主机入侵防御（HIPS）

所谓主机入侵防御就是对主机进行主动加固防护以杜绝各种已知或未知的攻击。

很多本地内核提权漏洞会调用到commit_creds和prepare_kernel_cred将当前用户uid设置为，从而获取root的权限。

安全专家已经针对给出了方案--additional Kernel Observer(AKO)。这种方案需要给LInux内核代码打补丁，给易用性打了折扣。实际上，用动态可加载内核模块来防御内核提权漏洞会更好。

另一款时候LKRG(Linux Kernel Runtime Guard)。可以实现的功能更丰富，支持漏洞利用检测（ED）、运行时代码完整性检测(CI)及保护特性(PF)3大功能。

Web 应用防火墙（WAF）

web application firewall，基本大型网站都接了waf，他可以抵挡xss、sql注入、命令执行等诸多漏洞攻击。云服务商都有提供此应用，流控、ip风控、ddos攻击更是不在话下。当然还有高防WAF这种土豪版本。

常见的开源WAF软件有ModSecurity。可以作为模块的形式加载到Apache、IIS和Nginx中。

运行时应用自保护（RASP）

运行时应用自我保护（Runtime Application Self-Protection）简称为RASP，更适用于程序内部，就拿java应用来说，通过jar包的形式一起启动，可以获取更多内部的问题。主要依赖Java Instrumentation来实现，由java.lang.instrument下的类组成，基于JVMTI。可以在运行时对应用的字节码进行修改。现在Javassist来修改字节码。

数据库防火墙（DBF）

Database Firewall 是针对数据库进行查询过滤和安全审计的安全产品。

屏蔽直接访问数据库的通道

数据库防火墙部署于数据库服务器和应用服务器之间，屏蔽直接访问数据库的通道，防止数据库隐通道对数据库的攻击。

· 攻击检测和保护

实时检测用户对数据库进行SQL注入和缓冲区溢出的攻击，并报警或者阻止攻击行为，同时详细记录攻击操作发生的时间、来源IP、用户名、攻击代码等信息。

· 行为基线—自动建立访问模型

系统将自动学习每一个应用的访问语句，进行模式提取和分类，自动生成行为特征模型，并可以对学习结果进行编辑。系统通过检查访问行为与基线的偏差来风险。

· 连接监控

实时监控数据库的连接信息、风险状态等。

· 虚拟补丁

· 安全审计

系统能够记录对数据库服务器的访问情况，包括用户名、程序名、IP地址、请求的数据库、连接断开的时间、风险等信息，并提供灵活的查询分析功能