搜集信息、持续渗透提供了可能。
3)复杂脆弱的IT环境还没有做好应对的准备,造成APT攻击事件频发。
传统的网络安全防御虽然在网络安全边界、可信内网、终端等关键区域构建了分层的防御体系,并且建立了风险评估、攻击防护、入侵检测、响应恢复等动态安全机制,但是防护的整体性一直没有达到应对不断变化安全威胁的需求。
例如,虽然防火墙能够检测到的大量端口扫描,用户能够发现收到钓鱼邮件,管理层用户发现社交账号有莫名的好友申请,但是目前的防护体系中还不能将这些安全事件进行有效关联,从而发现 APT 攻击的迹象进行阻止。
此外,目前公司复杂的网络环境、大量有漏洞的应用软件,使得攻击者更加容易找到薄弱环节和安全漏洞,再加上员工普遍使用智能终端和社交应用,为攻击者提供了多种攻击途径。
2009年被曝光的 GhostNet 攻击,专门盗取各国大使馆、外交部等政府机构,以及银行的机密信息,两年内就已渗透到至少103个国家的1295台政府和重要人物的计算机中。
2010年6月,震网(Stuxnet)首次被发现,是已知的第一个以关键工业基础设施为目标的蠕虫,其感染并破坏了伊朗纳坦兹核设施,并最终使伊朗布什尔核电站推迟启动。
2011年3月,国际著名安全公司 RSA 也公开声称遭受了 APT 攻击,Secure ID 令牌技术文件被窃取,数百万用户面临安全风险;
2012年5月发现的 Flamer 攻击,相对于 Stuxnet 攻击复杂数十倍,被称为有史以来最复杂的恶意软件,而且据猜测其已经潜伏了数年。据报道,遭受 Flamer 攻击的国家包括伊朗(189个目标)、巴勒斯坦地区(98个目标)、苏丹(32个目标)、叙利亚(30个目标)、黎巴嫩(18个目标)等。
安全专家认为,一定还有 APT 攻击没有被人们发现,还有更多的公司由于种种原因而没有公布它们遭到 APT 攻击以及造成的损失。可以说,APT 攻击已经成为近几年给社会、企业、组织及个人造成了重大损失和影响的攻击形式。
#信息安全知识普及 #网络安全 #网络攻击
信息安全技术频道🔎
@tg_InternetSecurity
(3)APT 攻击
随着网络的发展,攻击技术日新月异。近几年,出现了一种有组织、有特定目标、持续时间极长的新型攻击和威胁,通常称之为高级持续性威胁(Advanced Persistent Threat,APT)攻击,或者称之为“针对特定目标的攻击”。
1. APT 定义
2011年美国国家标准与技术研究院 NIST 发布了《SP800-39管理信息安全风险》,其中对 APT 的定义为:攻击者掌握先进的专业知识和有效的资源,通过多种攻击途径(如网络、物理设施和欺骗等),在特定组织的信息技术基础设施建立并转移立足点,以窃取机密信息,破坏或阻碍任务、程序或组织的关键系统,或者驻留在组织的内部网络,进行后续攻击。
可以从“A”、“P”、“T”三个方面来理解 NIST 对 APT 的定义:
1)A(Advanced):技术高级。攻击者掌握先进的攻击技术,使用多种攻击途径,包括购买或自己开发 0day 漏洞,而一般攻击者却没有能力使用这些资源。而且,攻击过程复杂,攻击持续过程中攻击者能够动态调整攻击方式,从整体上掌控攻击进程。
2)P(Persistent):持续时间长。与传统黑客进行网络攻击的目的不同,实施APT攻击的黑客组织通常具有明确的攻击目标和目的,通过长期不断的信息搜集、信息监控、渗透入侵实施攻击步骤,攻击成功后一般还会继续驻留在网络中,等待时机进行后续攻击。
3)T(Threat):威胁性大。APT 攻击通常拥有雄厚的资金支持,由经验丰富的黑客团队发起,一般以破坏国家或是大型企业的关键基础设施为目标,窃取内部核心机密信息。
2. APT 攻击产生的背景
