Web安全基礎(chǔ)第7章Web安全防御技術(shù)目錄CONTENTS7.1被動防御7.2主動防御7.3習(xí)題7.1被動防御7.1.1防火墻7.1.2Web應(yīng)用防火墻7.1.3入侵檢測7.1被動防御防火墻：防火墻是一種網(wǎng)絡(luò)安全設(shè)備或軟件，部署在網(wǎng)絡(luò)邊界，充當內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的關(guān)鍵連接點。主要功能：監(jiān)控、過濾和控制網(wǎng)絡(luò)流量。經(jīng)典的防火墻將網(wǎng)絡(luò)劃分為三個區(qū)域：內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)和非軍事化區(qū)（DemilitarizedZone，DMZ，也稱為隔離區(qū)）。7.1.1防火墻內(nèi)部網(wǎng)絡(luò)：指企業(yè)或機構(gòu)的核心網(wǎng)絡(luò)，屬于可信區(qū)域。外部網(wǎng)絡(luò)：外部網(wǎng)絡(luò)是指連接到互聯(lián)網(wǎng)的公共網(wǎng)絡(luò)，屬于不可信區(qū)域。DMZ：DMZ是一個位于外部不可信區(qū)域和內(nèi)部可信區(qū)域之間的中間區(qū)域。7.1被動防御1.防火墻分類按照防火墻的使用范圍分類，可以將防火墻分為個人防火墻和網(wǎng)絡(luò)防火墻。個人防火墻：個人防火墻通常安裝在個人計算機或移動設(shè)備，主要關(guān)注個人計算機或移動設(shè)備的入站和出站流量，用于保護單個用戶或小型辦公室網(wǎng)絡(luò)。網(wǎng)絡(luò)防火墻：網(wǎng)絡(luò)防火墻通常布置在內(nèi)網(wǎng)和外網(wǎng)的連接處，用于保護整個局域網(wǎng)或企業(yè)網(wǎng)絡(luò)，專注于整個網(wǎng)絡(luò)的安全管理。按照防火墻所采所用的關(guān)鍵技術(shù)分類，可以將防火墻分為包過濾防火墻、代理防火墻和狀態(tài)檢測防火墻。（1）包過濾防火墻包過濾指在網(wǎng)絡(luò)層對每個數(shù)據(jù)包進行檢查，根據(jù)配置的安全策略轉(zhuǎn)發(fā)、丟棄、或阻止數(shù)據(jù)包。包過濾防火墻的原理是：在網(wǎng)絡(luò)層通過配置訪問控制列表實現(xiàn)數(shù)據(jù)包的過濾，主要基于數(shù)據(jù)包中的源IP地址、目的IP地址等頭部信息進行轉(zhuǎn)發(fā)、丟棄或阻止等操作。優(yōu)點：簡單高效、適用范圍較廣、對網(wǎng)絡(luò)性能影響較小、資源消耗較少等。缺點：無法深度檢測數(shù)據(jù)包的有效載荷，不能進行數(shù)據(jù)內(nèi)容級別的訪問控制，過濾規(guī)則需要手動配置，管理起來比較困難。7.1.1防火墻7.1被動防御（2）代理防火墻代理防火墻也稱為應(yīng)用層網(wǎng)關(guān)防火墻，是一種服務(wù)于應(yīng)用層的網(wǎng)絡(luò)安全設(shè)備或軟件。代理防火墻的原理是：阻隔通信兩端之間的直接通信，所有通信都要由代理防火墻進行轉(zhuǎn)發(fā)，通信兩端之間不允許建立直接的TCP連接，應(yīng)用層的會話過程必須符合代理防火墻的安全策略要求。優(yōu)點：代理防火墻支持基于數(shù)據(jù)內(nèi)容的過濾，支持用戶身份識別，同時具備對通信活動進行詳細記錄的能力。缺點：代理防火墻的靈活性差，升級過程煩瑣；此外，代理防火墻性能不高，由于需要進行徹底的數(shù)據(jù)包檢查并增加額外的通信步驟，代理防火墻會導(dǎo)致較大的延遲，影響網(wǎng)絡(luò)通信的實時性和響應(yīng)速度。7.1.1防火墻7.1被動防御（2）代理防火墻工作流程：代理防火墻的作用是阻隔內(nèi)網(wǎng)終端和外網(wǎng)服務(wù)器之間的直接通信。當內(nèi)網(wǎng)終端需要訪問外網(wǎng)服務(wù)器時，其發(fā)起的請求報文首先被代理防火墻接收。代理防火墻對請求報文進行安全檢查，如果未通過安全檢查，則代理防火墻阻斷連接；否則，代理防火墻以自身身份分別與內(nèi)網(wǎng)終端和外網(wǎng)服務(wù)器建立連接，然后向外網(wǎng)服務(wù)器轉(zhuǎn)發(fā)該請求報文。外網(wǎng)服務(wù)器收到該請求報文后，向代理防火墻發(fā)送響應(yīng)報文。代理防火墻對響應(yīng)報文進行安全檢查，如果未通過安全檢查，則代理防火墻阻斷連接；否則，代理防火墻以自身身份向內(nèi)網(wǎng)終端轉(zhuǎn)發(fā)該響應(yīng)報文。7.1.1防火墻7.1被動防御（3）狀態(tài)檢測防火墻狀態(tài)檢測防火墻也稱為動態(tài)包過濾防火墻，是對包過濾防火墻的擴展。狀態(tài)檢測防火墻的原理是：將屬于同一連接的所有數(shù)據(jù)包看作一個整體的數(shù)據(jù)流，并記錄在狀態(tài)表中，通過狀態(tài)表和規(guī)則表的共同配合實現(xiàn)對數(shù)據(jù)包更精確的過濾與控制。狀態(tài)檢測防火墻的特點在于考慮了數(shù)據(jù)包的歷史關(guān)聯(lián)性，而非將每個數(shù)據(jù)包看作獨立的單元。優(yōu)點：與包過濾防火墻相比，狀態(tài)檢測防火墻具有更強的性能；狀態(tài)檢測防火墻在建立連接后保存連接狀態(tài)，避免在處理后續(xù)數(shù)據(jù)包時進行煩瑣的規(guī)則匹配過程，從而降低了訪問控制規(guī)則數(shù)量對防火墻性能的影響。與代理防火墻相比，狀態(tài)檢測防火墻具有更好的伸縮性和擴展性；狀態(tài)檢測防火墻無須區(qū)分每個具體的Web應(yīng)用服務(wù)，僅須根據(jù)數(shù)據(jù)包信息、安全策略和過濾規(guī)則處理數(shù)據(jù)包；對于新Web應(yīng)用服務(wù)，狀態(tài)檢測防火墻能夠動態(tài)生成適用的訪問控制規(guī)則。缺點：狀態(tài)檢測防火墻僅檢測數(shù)據(jù)包的網(wǎng)絡(luò)層和傳輸層信息，因此難以完全識別應(yīng)用層的復(fù)雜威脅，如垃圾郵件、廣告和木馬程序等。7.1.1防火墻7.1被動防御（3）狀態(tài)檢測防火墻工作流程：當數(shù)據(jù)包到達狀態(tài)檢測接口時，狀態(tài)檢測防火墻首先對其進行分析，提取報文頭信息，并檢查該數(shù)據(jù)包是否匹配狀態(tài)表中的某個連接記錄。如果數(shù)據(jù)包匹配到某個連接記錄，狀態(tài)檢測防火墻將更新該連接的狀態(tài)表，并轉(zhuǎn)發(fā)該數(shù)據(jù)包。如果數(shù)據(jù)包未匹配狀態(tài)表中的任何連接記錄，狀態(tài)檢測防火墻將進一步檢查數(shù)據(jù)包是否匹配規(guī)則表中的某個規(guī)則。如果數(shù)據(jù)包未匹配規(guī)則表中的任何規(guī)則，狀態(tài)檢測防火墻將丟棄該數(shù)據(jù)包。如果數(shù)據(jù)包匹配到規(guī)則表中的某個規(guī)則，狀態(tài)檢測防火墻將根據(jù)該規(guī)則判斷是否允許建立新連接。如果允許，狀態(tài)檢測防火墻將轉(zhuǎn)發(fā)該數(shù)據(jù)包；否則，狀態(tài)檢測防火墻丟棄該數(shù)據(jù)包。7.1.1防火墻7.1被動防御2.Linux防火墻配置UncomplicatedFirewall（簡稱UFW）是為輕量化配置iptables而開發(fā)的一款防火墻管理工具，同時也是Ubuntu系統(tǒng)的默認防火墻管理工具。通常需要以管理員權(quán)限（sudo）使用UFW命令配置防火墻。常用的UFW命令如下。查看幫助：ufw-help。啟動（關(guān)閉）防火墻：ufwenable(disable)。設(shè)置默認允許傳出連接的策略：ufwdefaultallowoutgoing。設(shè)置默認拒絕傳入連接的策略：ufwdefaultdenyincoming。開放（關(guān)閉）指定端口：ufwallow(deny)<port>。開放（關(guān)閉）指定服務(wù)：ufwallow(deny)<service>。查看防火墻狀態(tài)：ufwstatus。允許（限制）特定IP地址訪問：ufwallow(deny)from<ip>。7.1.1防火墻7.1被動防御2.

