ipdrr原理

 ipdrr原理是

1什么是入侵检测入侵检测系统(IDS,Intrusion Detection System)简单的说就是监视网络流量、数据包、数据包行为等，读取和解释路由器、防火墙、服务器和其它网络设备的日志文件，维护特征数据库(有的是已知攻击的攻击特征库,有的是描述系统或网络正常行为的模型)，并把其所监视的网络流量、行为、以及日志文件中的内容和特征库的内容作模式匹配，如果发现有内容相匹配，就发出报警信息、高级的还可根据报警信息自动做出各种响应行为，如断开网络或关闭特定的服务器、追踪入侵者、收集入侵证据等。IDS检查网络流量中的数据包内容，寻找可能的攻击行为或未经允许的访问。　一个入侵检测系统的具体实现可以基于软件,也可基于硬件或两者兼有,商业化的入侵检测系统主要是针对已知攻击类型的入侵检测,以硬件形式实现为主。
2网络安全模型——动态防御模型
（1）PPDR模型
PPDR（Policy Protection Detection Response)的基于思想是：以安全策略为核心，通过一致性检查、流量统计、异常分析、模式匹配以及基于应用、目标、主机、网络的入侵检查等方法进行安全漏洞检测。检测使系统从静态防护转化为动态防护，为系统快速响应提供了依据。当发现系统有异常时，根据系统安全策略快速作出反应，从而达到保护系统安全的目的。如图1所示：
PPDR模型由四个主要部分组成：安全策略（Policy)、保护（Protection)、检测（Detection)和响应（Response)。PPDR模型是在整体的安全策略的控制和指导下，综合运用防护工具（如防火墙、身份认证、加密等）的同时，利用检测工具（如漏洞评估、入侵检测系统）了解和评估系统的安全状态，通过适当的响应将系统调整到一个比较安全的状态。保护、检测和响应组成了一个完整的、动态的安全循环。
a策略是这个模型的核心，意味着网络安全要达到的目标，决定各种措施的强度。
b保护是安全的第一步，包括：　制定安全规章（以安全策略为基础制定安全细则）；配置系统安全（配置 *** 作系统、安装补丁等）；采用安全措施（安装使用防火墙、等）；
c检测是对上述二者的补充，通过检测发现系统或网络的异常情况，发现可能的攻击行为。
d响应是在发现异常或攻击行为后系统自动采取的行动，目前的入侵响应措施也比较单 一，主要就是关闭端口、中断连接、中断服务等方式，研究多种入侵响应方式将是今后的发展方向之一。

（2）PDRR模型
PDRR（Protect/Detect/React/Restore）模型中，安全的概念已经从信息安全扩展到了信息保障，信息保障内涵已超出传统的信息安全保密，是保护（Protect）、检测（Detect）、反应（React）、恢复（Restore）的有机结合，称之为 PDRR模型(如图2所示)。PDRR模型把信息的安全保护作为基础，将保护视为活动过程，要用检测手段来发现安全漏洞，及时更正；同时采用应急响应措施对付各种入侵；在系统被入侵后，要采取相应的措施将系统恢复到正常状态，这样使信息的安全得到全方位的保障。该模型强调的是自动故障恢复能力。