1)APT 攻击成为国家层面信息对抗的需求。
当前,国际形势正经历复杂的变化。冷战、金融危机、新冠肺炎以来的世界形势如同二十世纪初一样,出现新一轮的动荡不安,全球经济复苏缓慢,亚洲、北非、北美政局动荡,各国展开了政治、经济、文化、军事和科技全方位的较量。
如今,各国的关键部门等领域,正在被互联网联成一体,形成各个国家的关键性基础设施。因而,各国都十分看重网络空间的跨国属性和战略价值。国家之间的对抗也由原来的军事对抗转变为信息对抗。在这些复杂因素的驱动下,APT 攻击成为国家层面信息对抗的需求。
2)社交网络的广泛应用为 APT 攻击提供了可能。
社交网络正在从根本上改变我们办公、交友、生活的方式,它消除了由网络设备形成的有形边界,成为跨越传统网络安全边界的无形通道。例如,社交网络上的钓鱼攻击、冒充攻击、身份窃取等为 APT 攻击搜集信息、持续渗透提供了可能。
3)复杂脆弱的IT环境还没有做好应对的准备,造成APT攻击事件频发。
传统的网络安全防御虽然在网络安全边界、可信内网、终端等关键区域构建了分层的防御体系,并且建立了风险评估、攻击防护、入侵检测、响应恢复等动态安全机制,但是防护的整体性一直没有达到应对不断变化安全威胁的需求。
例如,虽然防火墙能够检测到的大量端口扫描,用户能够发现收到钓鱼邮件,管理层用户发现社交账号有莫名的好友申请,但是目前的防护体系中还不能将这些安全事件进行有效关联,从而发现 APT 攻击的迹象进行阻止。
此外,目前公司复杂的网络环境、大量有漏洞的应用软件,使得攻击者更加容易找到薄弱环节和安全漏洞,再加上员工普遍使用智能终端和社交应用,为攻击者提供了多种攻击途径。
2009年被曝光的 GhostNet 攻击,专门盗取各国大使馆、外交部等政府机构,以及银行的机密信息,两年内就已渗透到至少103个国家的1295台政府和重要人物的计算机中。
2010年6月,震网(Stuxnet)首次被发现,是已知的第一个以关键工业基础设施为目标的蠕虫,其感染并破坏了伊朗纳坦兹核设施,并最终使伊朗布什尔核电站推迟启动。
2011年3月,国际著名安全公司 RSA 也公开声称遭受了 APT 攻击,Secure ID 令牌技术文件被窃取,数百万用户面临安全风险;
2012年5月发现的 Flamer 攻击,相对于 Stuxnet 攻击复杂数十倍,被称为有史以来最复杂的恶意软件,而且据猜测其已经潜伏了数年。据报道,遭受 Flamer 攻击的国家包括伊朗(189个目标)、巴勒斯坦地区(98个目标)、苏丹(32个目标)、叙利亚(30个目标)、黎巴嫩(18个目标)等。
安全专家认为,一定还有 APT 攻击没有被人们发现,还有更多的公司由于种种原因而没有公布它们遭到 APT 攻击以及造成的损失。可以说,APT 攻击已经成为近几年给社会、企业、组织及个人造成了重大损失和影响的攻击形式。
#信息安全知识普及 #网络安全 #网络攻击
信息安全技术频道🔎
@tg_InternetSecurity
👍1
【信息安全知识普及 第8讲 网络安全】
(3)APT 攻击
3. APT 攻击一般过程
1)信息侦查
在入侵之前,攻击者首先会使用技术和社会工程学手段对特定目标进行侦查。
侦查内容主要包括两个方面,一是对目标网络用户的信息收集,例如高层领导、系统管理员或者普通职员等员工资料、系统管理制度、系统业务流程和使用情况等关键信息;二是对目标网络脆弱点的信息收集,例如软件版本、开放端口等。随后,攻击者针对目标系统的脆弱点,研究 0day 漏洞、定制木马程序、制订攻击计划,用于在下一阶段实施精确攻击。
2)持续渗透
利用目标人员的疏忽、不执行安全规范,以及利用系统应用程序、网络服务或主机的漏洞,攻击者使用定制木马等手段不断渗透以潜伏在目标系统,进一步地在避免用户觉察的条件下取得网络核心设备的控制权。