Linux防火墻配置此處基于CentOS7攻擊機和CentOS7靶機進行演示。在CentOS7靶機中執(zhí)行“sudoyuminstallufw”命令以安裝UFW工具，然后依次輸入以下命令。7.1.1防火墻sudoufwenable#啟動防火墻sudoufwallow5001#開放5001端口在CentOS7靶機中輸入命令“nc-lvp5001”以啟動對5001端口的監(jiān)聽服務(wù)。在CentOS7攻擊機中輸入命令“telnet045001”以嘗試通過telnet工具連接CentOS7靶機的5001端口。7.1被動防御2.

Linux防火墻配置在CentOS7靶機中輸入以下命令。7.1.1防火墻sudoufwdeny5000#關(guān)閉5000端口在CentOS7靶機中輸入命令“nc-lvp5000”以啟動對5000端口的監(jiān)聽服務(wù)。在CentOS7攻擊機中輸入命令“telnet045000”以嘗試通過telnet工具連接CentOS7靶機的5000端口。執(zhí)行結(jié)果如圖所示，CentOS7攻擊機中顯示訪問超時，即CentOS7攻擊機無法訪問CentOS7靶機的5000端口。7.1被動防御Web應(yīng)用防火墻（WebApplicationFirewall，WAF）是一種保護Web應(yīng)用程序的特殊防火墻。與傳統(tǒng)防火墻不同，WAF工作在應(yīng)用層，專注于解決傳統(tǒng)設(shè)備難以處理的應(yīng)用層安全問題，在Web應(yīng)用程序的安全防御方面具有天然的技術(shù)優(yōu)勢。WAF的目標是深入檢測來自客戶端、基于HTTP(S)協(xié)議的Web請求，以確保Web請求的安全性和合法性。對于非法的Web請求，WAF能夠?qū)崟r阻斷，從而有效地保護Web應(yīng)用程序。WAF通常采用直路部署方式，一般位于傳統(tǒng)防火墻之后、Web服務(wù)器之前，如圖所示。直路部署將原本直接訪問Web應(yīng)用程序的流量引導(dǎo)至WAF，經(jīng)過威脅清洗和過濾處理后，再將安全流量引導(dǎo)至Web應(yīng)用程序，從而有效保護Web應(yīng)用程序的安全。7.1.2Web應(yīng)用防火墻7.1被動防御1.