ddos攻击防御:ddos攻击是什么，如何防御
主要通过大量合法的请求占用大量网络资源，从而使合法用户无法得到服务的响应，是目前最强大、最难防御的攻击之一。
ddos攻击最大的难点在于攻击者发起的攻击的成本远低于防御的成本。比如黑客可以轻易的控制大量肉鸡发起10G，100G的攻击。而要防御这样的攻击10G，100G带宽的成本却是100W，1000W…
防御手段：
总体来说，从下面几个方面考虑：
硬件
单个主机
整个服务器系统
硬件：
1增加带宽
带宽直接决定了承受攻击的能力，增加带宽硬防护是理论最优解，只要带宽大于攻击流量就不怕了，但成本非常高。
2、提升硬件配置
在有网络带宽保证的前提下，尽量提升CPU、内存、硬盘、网卡、路由器、交换机等硬件设施的配置，选用知名度高、口碑好的产品。
3、硬件防火墙
将服务器放到具有DDoS硬件防火墙的机房。专业级防火墙通常具有对异常流量的清洗过滤功能，可对抗SYN/ACK攻击、TCP全连接攻击、刷脚本攻击等等流量型DDoS攻击
单个主机:
1、及时修复系统漏洞，升级安全补丁。
2、关闭不必要的服务和端口，减少不必要的系统加载项及自启动项，尽可能减少服务器中执行较少的进程，更改工作模式
3、iptables
4、严格控制账户权限，禁止root登录，密码登录，修改常用服务的默认端口
整个服务器系统：
1负载均衡
使用负载均衡将请求被均衡分配到各个服务器上，减少单个服务器的负担。
2、CDN
CDN是构建在网络之上的内容分发网络，依靠部署在各地的边缘服务器，通过中心平台的分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率，因此CDN加速也用到了负载均衡技术。相比高防硬件防火墙不可能扛下无限流量的限制，CDN则更加理智，多节点分担渗透流量，目前大部分的CDN节点都有200G的流量防护功能，再加上硬防的防护，可以说能应付目绝大多数的DDoS攻击了。
3分布式集群防御
分布式集群防御的特点是在每个节点服务器配置多个IP地址，并且每个节点能承受不低于10G的DDoS攻击，如一个节点受攻击无法提供服务，系统将会根据优先级设置自动切换另一个节点，并将攻击者的数据包全部返回发送点，使攻击源成为瘫痪状态，从更为深度的安全防护角度去影响企业的安全执行决策。

由于病毒摧毁计算机所造成的威胁有越来越严重的趋势，企业对于功能更强大的防毒软件的需求也越来越迫切。许多的企业也因为之前没有对网络架构作好防毒措施，付出了惨痛而昂贵的代价。前几天我们这里的行政部门的的所有计算机由于感染了尼姆达病毒，搞得整个局域网瘫痪了，我们几个整整忙了两天才完全恢复正常。在工作期间，我发现这个单位网络安全意识低得真让人不敢相信，大多数计算机没有安装防火墙，就算安装了也好久没有升级了。（同志们，这可是我们政府机关啊！）所以建构一个全面的防毒策略，成为了大多数单位的一个重要问题，大面我和大家谈谈企业如何构建一个电脑病毒防护的安全策略。
企业的防毒策略
在早期的计算机环境中，其实病毒并不是一个非常令人头痛的事，只要我不用来路不明的磁盘，基本上可以防止 80％ 的病毒入侵，但是进入互联网的新世纪，绝大部分的信息经由互联网交换，那么更容易从互联网上染上病毒，因此企业防毒策略的制定，更是绝对不能没有的计划。一般而言，一个需要作好防毒措施的网络架构可以分成以下三个不同的阶层：
1、网络（SMTP）网关（Internet Gateways）防毒机制
首先针对病毒可能会入侵的通道加以防堵，第一步就是企业的大门，在企业的局域网络中，网关扮演了举足轻重的角色，通常企业的网关就是通往内部网络的门，或者是安全性更高防护措施更完善的企业网络架构中，会有一个非军事区网络 ( DMZ， De-Militarized Zone ) ，在这个地方就是一个非常重要的部署防毒墙或者是防毒过滤软件的地方。
以网关或是DMZ部分的部署，通常可以分为两种模式：
第一种为网关模式，也就是将防毒服务器或是防毒墙(例如McAfee WebShield e50 硬件式防毒墙 ) 当成内部路由器的部署方式，此种配置方式乃是将防毒网关配置在防火墙装置的内部或是所有内部主机系统的最外部，也就是防毒墙或防毒服务器将成为名符其实的一个资料网关(有点像是路由器)，如此一来所有进出企业体的封包，将一一被扫描过滤，一个都不会错过。
我以一般企业简单的网络架构来说明，一般来说位在网关的防毒机制，考虑到运作效能的问题，是不需要负责太复杂的防毒，通常是专门针对某些通讯协议加以侦测扫描，例如针对SMTP、FTP、>服务器会被攻击的原因可能是同行的恶意竞争或者一些黑客的攻击练习对象。
要怎么防御呢？
1、确保系服务器统安全；
2、购买防火墙，云防护等防御产品；
3、使用高防服务器，自带防御，更好地防御攻击。

防火墙。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断，其防护体系需要动态的更新是依据防火墙进行更新，以达到安全等级。

---