例如,通过 SQL 注入等攻击手段突破面向外网的 Web 服务器,或是通过钓鱼攻击发送欺诈邮件获取内网用户通信录并进一步入侵高管主机,采用发送带漏洞的 Office 文件诱骗用户将正常网址请求重定向至恶意站点。
3)长期潜伏
为了获取有价值信息,攻击者一般会在目标网络长期潜伏,有的达数年之久。潜伏期间,攻击者还会在已控制的主机上安装各种木马、后门,不断提高恶意软件的复杂度,以增强攻击能力并避开安全检测。
4)窃取信息
目前绝大部分 APT 攻击的目的都是为了窃取目标组织的机密信息。
攻击者一般采用 SSL VPN 连接的方式控制内网主机,对于窃取到的机密信息,攻击者通常将其加密存放在特定主机上,再选择合适的时间将其通过隐蔽信道传输到攻击者控制的服务器。由于数据以密文方式存在,APT 程序在获取重要数据后向外部发送时,利用了合法数据的传输通道和加密、压缩方式,管理者难以辨别出其与正常流量的差别。
4. APT 攻击与传统攻击比较
如图所示。
#信息安全知识普及 #网络安全 #网络攻击
信息安全技术频道🔎
@tg_InternetSecurity
(3)APT 攻击
3. APT 攻击一般过程
1)信息侦查
在入侵之前,攻击者首先会使用技术和社会工程学手段对特定目标进行侦查。
侦查内容主要包括两个方面,一是对目标网络用户的信息收集,例如高层领导、系统管理员或者普通职员等员工资料、系统管理制度、系统业务流程和使用情况等关键信息;二是对目标网络脆弱点的信息收集,例如软件版本、开放端口等。随后,攻击者针对目标系统的脆弱点,研究 0day 漏洞、定制木马程序、制订攻击计划,用于在下一阶段实施精确攻击。
2)持续渗透
利用目标人员的疏忽、不执行安全规范,以及利用系统应用程序、网络服务或主机的漏洞,攻击者使用定制木马等手段不断渗透以潜伏在目标系统,进一步地在避免用户觉察的条件下取得网络核心设备的控制权。
例如,通过 SQL 注入等攻击手段突破面向外网的 Web 服务器,或是通过钓鱼攻击发送欺诈邮件获取内网用户通信录并进一步入侵高管主机,采用发送带漏洞的 Office 文件诱骗用户将正常网址请求重定向至恶意站点。
3)长期潜伏
为了获取有价值信息,攻击者一般会在目标网络长期潜伏,有的达数年之久。潜伏期间,攻击者还会在已控制的主机上安装各种木马、后门,不断提高恶意软件的复杂度,以增强攻击能力并避开安全检测。
4)窃取信息
目前绝大部分 APT 攻击的目的都是为了窃取目标组织的机密信息。
攻击者一般采用 SSL VPN 连接的方式控制内网主机,对于窃取到的机密信息,攻击者通常将其加密存放在特定主机上,再选择合适的时间将其通过隐蔽信道传输到攻击者控制的服务器。由于数据以密文方式存在,APT 程序在获取重要数据后向外部发送时,利用了合法数据的传输通道和加密、压缩方式,管理者难以辨别出其与正常流量的差别。
4. APT 攻击与传统攻击比较
如图所示。
#信息安全知识普及 #网络安全 #网络攻击
信息安全技术频道🔎
@tg_InternetSecurity
尊敬的SafeChat用户,您好!
SafeChat (德讯) 是成立于美国的科技平台,服务器在美国,与以下平台只是名称相近,完全无任何关系,SafeChat (德讯)在此做一下澄清:
1. SafeChats 名称比SafeChat多一个“s”,该公司总部位于新加坡。
2. 德迅通讯,只是名称类似。
3. 德迅投资,是一家投资公司,由腾讯的联合创始人创立。
SafeChat (德讯) 与以上公司名称有相似之处,没有任何关联,请您注意区分,并告知有疑惑的朋友,谢谢支持!