WAF分類按照WAF的實現(xiàn)方式分類，可以將WAF分為硬件WAF、軟件WAF和云WAF。（1）硬件WAF：硬件WAF是一種基于硬件的Web應(yīng)用防火墻，通常以專用硬件設(shè)備的形式部署在網(wǎng)絡(luò)架構(gòu)中，通過硬件設(shè)備監(jiān)測、過濾并阻止惡意的Web流量。硬件WAF的優(yōu)勢在于性能強大，能夠處理較大的網(wǎng)絡(luò)流量。硬件WAF適用于大型企業(yè)的網(wǎng)絡(luò)環(huán)境和要求高性能、高可用性的場景。（2）軟件WAF：軟件WAF是一種基于軟件的Web應(yīng)用防火墻，通常以Web應(yīng)用程序或功能模塊的形式部署在Web服務(wù)器中。軟件WAF的優(yōu)勢在于能夠集成到現(xiàn)有的Web服務(wù)器環(huán)境中，并能夠提供友好的可視化管理界面，配置方式更加靈活。軟件WAF適用于中小型企業(yè)的網(wǎng)絡(luò)環(huán)境和需要靈活配置的場景。（3）云WAF：云WAF是一種基于云服務(wù)的Web應(yīng)用防火墻，關(guān)鍵功能部署在云端，通過云服務(wù)的形式實現(xiàn)對Web流量的實時監(jiān)測和保護。云WAF適用于需要快速部署、降低運維成本和應(yīng)對大規(guī)模動態(tài)流量的場景。7.1.2Web應(yīng)用防火墻7.1被動防御2.WAF部署模式WAF通常采用三種部署模式，對應(yīng)不同的工作原理和工作方式。（1）透明代理模式：在透明代理模式下，WAF代理了客戶端和Web服務(wù)器之間的會話，并基于透明網(wǎng)橋模式進行數(shù)據(jù)轉(zhuǎn)發(fā)。該模式采用類似于透明網(wǎng)橋的工作方式，因此被稱為透明代理模式，也稱為透明橋模式。（2）反向代理模式：在反向代理模式下，WAF充當反向代理服務(wù)器，將真實Web服務(wù)器的IP地址映射到自己的IP地址，對外表現(xiàn)為真實的Web服務(wù)器并隱藏真實Web服務(wù)器的IP地址。當客戶端需要與真實Web服務(wù)器進行通信時，請求的目的IP地址是WAF的IP地址，而非真實Web服務(wù)器的IP地址。WAF接收到請求后，會對其進行合法性檢測，只有合法的請求才會被轉(zhuǎn)發(fā)至真實Web服務(wù)器，并隨后將真實Web服務(wù)器的響應(yīng)返回給客戶端。（3）旁路鏡像模式：在旁路鏡像模式下，WAF通過交換機的端口鏡像功能獲取請求流量的副本，并對請求流量進行監(jiān)控、分析和告警。旁路鏡像模式無法直接攔截或阻斷客戶端請求，不會對正常業(yè)務(wù)環(huán)境產(chǎn)生明顯影響。7.1.2Web應(yīng)用防火墻7.1被動防御3.WAF的工作流程WAF的工作流程大致可分為預(yù)處理、威脅檢測、響應(yīng)處理和日志記錄四個階段。（1）預(yù)處理：WAF檢測接收到的請求是否為HTTP(S)請求，如果是則會驗證請求的URL、源IP地址、User-Agent等信息是否在白名單中。如果在白名單中，WAF會將數(shù)據(jù)包傳遞至Web服務(wù)器進行響應(yīng)處理；如果不在白名單中，WAF會解析數(shù)據(jù)包，并進入威脅檢測階段。（2）威脅檢測：WAF的檢測模塊利用內(nèi)置的規(guī)則和算法分析數(shù)據(jù)包，以判斷請求是否合法，并識別潛在的惡意攻擊行為。（3）響應(yīng)處理：WAF的處理模塊根據(jù)不同的檢測結(jié)果采取不同的安全防御措施。對于未檢測到威脅的請求，WAF將其傳遞至Web服務(wù)器進行響應(yīng)處理；對于檢測到威脅的請求，WAF將根據(jù)預(yù)先配置的策略對其執(zhí)行阻止請求、返回錯誤頁面、封鎖攻擊源或記錄日志等操作。（4）日志記錄：在響應(yīng)處理過程中，WAF會對所有攔截和處理的事件進行日志記錄，以供管理員后續(xù)查看和分析，這有助于不斷優(yōu)化和調(diào)整安全策略。7.1.2Web應(yīng)用防火墻7.1被動防御入侵檢測主要用于識別損害或企圖損害網(wǎng)絡(luò)或系統(tǒng)保密性、完整性、可用性的行為，以及檢測網(wǎng)絡(luò)或系統(tǒng)中可能存在的異?；顒印Ｈ肭謾z測通過分析用戶行為、安全日志和其他網(wǎng)絡(luò)中可獲取的信息，識別網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為或遭受攻擊的跡象。入侵檢測的核心問題在于如何有效分析安全審計數(shù)據(jù)，以發(fā)現(xiàn)入侵或異常行為的跡象。能夠提供入侵檢測功能的系統(tǒng)統(tǒng)稱為入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS），其中包括軟件系統(tǒng)或軟硬件結(jié)合的系統(tǒng)。入侵檢測系統(tǒng)的主要功能包括：（1）監(jiān)控并分析網(wǎng)絡(luò)或系統(tǒng)中的可疑活動和安全事件，識別潛在的惡意行為。一旦檢測到可疑活動或安全事件，IDS會立即生成警報并發(fā)送通知。（2）檢查系統(tǒng)配置的正確性，識別Web安全漏洞并提醒管理員及時修補。（3）對異常行為模式進行統(tǒng)計分析，以發(fā)現(xiàn)入侵行為的規(guī)律和特征。（4）驗證系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。（5）實時響應(yīng)檢測到的入侵行為。7.1.3入侵檢測7.1被動防御IDS通常采用旁路部署方式接入網(wǎng)絡(luò)，如圖所示，其中IDS通過交換機的端口鏡像功能獲取流量副本進行分析，因此不會對實際的網(wǎng)絡(luò)通信產(chǎn)生明顯影響。旁路部署的優(yōu)點在于對網(wǎng)絡(luò)性能影響較小，適合高性能需求的環(huán)境，但這也導(dǎo)致IDS只能檢測攻擊，而不能直接阻止攻擊。7.1.3入侵檢測7.1被動防御1.IDS的工作原理IDS的工作原理如圖所示。IDS首先結(jié)合系統(tǒng)日志、應(yīng)用日志和審計日志對網(wǎng)絡(luò)流量、當前系統(tǒng)/用戶行為進行收集和整理，從中提取關(guān)鍵數(shù)據(jù)。隨后，IDS的分析引擎結(jié)合系統(tǒng)/用戶的歷史行為、行為特征庫和專家經(jīng)驗對關(guān)鍵數(shù)據(jù)進行入侵檢測分析，以識別潛在的入侵行為。