网络安全之内容安全

大家好，欢迎来到IT知识分享网。

内容安全

攻击可能只是一个点，防御需要全方面进行

IAE引擎

DFI和DPI技术— 深度检测技术

DPI — 深度包检测技术— 主要针对完整的数据包（数据包分片，分段需要重组），之后对 数据包的内容进行识别。（应用层）

1，基于“特征字”的检测技术—最常用的识别手段，基于一些协议的字段来识别特征。

DFI — 深度流检测技术—一种基于流量行为的应用识别技术。这种方法比较适合判断P2P流量。

结论：

1，DFI仅对流量进行分析，所以，只能对应用类型进行笼统的分类，无法识别出具体的应 用；DPI进行检测会更加精细和精准；

2，如果数据包进行加密传输，则采用DPI方式将不能识别具体的应用，除非有解密手段；但 是，加密并不会影响数据流本身的特征，所以，DFI的方式不受影响。

入侵防御（IPS）

IDS — 侧重于风险管理的设备

IPS — 侧重于风险控制的设备

IPS的优势：

1，实时的阻断攻击；

2，深层防护—深入到应用层；

3，全方位的防护—IPS可以针对各种常见威胁做出及时的防御，提供全方位的防护；

4，内外兼防—只要是通过设备的流量均可以进行检测，可以防止发自于内部的攻击。

5，不断升级，精准防护

入侵检测的方法：

异常检测 误用检测

异常检测：

异常检测基于一个假定，即用户行为是可以预测的，遵循一致性模式的；

误用检测

误用检测其实就是创建了一个异常行为的特征库。我们将一些入侵行为记录下来，总结成 为特征，之后，检测流量和特征库进行对比，来发现威胁。

总结：

1，在进行IPS模块检测之前，首先需要重组IP分片报文和TCP数据流；—增加检测的精准性

2，在此之后需要进行应用协议的识别。这样做主要为了针对特定的应用进行对应精细的解 码，并深入报文提取特征。

3，最后，解析报文特征和签名（特征库里的特征）进行匹配。再根据命中与否做出对应预设 的处理方案。

签名— 针对网络上的入侵行为特征的描述，将这些特征通过HASH后和我们报文进行 比对。

自定义签名—自己定义威胁特征。

自定义签名和预定义签名可以执行的动作、

告警— 对命中签名的报文进行放行，但是会记录再日志中

阻断— 对命中签名的报文进行拦截，并记录日志

放行— 对命中签名的报文放行，不记录日志

注意：这里在进行更改时，一定要注意提交，否则配置不生效。修改的配置需要在提交后重启 模块后生效。

ID — 签名的标识

对象— 服务端，客户端，服务端和客户端

服务端和客户端指的都是身份，一般将发起连接的一端称为客户端，接受连接提供服务的称为服务端。

严重性：高，中，低，提示—用来标识该入侵行为的威胁程度 协议，应用程序—指攻击报文所使用的协议或应用类型

检测范围

报文— 逐包匹配

如果勾选该选项，则下面的“检查项列表”里面的规则将按自上而下，逐一匹配。如果 匹配到了，则不再向下匹配； 如果不勾选，则下面所有规则为“且”的关系。

这里主要是进行签名的筛选，筛选出来的签名和流量进行比对。默认是全选，全选固然安全， 但是，对设备性能能消耗巨大，不建议。

如果需要对个别签名进行特殊处理，则可以写在例外签名中，单独执行动作。 多了阻断IP的动作，含义是可以将对应IP地址添加到黑名单中。

后面的超时时间是加入黑名单的时间。超过超时时间，则将释放该地址。

防病毒（AV）—传统的AV防病毒的方式是对文件进行查杀。

病毒简介

病毒传播

病毒分类

病毒杀链

病毒的工作原理

C&C服务器— 命令控制服务器

防病毒处理流量

1，进行应用和协议的识别

2，判断这个协议是否支持防病毒的检测，如果不是支持的防病毒协议，则文件将直接通过。

3，之后，需要进行白名单的比对。如果命中白名单，则将不进行防病毒检测，可以同时进行

其他模块的检测。

4，如果没有命中白名单，则将进行特征库的比对。如果比对上了，则需要进行后续处理。

如果没有比对上，则可以直接放行。

这个病毒库也是可以实时对接安全中心进行升级，但是，需要提前购买License进行激

活。

5，如果需要进行后续处理，首先进行“病毒例外“的检测。—这个病毒例外，相当于是病

毒的一个白名单，如果是添加在病毒例外当中的病毒，比对上之后，将直接放通。—-过渡

防护

6，之后，进行应用例外的比对。—类似于IPS模块中的例外签名。针对例外的应用执行和整

体配置不同的动作。

7，如果没有匹配上前面两种例外，则将执行整体配置的动作。

宣告：仅针对邮件文件生效。仅支持SMTP和POP3协议。对于携带病毒的附件，设备允许

文件通过，但是，会在邮件正文中添加病毒的提示，并生成日志。

删除附件：仅针对邮件文件生效，仅支持SMTP和POP3协议。对于携带病毒的附件，设备

会删除掉邮件的附件，同时会在邮件正文中添加病毒的提示，并生成日志。

网络安全成长路线图

# 网络安全学习方法 

​ 上面介绍了技术分类和学习路线，这里来谈一下学习方法：

​ 无论你是去B站或者是油管上面都有很多网络安全的相关视频可以学习，当然如果你还不知道选择那套学习，我这里也整理了一套和上述成长路线图挂钩的视频教程如果你对网络安全入门感兴趣，那么你点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

如果你对网络安全入门感兴趣，那么你点击这里👉CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享