SafeChat团队
#SafeChat
信息安全技术频道🔎
@tg_InternetSecurity
SafeChat (德讯) 是成立于美国的科技平台,服务器在美国,与以下平台只是名称相近,完全无任何关系,SafeChat (德讯)在此做一下澄清:
1. SafeChats 名称比SafeChat多一个“s”,该公司总部位于新加坡。
2. 德迅通讯,只是名称类似。
3. 德迅投资,是一家投资公司,由腾讯的联合创始人创立。
SafeChat (德讯) 与以上公司名称有相似之处,没有任何关联,请您注意区分,并告知有疑惑的朋友,谢谢支持!
SafeChat团队
#SafeChat
信息安全技术频道🔎
@tg_InternetSecurity
Gab 社交应用程序使用方法
因 Gab 拒绝接受 Google 和 Apple 的言论审查,Google Play Store 和 Apple App Store 已禁止 Gab,但您仍然可以在手机上安装 Gab 的 Android应用。
在 Android 上获取 Gab 应用程序:
打开 Chrome 浏览器;
访问 Gab.com ;
点击右上角3个点,然后点击“添加到主屏幕”;
您将能够输入快捷方式的名称,然后 Chrome 会将其添加到主屏幕;
从主屏幕打开 Gab 应用。
获取适用于 iOS 的 Gab 应用程序:
打开 Safari 浏览器;
访问 Gab.com ;
点击共享图标(底部页脚中心的按钮)滚动,然后点击“添加到主屏幕”;
您将能够输入快捷方式的名称,然后 Safari 会将 Gab 应用添加到主屏幕;
从主屏幕打开 Gab 应用。
#app #Android #IOS #Gab
信息安全技术频道🔎
@tg_InternetSecurity
因 Gab 拒绝接受 Google 和 Apple 的言论审查,Google Play Store 和 Apple App Store 已禁止 Gab,但您仍然可以在手机上安装 Gab 的 Android应用。
在 Android 上获取 Gab 应用程序:
打开 Chrome 浏览器;
访问 Gab.com ;
点击右上角3个点,然后点击“添加到主屏幕”;
您将能够输入快捷方式的名称,然后 Chrome 会将其添加到主屏幕;
从主屏幕打开 Gab 应用。
获取适用于 iOS 的 Gab 应用程序:
打开 Safari 浏览器;
访问 Gab.com ;
点击共享图标(底部页脚中心的按钮)滚动,然后点击“添加到主屏幕”;
您将能够输入快捷方式的名称,然后 Safari 会将 Gab 应用添加到主屏幕;
从主屏幕打开 Gab 应用。
#app #Android #IOS #Gab
信息安全技术频道🔎
@tg_InternetSecurity
【信息安全知识普及 第8讲 网络安全】
(4)网络安全防护——防火墙
1. 防火墙的概念
防火墙,顾名思义,是指阻隔火的蔓延的,人们在需要防火的一边与外部边界之间修筑的一堵墙,以防止在外部火灾发生时火蔓延进受保护的一边。
防火墙可以是软件、硬件或软硬件的组合。
软件防火墙跟其它的软件产品一样,需要在计算机上安装并做好配置才可以发挥作用,例如Windows系统自带的软件防火墙和著名安全公司CheckPoint推出的ZoneAlarm Pro软件防火墙。
目前市场上大多数防火墙是硬件防火墙。这类防火墙一般基于PC架构,也就是说这类防火墙和普通PC类似。
还有基于特定用途集成电路(ASIC)、基于网络处理器(NP)以及基于现场可编程门阵列(FPGA)的防火墙。这类防火墙采用专用操作系统,因此防火墙本身的漏洞比较少,而且由于基于专门的硬件平台,因而处理能力强、性能高。
2. 防火墙的工作原理
防火墙总体来讲可分为“包过滤型”和“应用代理型”两大类。
包过滤防火墙工作在网络层和传输层,它根据通过防火墙的每个数据包的源IP地址、目标IP地址、端口号、协议类型等信息来决定是将让该数据包通过还是丢弃,从而达到对进出防火墙的数据进行检测和限制的目的。
采用应用代理技术的防火墙工作在应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
#信息安全知识普及 #网络安全 #防火墙
信息安全技术频道🔎
@tg_InternetSecurity
(4)网络安全防护——防火墙
1. 防火墙的概念
防火墙,顾名思义,是指阻隔火的蔓延的,人们在需要防火的一边与外部边界之间修筑的一堵墙,以防止在外部火灾发生时火蔓延进受保护的一边。
防火墙可以是软件、硬件或软硬件的组合。