如果發(fā)現(xiàn)入侵行為，IDS會立即采取返回告警、記錄日志等措施進行響應(yīng)處置；否則，IDS會重新提取關(guān)鍵數(shù)據(jù)，循環(huán)進行入侵檢測分析，以保持對潛在威脅的持續(xù)監(jiān)控。7.1.3入侵檢測7.1被動防御2.IDS的分類按照數(shù)據(jù)來源分類，可以將入侵檢測系統(tǒng)分為基于主機的入侵檢測系統(tǒng)（Host-basedIDS，HIDS）和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（Network-basedIDS，NIDS）。（1）HIDSHIDS專門用于檢測和分析單臺主機的安全狀態(tài)；側(cè)重于檢測主機內(nèi)部的活動和事件；通過分析用戶登錄、系統(tǒng)調(diào)用、系統(tǒng)日志和文件系統(tǒng)變化檢測潛在的入侵行為。實際應(yīng)用場景：監(jiān)控關(guān)鍵Web服務(wù)器，在重要的Web應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器上部署HIDS，以確保主機的完整性和安全性；終端監(jiān)控，在個人計算機和工作站上部署HIDS，以檢測和防止本地的惡意行為。（2）NIDSNIDS通常利用運行在混雜模式下的網(wǎng)絡(luò)適配器實時檢測和分析通過網(wǎng)絡(luò)的所有流量；側(cè)重于檢測整個網(wǎng)絡(luò)的流量，而不檢測主機內(nèi)部的活動和事件；通過收集數(shù)據(jù)包信息并分析是否存在異?，F(xiàn)象，從而識別潛在的入侵行為。實際應(yīng)用場景：網(wǎng)絡(luò)邊界防御，部署在網(wǎng)絡(luò)邊界以檢測進出網(wǎng)絡(luò)的流量，防止外部攻擊；流量監(jiān)控，檢測內(nèi)部網(wǎng)絡(luò)中的異常行為和數(shù)據(jù)泄露，例如在企業(yè)網(wǎng)絡(luò)中監(jiān)控跨部門流量。7.1.3入侵檢測7.1被動防御按照檢測技術(shù)分類，可以將入侵檢測系統(tǒng)分為基于誤用檢測的入侵檢測系統(tǒng)（Misuse-basedIDS，MIDS）和基于異常檢測的入侵檢測系統(tǒng)（Anomaly-basedIDS，AIDS）。7.1.3入侵檢測（1）MIDSMIDS也稱為基于知識或特征的入侵檢測系統(tǒng)，其假定所有入侵行為都能夠通過特定的攻擊特征進行描述和識別。如果當前的網(wǎng)絡(luò)/系統(tǒng)行為匹配到已知的攻擊特征，則發(fā)出告警信息。MIDS的工作原理如圖所示，其中MIDS首先基于網(wǎng)絡(luò)數(shù)據(jù)和日志數(shù)據(jù)構(gòu)建數(shù)據(jù)源，然后分析當前的網(wǎng)絡(luò)/系統(tǒng)行為，并將其與預(yù)定義的攻擊行為特征庫進行匹配，其中特征庫中的攻擊特征會根據(jù)新出現(xiàn)的威脅進行動態(tài)更新。如果當前的網(wǎng)絡(luò)/系統(tǒng)行為與已知攻擊特征匹配，則判定當前的網(wǎng)絡(luò)/系統(tǒng)行為可能是入侵行為，隨后采取相應(yīng)的防御措施；如果不匹配，則判定當前的網(wǎng)絡(luò)/系統(tǒng)行為是正常行為。7.1被動防御7.1.3入侵檢測（2）AIDSAIDS也稱為基于行為的入侵檢測系統(tǒng)，其假定系統(tǒng)/用戶的所有行為都維持在正常行為模型的合理偏移范圍內(nèi)。如果系統(tǒng)/用戶的行為相較于正常行為模型發(fā)生顯著偏離，則發(fā)出告警信息。AIDS的工作原理如圖所示，其中AIDS首先基于網(wǎng)絡(luò)數(shù)據(jù)和日志數(shù)據(jù)構(gòu)建數(shù)據(jù)源，然后使用統(tǒng)計分析、機器學(xué)習(xí)等方法判定當前的系統(tǒng)/用戶行為是否顯著偏離正常行為模型，其中正常行為模型會根據(jù)新構(gòu)建的數(shù)據(jù)源進行動態(tài)更新。如果當前的系統(tǒng)/用戶行為相較于正常行為模型發(fā)生顯著偏離，則判定當前的系統(tǒng)/用戶行為可能是入侵行為，隨后采取相應(yīng)的防御措施；如果未發(fā)生顯著偏離，則判定當前的系統(tǒng)/用戶行為是正常行為。7.1被動防御3.基于Snort部署IDSSnort是一款著名的輕量級開源網(wǎng)絡(luò)入侵檢測系統(tǒng)，設(shè)計之初是一款數(shù)據(jù)包捕獲工具，但隨著不斷的重寫和功能擴展，Snort逐漸成為一款成熟、功能強大的入侵檢測系統(tǒng)。Snort本質(zhì)上是網(wǎng)絡(luò)數(shù)據(jù)包嗅探器，能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)包進行全面分析，并根據(jù)分析結(jié)果采取忽略、告警、記錄等處理方式。Snort的檢測規(guī)則存儲在rules文件夾下，用戶可以根據(jù)需求自定義規(guī)則，并在核心配置文件snort.conf中引用這些規(guī)則。使用“snort-V”命令輸出Snort版本信息，以驗證Snort已成功安裝。7.1.3入侵檢測7.1被動防御以下將通過兩個例子演示Snort如何檢測常見的入侵行為。（1）利用Snort檢測Ping攻擊Ping攻擊屬于拒絕服務(wù)攻擊的一種，指的是攻擊者向目標系統(tǒng)不斷發(fā)送超出目標系統(tǒng)最大允許大小的ICMP請求回顯數(shù)據(jù)包（即Ping請求）以破壞目標系統(tǒng)。利用Snort檢測Ping攻擊前，需要先在rules/icmp-info.rules文件中配置以下規(guī)則。7.1.3入侵檢測alerticmp$EXTERNAL_NETany->$HOME_NETany(msg:"TooLargeICMPPacket";dsize:>800;reference:arachnids,246;sid:499;rev:4;)以上規(guī)則的含義是：當接收到從外部網(wǎng)絡(luò)（$EXTERNAL_NET）向本地網(wǎng)絡(luò)（$HOME_NET）發(fā)送的ICMP數(shù)據(jù)包時，如果ICMP數(shù)據(jù)包大于800字節(jié)（dsize:>800），則發(fā)送告警信息“TooLargeICMPPacket”。在正常情況下，ICMP數(shù)據(jù)包為64字節(jié)，即使用戶自定義大小也極少超過800字節(jié)，因此此處將超過800字節(jié)的ICMP數(shù)據(jù)包視為異常數(shù)據(jù)包，可能是Ping攻擊。