检测 · Detection
📌 一句话理解
检测就是“网络世界的巡逻保安”:不停地东张西望,一旦发现可疑情况,立刻喊人。
👀 检测是什么?
检测是P2DR安全模型的第三个环节,指通过不断地监测和检查网络系统,发现新的威胁、漏洞和攻击行为。当防护被攻破时,检测就是第二道防线。
┌─────────────────────────────────────────────────────────────────┐
│ 检测在安全模型中的位置 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ ┌─────────────┐ │
│ │ 策略(P) │ │
│ │ Policy │ │
│ └──────┬──────┘ │
│ │ │
│ ┌─────────────────┼─────────────────┐ │
│ ▼ ▼ ▼ │
│ ┌───────────┐ ┌───────────┐ ┌───────────┐ │
│ │ 防护 │ ─► │ 检测 │ ─► │ 响应 │ │
│ │Protection │ │Detection │ │ Response │ │
│ └───────────┘ └─────┬─────┘ └───────────┘ │
│ ▲ │ │ │
│ └────────────────┴────────────────┘ │
│ 闭环反馈 │
│ │
│ 检测发现问题 → 响应处理 → 防护加强 → 检测继续巡逻 │
│ │
└─────────────────────────────────────────────────────────────────┘
🔧 检测的主要任务
| 任务 | 说明 | 类比 |
|---|---|---|
| 采集数据 | 收集网络流量、系统日志 | 保安看监控画面 |
| 分析判断 | 判断是正常还是异常 | 发现有人在翻墙 |
| 发出警报 | 发现问题立即报警 | 保安喊“有人入侵!” |
📊 检测技术分类
| 类型 | 原理 | 例子 |
|---|---|---|
| 特征检测 | 匹配已知攻击的特征 | 病毒库查病毒 |
| 异常检测 | 发现偏离正常的行为 | 半夜有人登录服务器 |
| 协议分析 | 检查网络协议是否异常 | 发现伪造的数据包 |
┌─────────────────────────────────────────────────────────────────┐
│ 异常检测示例 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ 正常情况: │
│ 你每天 8:00-18:00 登录学校系统 │
│ │
│ 异常情况: │
│ 凌晨 3:00 有人用你的账号登录 │
│ ↓ │
│ 检测系统发现异常 → 立即报警! │
│ │
└─────────────────────────────────────────────────────────────────┘
🏠 生活中的检测例子
| 场景 | 检测对象 | 检测什么 |
|---|---|---|
| 学校 | 监控摄像头 | 谁进出了校门 |
| 手机 | 杀毒软件 | 有没有病毒 |
| 家里 | 烟雾报警器 | 有没有着火 |
| 银行 | 风控系统 | 有没有盗刷 |
🆚 检测 vs 防护
| 对比 | 防护(Protection) | 检测(Detection) |
|---|---|---|
| 时机 | 攻击发生前 | 攻击发生中/后 |
| 作用 | 阻止攻击进入 | 发现已发生的攻击 |
| 类比 | 大门锁 | 监控摄像头 |
💡 小提示:防护不能保证100%拦住,所以需要检测作为补充。
🔄 检测的闭环作用
┌─────────────────────────────────────────────────────────────────┐
│ 检测驱动安全改进 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ ① 检测发现漏洞 │
│ ↓ │
│ ② 响应修复漏洞 │
│ ↓ │
│ ③ 防护加强配置 │
│ ↓ │
│ ④ 检测再次验证(问题还在吗?) │
│ ↓ │
│ ⑤ 回到①,循环往复 │
│ │
│ 检测让安全系统“越跑越强” │
│ │
└─────────────────────────────────────────────────────────────────┘
✅ 自测小问题
- 检测在P2DR模型中属于第几个环节?
- 检测和防护有什么区别?
- 举一个生活中“检测”的例子。
点击查看答案
- 第三个环节(策略→防护→检测→响应)
- 防护是攻击前阻止,检测是攻击中发现;防护是锁门,检测是摄像头
- 烟雾报警器、手机杀毒软件、监控摄像头等
📚 教材链接
- 教材位置:第五章 5.2.2 信息系统安全模型及安全策略