软件防火墙跟其它的软件产品一样,需要在计算机上安装并做好配置才可以发挥作用,例如Windows系统自带的软件防火墙和著名安全公司CheckPoint推出的ZoneAlarm Pro软件防火墙。
目前市场上大多数防火墙是硬件防火墙。这类防火墙一般基于PC架构,也就是说这类防火墙和普通PC类似。
还有基于特定用途集成电路(ASIC)、基于网络处理器(NP)以及基于现场可编程门阵列(FPGA)的防火墙。这类防火墙采用专用操作系统,因此防火墙本身的漏洞比较少,而且由于基于专门的硬件平台,因而处理能力强、性能高。
2. 防火墙的工作原理
防火墙总体来讲可分为“包过滤型”和“应用代理型”两大类。
包过滤防火墙工作在网络层和传输层,它根据通过防火墙的每个数据包的源IP地址、目标IP地址、端口号、协议类型等信息来决定是将让该数据包通过还是丢弃,从而达到对进出防火墙的数据进行检测和限制的目的。
采用应用代理技术的防火墙工作在应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
#信息安全知识普及 #网络安全 #防火墙
信息安全技术频道🔎
@tg_InternetSecurity
免费节点订阅分享(数千个节点)
以下节点在导入的时候需要先打开另外一个 VPN 或代理全局连接,然后进行订阅更新,更新后列表会刷新产生节点。
SS节点66个 https://raw.githubusercontent.com/ssrsub/ssr/master/ss-sub
SS节点4136个 https://proxypoolss.tk/ss/sub
V2ray节点27个 https://raw.githubusercontent.com/ssrsub/ssr/master/v2ray
V2ray节点若干个 https://proxypoolss.tk/vmess/sub
V2ray节点若干个 https://suo.yt/nceSyFr
SSR节点36个 https://raw.githubusercontent.com/ssrsub/ssr/master/ssrsub
SSR节点1432个 https://proxypoolss.tk/ssr/sub
Trojan节点185个 https://proxypoolss.tk/trojan/sub
Clash节点3258个 https://gitea.com/proxypools/sub/raw/branch/main/clash/clash.yaml
Clash节点若干个 https://suo.yt/nIR27tZ
QuantumltX节点若干个 https://suo.yt/tELqkXF
Surge2节点若干个 https://suo.yt/jGMv2XU
Surge3节点若干个 https://suo.yt/j6NNmhE
Surge4节点若干个 https://suo.yt/RCtOYdS
Surfboard节点若干个 https://suo.yt/PNjOcEI
以下节点组不需要翻墙即可更新,与上面是重复的。
SS节点66个 https://raw.ev2.workers.dev/ssrsub/ssr/master/ss-sub
v2ray节点27个 https://raw.ev2.workers.dev/ssrsub/ssr/master/v2ray
SSR节点36个 https://raw.ev2.workers.dev/ssrsub/ssr/master/ssrsub
节点来源于网络,不能保证绝对安全,请自己甄别。
#代理 #翻墙 #Shadowsocks #v2ray #trojan #clash
信息安全技术频道🔎
@tg_InternetSecurity
以下节点在导入的时候需要先打开另外一个 VPN 或代理全局连接,然后进行订阅更新,更新后列表会刷新产生节点。
SS节点66个 https://raw.githubusercontent.com/ssrsub/ssr/master/ss-sub
SS节点4136个 https://proxypoolss.tk/ss/sub
V2ray节点27个 https://raw.githubusercontent.com/ssrsub/ssr/master/v2ray
V2ray节点若干个 https://proxypoolss.tk/vmess/sub
V2ray节点若干个 https://suo.yt/nceSyFr
SSR节点36个 https://raw.githubusercontent.com/ssrsub/ssr/master/ssrsub