此規(guī)則還參考了ArachNIDS攻擊特征數(shù)據(jù)庫中的第246個漏洞（reference:arachnids,246），SID（sid:499）用于唯一標識此規(guī)則，修訂版本號（rev:4）則標識此規(guī)則的當前版本。7.1被動防御然后在終端輸入以下命令。7.1.3入侵檢測snort-iens33-c/root/snort_src/snort-2.9.20/etc/snort.conf-Aconsole-l/var/log/snort/該命令啟動Snort，配置其監(jiān)聽網(wǎng)絡(luò)接口ens33，使用指定的配置文件/root/snort_src/snort-2.9.20/etc/snort.conf，將告警信息輸出至控制臺，并將日志存儲在指定的目錄/var/log/snort/，執(zhí)行結(jié)果如圖所示。7.1被動防御7.1.3入侵檢測使用Windows10攻擊機向安裝有Snort的CentOS7靶機（IP：04）發(fā)送大小為1000字節(jié)的ICMP數(shù)據(jù)包，命令為“ping04-l1000”，執(zhí)行結(jié)果如圖所示。Snort的控制臺輸出了告警信息，表明Snort成功檢測到Ping攻擊。7.1被動防御（2）利用Snort檢測Nmap的操作系統(tǒng)探測行為Nmap在進行操作系統(tǒng)探測時會使用字符“C”填充UDP包中的Data字段，因此可以利用這一特征檢測Nmap的操作系統(tǒng)探測行為。首先需要在rules/local.rules文件中配置以下規(guī)則。7.1.3入侵檢測alertudp$EXTERNAL_NET10000:->$HOME_NET10000:(msg:"SnortSCANNMAPOSDetectionProbe";dsize:300;content:"CCCCCCCCCCCCCCCCCCCC";fast_pattern:only;content:"CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC";depth:300;classtype:attempted-recon;sid:2018489;rev:1;)7.1被動防御（2）利用Snort檢測Nmap的操作系統(tǒng)探測行為以上規(guī)則的含義是：檢測從外部網(wǎng)絡(luò)（$EXTERNAL_NET）的10000端口向本地網(wǎng)絡(luò)（$HOME_NET）的10000端口發(fā)送的UDP數(shù)據(jù)包，首先要求UDP數(shù)據(jù)包大小為300字節(jié)（dsize:300），然后采用快速匹配模式匹配短字符串”CCCCCCCCCCCCCCCCCCCC”（content:"CCCCCCCCCCCCCCCCCCCC";fast_pattern:only），如果短字符串匹配成功，則在UDP數(shù)據(jù)包的前300字節(jié)內(nèi)匹配上述長字符串。如果長字符串匹配成功，則將UDP數(shù)據(jù)包標記為嘗試偵察（classtype:attempted-recon）類型，并發(fā)送告警信息“SnortSCANNMAPOSDetectionProbe”。此外，SID（sid:2018489）用于唯一標識此規(guī)則，修訂版本號（rev:1）用于標識此規(guī)則的當前版本。7.1.3入侵檢測7.1被動防御然后在終端輸入以下命令以啟動Snort。7.1.3入侵檢測snort-iens33-c/root/snort_src/snort-2.9.20/etc/snort.conf-Aconsole-l/var/log/snort/使用Windows10攻擊機向安裝有Snort的CentOS7靶機（IP：04）發(fā)起操作系統(tǒng)探測，命令為“nmap-O04”，執(zhí)行結(jié)果如圖所示。Snort的控制臺輸出了告警信息，表明Snort成功檢測到Nmap的操作系統(tǒng)探測行為。7.2主動防御7.2.1蜜罐7.2.2入侵防御7.2主動防御主動防御指在網(wǎng)絡(luò)攻擊尚未發(fā)生或未造成巨大損失前，預(yù)先部署防御措施以避免、轉(zhuǎn)移、降低Web系統(tǒng)所面臨的風(fēng)險。被動防御在Web安全中發(fā)揮了重要作用，但仍然存在缺陷：被動防御依賴于對已知攻擊行為或特征的掌握，具有一定的被動性和滯后性；只能應(yīng)對預(yù)先考慮到的攻擊，難以有效應(yīng)對未知安全漏洞或新型攻擊手段。近年來，Web安全領(lǐng)域越來越關(guān)注主動防御，主動防御的核心理念在于提前防范攻擊。主動防御與被動防御的區(qū)別主要體現(xiàn)在以下兩個方面。（1）主動防御不針對特定的攻擊類型或行為特征，也不依賴于先驗知識；被動防御在防范網(wǎng)絡(luò)威脅時，十分依賴對已知攻擊行為或特征的掌握。（2）主動防御強調(diào)在攻擊發(fā)生前采取措施，以確保Web系統(tǒng)在面對威脅時具備足夠的準備和防御能力；被動防御通常在攻擊發(fā)生后才進行檢測和響應(yīng)，通過識別攻擊跡象或特征啟動防御機制。典型的主動防御技術(shù)包括蜜罐、入侵防御等。7.2主動防御蜜罐是一種誘騙攻擊者的技術(shù)，這意味著蜜罐希望被攻擊者探測并當作攻擊目標。蜜罐的設(shè)計并非為了直接解決某個安全問題，而是用于收集與攻擊相關(guān)的關(guān)鍵信息，例如攻擊工具、攻擊手段和攻擊目的等。通常，蜜罐會預(yù)設(shè)一些虛假的敏感信息，并故意保留漏洞以引誘攻擊者進行入侵。攻擊者在攻擊過程中的所有活動都會被詳細記錄，以供溯源和取證使用。蜜罐通過延緩攻擊進程增加攻擊者的攻擊成本，間接保護了真正需要防御的Web系統(tǒng)。在蜜罐未被應(yīng)用前，無論防守方部署了多少安全防御措施，攻擊者的目標始終明確：繞過或破解這些安全防御措施，進而入侵預(yù)定目標。然而，隨著蜜罐的引入，攻擊者面臨的情形變得更加復(fù)雜，因為他們難以判斷攻擊的對象是否為真實的業(yè)務(wù)系統(tǒng)，攻擊者可能在付出大量攻擊成本后才發(fā)現(xiàn)攻擊的是一個虛假的目標。蜜罐的引入顯著增強了Web安全防御的主動性，有效提升了Web應(yīng)用程序的整體安全性。7.2.1蜜罐7.2主動防御雖然蜜罐在主動防御中發(fā)揮了重要作用，但其本身存在一些限制。作用范圍的局限性：蜜罐只能捕獲與其直接交互的攻擊信息，如果攻擊者所攻擊的Web應(yīng)用程序或服務(wù)不在蜜罐范圍內(nèi)，蜜罐便無法捕獲相關(guān)信息，這種有限的作用范圍使得蜜罐難以全面反映整個網(wǎng)絡(luò)的安全狀況。

潛在的風(fēng)險性：蜜罐會將風(fēng)險引入其所在的網(wǎng)絡(luò)中，如果管理不當，蜜罐有可能泄露內(nèi)部網(wǎng)絡(luò)的關(guān)鍵信息，甚至被當作跳板機以攻擊其他主機。7.2.1蜜罐7.2主動防御1.蜜罐的關(guān)鍵技術(shù)蜜罐的關(guān)鍵技術(shù)主要包括誘導(dǎo)欺騙、數(shù)據(jù)捕獲、數(shù)據(jù)分析、數(shù)據(jù)控制等。

誘導(dǎo)欺騙：蜜罐工作的前提是將攻擊者的攻擊目標誘導(dǎo)至蜜罐，如果沒有成功誘導(dǎo)攻擊者，蜜罐將無法發(fā)揮其作用。常用的誘導(dǎo)欺騙技術(shù)包括IP空間欺騙、漏洞模擬、流量仿真、服務(wù)偽裝等。

數(shù)據(jù)捕獲：數(shù)據(jù)捕獲的目的是記錄攻擊者從掃描、探測、發(fā)起攻擊到離開蜜罐的全過程。蜜罐通常分為三層：最外層由防火墻實現(xiàn)，負責(zé)記錄攻擊者進入和離開蜜罐的網(wǎng)絡(luò)連接日志；中間層由入侵檢測系統(tǒng)實現(xiàn)，負責(zé)獲取蜜罐內(nèi)的所有數(shù)據(jù)包；最里層由蜜罐主機實現(xiàn)，負責(zé)記錄主機的系統(tǒng)日志、用戶操作（例如按鍵序列）、屏幕顯示等詳細信息。7.2.1蜜罐7.2主動防御

數(shù)據(jù)分析：數(shù)據(jù)分析是指對蜜罐捕獲的數(shù)據(jù)進行深入分析，包括對網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)行為、攻擊特征和攻擊數(shù)據(jù)包內(nèi)容的分析。通過提取未知的攻擊特征，可以發(fā)現(xiàn)新的入侵模式，并基于統(tǒng)計分析方法建立預(yù)警模型。

數(shù)據(jù)控制：蜜罐被攻陷后可能成為攻擊者威脅其他Web系統(tǒng)的跳板，因此數(shù)據(jù)控制具有較高的安全需求。數(shù)據(jù)控制的目標是保障蜜罐自身的安全，通過操作權(quán)限分級、阻斷、隔離等方式，防止攻擊者在攻陷蜜罐后利用其實施惡意行為。數(shù)據(jù)控制主要從以下兩個方面限制攻擊者的行為。①

限制攻擊者在蜜罐中的活動能力：通過連接限制、帶寬限制和沙箱技術(shù)等方式限制

攻擊者在蜜罐中的活動能力。②

限制攻擊者從蜜罐向外的連接數(shù)量：通過防火墻控制攻擊者從蜜罐向外的連接數(shù)量，超過預(yù)設(shè)閾值時防火墻將自動中斷連接。7.2.1蜜罐7.2主動防御2.蜜罐分類按蜜罐仿真程度及交互程度分類，可以將蜜罐分為低交互蜜罐、中交互蜜罐和高交互蜜罐。低交互蜜罐低交互蜜罐通常模擬真實操作系統(tǒng)中的特定功能或服務(wù)，提供十分有限的交互功能，攻擊者只能在預(yù)設(shè)的范圍內(nèi)進行操作。盡管低交互蜜罐的仿真程度有限，但仍然可能吸引攻擊者的注意力，并記錄攻擊者的IP地址、協(xié)議類型、開放端口、請求數(shù)據(jù)等關(guān)鍵信息。低交互蜜罐具有以下優(yōu)點：創(chuàng)建與釋放便捷、配置與維護成本低、資源占用少、協(xié)議輕便，能夠廣泛應(yīng)用于威脅檢測領(lǐng)域；交互程度較低，通常難以被攻擊者完全攻陷，因此風(fēng)險相對較小。低交互蜜罐存在以下缺點：能夠捕獲的攻擊數(shù)據(jù)較少，信息較為有限；仿真程度較低，容易被攻擊者識破，導(dǎo)致攻擊者規(guī)避蜜罐。7.2.1蜜罐7.2主動防御

中交互蜜罐中交互蜜罐通常使用腳本或輕量級模擬軟件模擬真實操作系統(tǒng)的多種行為，不提供真實完整的操作系統(tǒng)。相較于低交互蜜罐，中交互蜜罐具有更高的仿真程度，同時支持更多的交互功能；此外，中交互蜜罐的配置與維護成本適中。盡管中交互蜜罐未提供真實完整的操作系統(tǒng)，但可以高度模擬真實操作系統(tǒng)的多種行為。中交互蜜罐具有以下優(yōu)點：支持用戶根據(jù)需求靈活配置，使得攻擊者與中交互蜜罐的交互接近于與真實操作系統(tǒng)的交互；中交互蜜罐能夠捕獲適量的攻擊信息，相比于低交互蜜罐，能夠獲得更為豐富的攻擊數(shù)據(jù)。中交互蜜罐存在以下缺點：未提供真實完整的操作系統(tǒng)，在面對某些高級攻擊時，仿真效果可能受到限制。7.2.1蜜罐7.2主動防御低、中、高交互蜜罐的特性對比如下表所示。7.2.1蜜罐特性低交互蜜罐中交互蜜罐高交互蜜罐可交互性