SSR节点1432个 https://proxypoolss.tk/ssr/sub
Trojan节点185个 https://proxypoolss.tk/trojan/sub
Clash节点3258个 https://gitea.com/proxypools/sub/raw/branch/main/clash/clash.yaml
Clash节点若干个 https://suo.yt/nIR27tZ
QuantumltX节点若干个 https://suo.yt/tELqkXF
Surge2节点若干个 https://suo.yt/jGMv2XU
Surge3节点若干个 https://suo.yt/j6NNmhE
Surge4节点若干个 https://suo.yt/RCtOYdS
Surfboard节点若干个 https://suo.yt/PNjOcEI
以下节点组不需要翻墙即可更新,与上面是重复的。
SS节点66个 https://raw.ev2.workers.dev/ssrsub/ssr/master/ss-sub
v2ray节点27个 https://raw.ev2.workers.dev/ssrsub/ssr/master/v2ray
SSR节点36个 https://raw.ev2.workers.dev/ssrsub/ssr/master/ssrsub
节点来源于网络,不能保证绝对安全,请自己甄别。
#代理 #翻墙 #Shadowsocks #v2ray #trojan #clash
信息安全技术频道🔎
@tg_InternetSecurity
【信息安全知识普及 第8讲 网络安全】
(5)网络安全检测——入侵检测
1. 入侵检测的概念
人们希望在危险发生的时候能够及时发现危险并作出响应。例如《碟中谍4》影片开头的一个片段,就反映了这样的情节:当特工眼中安装的监视芯片扫描到对面走来的美女时,迅速与任务信息库中的人物特征匹配并识别出其为职业杀手并向特工的iPhone4手机发送了报警信息。不过为时已晚,这名特工还是被美女杀手杀害了。
入侵(Intrusion)是指任何企图危及资源的完整性、机密性和可用性的活动。不仅包括发起攻击的人(如恶意的黑客)取得超出合法范围的系统控制权,也包括收集漏洞信息,造成拒绝服务等对计算机系统产生危害的行为。
入侵检测顾名思义,是指通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,IDS)。
与防火墙类似,除了有基于PC架构、主要功能由软件实现的IDS,还有基于ASIC、NP以及FPGA架构开发的IDS。
2. 入侵检测的工作原理
事件产生器:从整个计算环境中获得事件,并向系统的其他部分提供此事件。
事件分析器:分析得到的数据,并产生分析结果。
响应单元:对分析结果作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。
事件数据库:是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
根据检测数据的不同,IDS分为主机型和网络型入侵检测系统。
1)基于主机的IDS(HIDS),通过监视和分析主机的审计记录检测入侵。
2)基于网络的IDS(NIDS),通过在共享网段上对通信数据进行侦听,检测入侵。
根据其采用的分析方法可分为异常检测和误用检测。
1)异常检测。需要建立目标系统及其用户的正常活动模型,然后基于这个模型对系统和用户的实际活动进行审计,当主体活动违反其统计规律时,则将其视为可疑行为。该技术的关键是异常阈值和特征的选择。优点是可以发现新型的入侵行为,漏报少。缺点是容易产生误报。
2)误用检测。假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征,系统的目标就是检测主体活动是否符合这些模式。该技术的关键是模式匹配。优点是可以有针对性地建立高效的入侵检测系统,其精确性较高,误报少。主要缺陷是只能发现攻击库中已知的攻击,不能检测未知的入侵,也不能检测已知入侵的变种,因此可能发生漏报。且其复杂性将随着攻击数量的增加而增加。
#信息安全知识普及 #网络安全 #入侵检测
信息安全技术频道🔎
@tg_InternetSecurity
(5)网络安全检测——入侵检测
1. 入侵检测的概念