低中高真實操作系統(tǒng)否否是捕獲攻擊信息有限適量豐富配置與維護成本低中高識別難度容易中等困難安全風(fēng)險低中高7.2主動防御Honeyd是一款由Google公司軟件工程師NielsProvos于2003年開始研發(fā)的開源、低交互的虛擬蜜罐軟件，并于2005年發(fā)布v1.0正式版。Honeyd能夠讓一臺主機在模擬的局域網(wǎng)環(huán)境中申明多個IP地址（最多可達65536個）。外界主機可以對虛擬蜜罐主機執(zhí)行如ping、traceroute等網(wǎng)絡(luò)操作。虛擬蜜罐主機中任何類型的服務(wù)都可以按照一個簡單的配置文件進行模擬，也可以為真實主機的服務(wù)提供代理。7.2.1蜜罐7.2主動防御Honeyd只能進行網(wǎng)絡(luò)級的模擬，無法提供真實的交互環(huán)境，因此獲取的與攻擊者相關(guān)的高價值信息相對有限。Honeyd模擬的蜜罐通常用于在真實網(wǎng)絡(luò)中轉(zhuǎn)移攻擊者目標，或與其他高交互蜜罐進行聯(lián)合部署，組成功能強大、成本低廉的網(wǎng)絡(luò)攻擊信息收集系統(tǒng)。限于篇幅，本書不介紹Honeyd的安裝，讀者可自行查閱相關(guān)資料進行安裝。此處基于CentOS7靶機（IP：04）中的Honeyd進行演示。先使用“honeyd-V”命令輸出Honeyd版本信息，以驗證Honeyd已成功安裝，如圖所示。7.2.1蜜罐7.2主動防御下面通過簡單的案例展示Honeyd蜜罐的效果。為確保虛擬蜜罐主機發(fā)出的ARP請求能夠被應(yīng)答，首先使用arpd命令針對網(wǎng)絡(luò)接口ens33模擬響應(yīng)ARP請求，并偽裝擁有IP地址00。具體命令如下。7.2.1蜜罐arpd-d-iens3300參數(shù)的具體含義如下。-d：指定arpd保持在前臺運行，并顯示詳細的調(diào)試信息。-iens33：指定arpd針對網(wǎng)絡(luò)接口ens33模擬響應(yīng)ARP請求。00：指定arpd模擬響應(yīng)ARP請求的IP地址為00，即arpd偽裝擁有IP地址00，以模擬響應(yīng)網(wǎng)絡(luò)中的ARP請求。7.2主動防御執(zhí)行結(jié)果如圖所示。7.2.1蜜罐7.2主動防御然后創(chuàng)建honeyd.conf配置文件，文件內(nèi)容如下。7.2.1蜜罐#創(chuàng)建一個名稱為windows的蜜罐模板createwindows#設(shè)置windows蜜罐模板為WindowsXP系統(tǒng)setwindowspersonality"MicrosoftWindowsXPProfessionalSP1"#開啟80端口的Web服務(wù)且模擬腳本為/honeyd/honeyd-1.5c/scripts/web.shaddwindowstcpport80"sh/honeyd/honeyd-1.5c/scripts/web.sh"#關(guān)閉默認的TCP、UDP連接setwindowsdefaulttcpactionresetsetwindowsdefaultudpactionreset#開啟135、139端口addwindowstcpport135openaddwindowstcpport139open#將windows蜜罐模板的ip綁定為00bind00windows7.2主動防御其中，00是一個arpd命令偽裝擁有的IP地址，用于模擬一臺虛擬蜜罐主機；web.sh是模擬腳本，通常用于前端展示，默認位于Honeyd安裝路徑下的scripts目錄中。使用以下命令運行Honeyd構(gòu)建蜜罐。7.2.1蜜罐honeyd-d-fhoneyd.conf-pnmap.prints-xxprobe2.conf-anmap.assoc-iens3300選項的具體含義如下。-d：指定以后臺（daemon）模式運行Honeyd，而不占用當前終端。-fhoneyd.conf：指定使用的Honeyd配置文件為honeyd.conf，該配置文件包含有關(guān)虛擬蜜罐主機的詳細信息，包括虛擬蜜罐主機的IP地址、模擬的服務(wù)等。-pnmap.prints：指定使用的Nmap指紋文件為nmap.prints，用于模擬虛擬蜜罐主機的服務(wù)。-xxprobe2.conf：指定使用的Xprobe2配置文件為xprobe2.conf，用于模擬虛擬蜜罐主機的TCP/IP棧行為。-anmap.assoc：指定使用的Nmap關(guān)聯(lián)文件為nmap.assoc，用于模擬虛擬蜜罐主機的關(guān)聯(lián)行為。-iens33：指定監(jiān)聽的網(wǎng)絡(luò)接口為ens33。00：指定虛擬蜜罐主機的IP地址為00。7.2主動防御執(zhí)行結(jié)果如圖所示。7.2.1蜜罐7.2主動防御在Windows10攻擊機中使用ping命令測試Windows10攻擊機與虛擬蜜罐主機的網(wǎng)絡(luò)連通性，收到虛擬蜜罐主機的模擬響應(yīng)，如圖所示。7.2.1蜜罐7.2主動防御Honeyd控制臺關(guān)于ping命令的狀態(tài)信息如圖所示，其中包含對ICMP數(shù)據(jù)包的響應(yīng)記錄。7.2.1蜜罐7.2主動防御在Windows10攻擊機中使用Chrome瀏覽器訪問虛擬蜜罐主機的Web服務(wù)“00/”，執(zhí)行結(jié)果如圖所示。7.2.1蜜罐7.2主動防御Honeyd控制臺關(guān)于Web訪問的狀態(tài)信息如圖所示，其中記錄了訪問Web服務(wù)的連接過程、連接類型和模擬腳本路徑等信息。7.2.1蜜罐7.2主動防御在Windows10攻擊機中使用Fscan對虛擬蜜罐主機進行掃描，掃描結(jié)果如圖所示，其中探測到該虛擬蜜罐主機有3個開放端口和1種Web服務(wù)。7.2.1蜜罐7.2主動防御Honeyd控制臺關(guān)于Fscan掃描的狀態(tài)信息如圖所示，其中記錄了來自同一IP地址02的大量端口連接請求，說明相應(yīng)主機存在端口探測行為。7.2.1蜜罐7.2主動防御7.2.2入侵防御傳統(tǒng)的入侵檢測系統(tǒng)（IDS）存在一個明顯缺陷———事后告警，這意味著IDS通常在入侵行為發(fā)生后才能發(fā)出告警，即入侵響應(yīng)的時間明顯滯后于入侵發(fā)生的時間。因此，當防守方收到告警信息時，入侵行為已經(jīng)發(fā)生甚至已經(jīng)結(jié)束，防守方對于檢測出的威脅無法及時響應(yīng)處理。為彌補IDS入侵響應(yīng)能力偏弱且較為被動的不足，入侵防御系統(tǒng)