人们希望在危险发生的时候能够及时发现危险并作出响应。例如《碟中谍4》影片开头的一个片段,就反映了这样的情节:当特工眼中安装的监视芯片扫描到对面走来的美女时,迅速与任务信息库中的人物特征匹配并识别出其为职业杀手并向特工的iPhone4手机发送了报警信息。不过为时已晚,这名特工还是被美女杀手杀害了。
入侵(Intrusion)是指任何企图危及资源的完整性、机密性和可用性的活动。不仅包括发起攻击的人(如恶意的黑客)取得超出合法范围的系统控制权,也包括收集漏洞信息,造成拒绝服务等对计算机系统产生危害的行为。
入侵检测顾名思义,是指通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,IDS)。
与防火墙类似,除了有基于PC架构、主要功能由软件实现的IDS,还有基于ASIC、NP以及FPGA架构开发的IDS。
2. 入侵检测的工作原理
事件产生器:从整个计算环境中获得事件,并向系统的其他部分提供此事件。
事件分析器:分析得到的数据,并产生分析结果。
响应单元:对分析结果作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。
事件数据库:是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
根据检测数据的不同,IDS分为主机型和网络型入侵检测系统。
1)基于主机的IDS(HIDS),通过监视和分析主机的审计记录检测入侵。
2)基于网络的IDS(NIDS),通过在共享网段上对通信数据进行侦听,检测入侵。
根据其采用的分析方法可分为异常检测和误用检测。
1)异常检测。需要建立目标系统及其用户的正常活动模型,然后基于这个模型对系统和用户的实际活动进行审计,当主体活动违反其统计规律时,则将其视为可疑行为。该技术的关键是异常阈值和特征的选择。优点是可以发现新型的入侵行为,漏报少。缺点是容易产生误报。
2)误用检测。假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征,系统的目标就是检测主体活动是否符合这些模式。该技术的关键是模式匹配。优点是可以有针对性地建立高效的入侵检测系统,其精确性较高,误报少。主要缺陷是只能发现攻击库中已知的攻击,不能检测未知的入侵,也不能检测已知入侵的变种,因此可能发生漏报。且其复杂性将随着攻击数量的增加而增加。
#信息安全知识普及 #网络安全 #入侵检测
信息安全技术频道🔎
@tg_InternetSecurity
👍1
每周转载:内卷的天朝,各阶层的众生相(网文16篇)
https://telegra.ph/每周转载内卷的天朝各阶层的众生相网文16篇-01-31
#编程随想 #中国 #社会
信息安全技术频道🔎
@tg_InternetSecurity
https://telegra.ph/每周转载内卷的天朝各阶层的众生相网文16篇-01-31
#编程随想 #中国 #社会
信息安全技术频道🔎
@tg_InternetSecurity
Telegraph
每周转载:内卷的天朝,各阶层的众生相(网文16篇)
今天的内卷是一个陀螺式的死循环
Brave 浏览器简介
Brave 是一款可在移动设备上使用的快速、免费且安全的网络浏览器。内置广告阻止程序,可以防止被追踪,提供安全保护,优化数据和电池性能。Brave 由一群注重隐私、以性能为导向的网络开拓者构建而成,其中包括 JavaScript 的创造者和 Mozilla 的联合创始人。公司总部位于美国旧金山。
Android 版 / iOS 版
Windows 64位 / Windows 32位
Mac OS 版 / Linux 版
#浏览器 #个人隐私
信息安全技术频道🔎
@tg_InternetSecurity
Brave 是一款可在移动设备上使用的快速、免费且安全的网络浏览器。内置广告阻止程序,可以防止被追踪,提供安全保护,优化数据和电池性能。Brave 由一群注重隐私、以性能为导向的网络开拓者构建而成,其中包括 JavaScript 的创造者和 Mozilla 的联合创始人。公司总部位于美国旧金山。
Android 版 / iOS 版
Windows 64位 / Windows 32位
Mac OS 版 / Linux 版
#浏览器 #个人隐私
信息安全技术频道🔎
@tg_InternetSecurity
Google Play
Brave Private Web Browser, VPN - Apps on Google Play
Fast internet with AI, Adblock & VPN. Browse on a safe, incognito web browser.