（IntrusionPreventionSystem，IPS）應(yīng)運而生。IPS建立在IDS的基礎(chǔ)上，不僅繼承了IDS檢測入侵行為的能力，而且具有類似于防火墻攔截和阻斷入侵的功能，在檢測到入侵行為發(fā)生時予以實時的攔截和阻斷。從技術(shù)角度而言，IPS整合了防火墻和IDS，但并不是兩者的簡單組合，而是在入侵響應(yīng)方面采取更加主動、全面、深層次的防御策略。7.2主動防御7.2.2入侵防御IPS雖然是一種主動防御技術(shù)，但工作方式不同于純粹的“預(yù)防性”措施。IPS的重點在于實時監(jiān)控和響應(yīng)，當入侵行為正在發(fā)生或剛開始時，IPS會主動檢測入侵行為并立即采取阻斷攻擊流量、封鎖攻擊源等行動，以防止入侵行為造成真正破壞。因此，IPS雖然是在入侵行為發(fā)生時才進行響應(yīng)，但仍然屬于主動防御的范疇。IPS通常采用直路部署方式，如圖所示，其中IPS通常位于網(wǎng)絡(luò)數(shù)據(jù)流的傳輸路徑上，能夠?qū)崟r監(jiān)控和阻斷潛在的入侵。如圖采用直路部署方式的IPS相較于IDS，IPS具有以下優(yōu)點。

實時阻斷攻擊：IPS通常采用直路部署方式，能夠在檢測到入侵行為時實時阻斷攻擊流量。深層防御：IPS能夠深入分析應(yīng)用層報文，防御隱藏在TCP/IP應(yīng)用層的入侵行為；具備網(wǎng)絡(luò)數(shù)據(jù)流的重組能力，能夠通過重組還原隱藏多個數(shù)據(jù)包中的入侵特征，從而檢測更深層次的威脅。7.2主動防御7.2.2入侵防御同時，IPS也存在以下限制。

單點故障：IPS通常采用直路部署方式，如果IPS出現(xiàn)故障，可能會影響整個網(wǎng)絡(luò)的正常運行。

性能瓶頸：IPS需要實時捕獲和分析網(wǎng)絡(luò)流量，對每個數(shù)據(jù)包進行多重檢測后才能放行。在網(wǎng)絡(luò)流量激增或入侵行為特征庫不斷擴大的情況下，IPS的響應(yīng)速度可能大幅下降，甚至引發(fā)網(wǎng)絡(luò)擁塞。

誤報率和漏報率較高：與IDS類似，IPS也存在誤報率和漏報率較高的問題。IDS的誤報通常只會導(dǎo)致頻繁的告警，而IPS的誤報可能導(dǎo)致正常的訪問請求被錯誤攔截，從而影響用戶的業(yè)務(wù)體驗。IDS和IPS的漏報意味著某些真實的入侵行為未能被及時檢測和攔截，導(dǎo)致威脅持續(xù)存在。7.2主動防御7.2.2入侵防御1.IPS的工作原理IPS的工作原理如圖所示。當數(shù)據(jù)流進入IPS時，首先由分類引擎基于報文的頭部字段（如源IP地址、目的IP地址、端口號、應(yīng)用域等）和流狀態(tài)信息對每個數(shù)據(jù)包進行分類處理。隨后，不同類型的數(shù)據(jù)包被分配至相應(yīng)的過濾器，以進行大規(guī)模并行深度檢測。這些過濾器采用專業(yè)化定制的集成電路（ASIC），能夠大規(guī)模并行深度檢測每個數(shù)據(jù)包的內(nèi)容。如果檢測到符合匹配條件的數(shù)據(jù)包，IPS將該數(shù)據(jù)包標記為命中，被標記為命中的數(shù)據(jù)包將被丟棄并記錄，相應(yīng)的流狀態(tài)信息也將被更新，以指示IPS丟棄并記錄該數(shù)據(jù)流中的剩余內(nèi)容。這種并行過濾機制確保數(shù)據(jù)包在快速通過IPS的同時得到全面檢查，有效提升了IPS的整體性能。7.2主動防御7.2.2入侵防御2.IPS分類入侵防御系統(tǒng)通?？梢苑譃閮深悾夯谥鳈C的入侵防御系統(tǒng)（Host-basedIPS，HIPS）和基于網(wǎng)絡(luò)的入侵防御系統(tǒng)（Network-basedIPS，NIPS）。

HIPSHIPS通常被安裝在受保護的主機上，以基于軟件代理的形式運行在用戶空間和操作系統(tǒng)內(nèi)核之間的層級，能夠同時保護操作系統(tǒng)和用戶空間中的Web應(yīng)用程序。HIPS能夠在檢測到入侵行為后立即向受攻擊的對象發(fā)出警報，并采取積極主動的阻斷措施，最大限度地保障主機的安全。HIPS還能夠根據(jù)自定義的安全策略和分析學(xué)習(xí)機制，阻斷針對主機的多種入侵行為，包括劫持系統(tǒng)進程、篡改登錄憑證、改寫動態(tài)鏈接庫，以及其他試圖奪取操作系統(tǒng)控制權(quán)的攻擊方式。HIPS具有以下優(yōu)點：HIPS通常以軟件代理形式被安裝在主機上，無須維護和管理額外的硬件設(shè)備，部署和管理的