内容安全（深度行为检测技术、IPS、AV、入侵检测方法）

1、深度行为检测技术

深度行为检测技术：是一种基于深度学习和机器学习的技术，它通过分析用户在网络中的行为模式，识别异常或潜在威胁行为，从而保护网络安全和内容安全

分类：

1. 深度包检测技术（Deep Packet Inspection，DPI）
2. 深度流检测技术（Deep Flow Inspection，DFI）

1.1 深度包检测技术

深度包检测技术：是一种基于网络层的安全技术，主要用于识别和控制网络流量。它可以检测每个数据包的内容，包括应用层协议、数据负载等，以确定数据包的来源、目的、类型等信息。

针对完整的数据包，进行内容的识别和检测

深度包检测技术可分为三类：

1. 基于“特征字”的检测技术
2. 基于应用网关的检测技术
3. 基于行为模式的检测技术

1）基于“特征字”的检测技术

特征字：是指在特定的网络协议、应用程序或数据中具有独特标识意义的字符串或字节序列

基于特征字的包检测技术主要针对数据包中的特征字，例如Host字段、UA字段等等

可以通过User-Agent字段来识别PC端或手机端，从而进行控制等

2）基于应用网关的检测技术

基于应用网关的检测技术：有些应用控制和数据是分离的，比如一些视屏流。一开始会通过TCP协议链接之后，协商一些参数，这部分我们称为信令部分。只写正式传输数据流量通过UDP协议，而这部分流量是没有可以识别的特征的。因此，这些应用可以基于应用网关来进行检测，即基于前面的信令部分来进行识别和控制

3）基于行为模式的检测技术

基于行为模式的检测技术：是一种通过分析用户或系统的行为模式来识别异常或潜在威胁的方法。通过收集和分析用户或系统的行为数据，建立正常行为模式，并实时监测和比较当前行为与正常行为模式之间的差异，从而识别出异常或潜在威胁

例如，一个人每天都只发送两封邮件，那它的正常行为模式就是每天只发送二三封邮件，突然下周开始每天都发送五六封邮件，再下下周每天都发送二三十封邮件，那么此时可能会被识别为异常或威胁

工作原理：数据收集、模型建立、实时监控

1.2 深度流检测技术

深度流检测技术：基于数据流进行识别检测的技术，以流为基本研究对象，关注的是整个网络流数据的行为和特诊

DPI和DFI的对比：

1. DFI仅对流量行为分析，只能对应用类型进行笼统的分类，无法做到精细的识别
2. 如果流量进行加密的话，DPI在没有解密的情况下可能无法识别，但DFI不受影响

DPI和DF性能对比：

1. 处理速度：DFI的处理速度相对快，因为它不需要对每个数据包进行深度分析。基于DFI的系统可以达到线速10Gbit/s，而基于DPI的带宽管理系统的处理能力仅达到1Gbit/s
2. 维护成本：DFI的维护成本相对较低，因为同一类型的新应用与旧应用不会出现大的变化，因此不需要频繁升级流量行为模型。而基于DPI的带宽管理系统需要紧跟新协议和新型应用的产生而不断升级后台应用数据库
3. 识别准确率：DPI能够提供精细的识别准确率，而DFI在应对复杂的网络攻击时表现出色

2、IDS入侵防御系统

IDS（Intrusion Detection System）：入侵检测系统，是一种侧重于风险管理的网络安全设备，只能检测网络流量和系统活动，以识别潜在的安全威胁，不能直接处理。IDS通过收集和分析网络数据包、系统日志和其他相关信息，来检测可能的恶意行为、漏洞利用和攻击尝试。

优势：部署灵活，可以旁路部署，对原网络没有任何影响

劣势：具有一定的滞后性

早期的IDS误报率较高

3、IPS入侵防御系统

IPS（Intrusion Prevention System）：入侵防御系统，一种侧重于风险控制的网络安全设备，用于检测和防止网络攻击。可以在检测风险的同时，处理问题，从而减少或消除潜在的损害

需要串联部署在网络中

优势：

1. 实时阻断攻击
2. 深层防护，可以深入到应用层，进行精准的威胁识别
3. 全方位的防护
4. 内外兼防
5. 不断升级，精准防护

劣势：

1. 误阻断：检测到攻击时会主动阻断，可能会误阻断一些合法的网络流量
2. 配置复杂性：IPS的配置和管理相对于IDS较复杂
3. 性能瓶颈：IPS在处理大量网络流量时，可能会成为性能瓶颈

4、入侵检测的方法

1）异常检测

异常检测：基于一个假定，我们认为用户的行为是遵循一致性原则的

2）误用检测

误用检测：创建一个异常行为特征库，将入侵行为的特征记录下来并记录成签名，之后根据到达的流量特征和签名进行对比，判断是否存在异常

签名：指用来描述网络入侵行为特征的一种方式，将异常行为的特征记录下来进行HSAH。通过比较报文特征和签名来检测入侵行为。

• 预定义签名：系统预先定义的大量签名，已经预先设置了匹配该签名的签名动作为阻断或告警。设备出厂时一家在了预定义签名库，一般这个特征库需要购买liense（许可证）后才可获取。（如果购买了liense后，可以对接华为的安全中心多特征库进行更新）
• 自定义签名：网络管理员可以根据自定义的需求来创建威胁签名

预定义签名，我们只能修改其默认的执行动作，以及启用与否，其他的都不能修改

可以执行的动作分为三类：

1. 放行：数据允许通过，不会记录日志
2. 告警：数据允许通过，但是会记录日志
3. 阻断：数据不允许通过，并且会记录日志

5、防火墙中IPS使用

注意：所有的修改需要进行提交，不提交不生效，提交相当于重启了IPS模块，才能使新加的或者修改的东西生效

预定义签名库可以在此查看：

查看自己的License：

升级特征库：

在线升级：

• 定时升级：选择时间进行定时升级
• 立即升级：立即同步网上的特征库

本地升级：选择本地特征库文件进行升级，也可以先从网上下载特征库后，从本地文件进行本地升级

预定义签名信息：

ID：区分不同的签名

对象：针对设备的身份，为服务器/客户端。注意，一般将发起连接的设备角色认定为客户端，响应连接并提供服务的角色认定为服务器。

操作系统：该入侵行为针对的操作系统

严重性：该行为一旦爆发之后，对我们网络系统的影响程度的评级

协议/应用程序：这种攻击所承载的协议或者应用

自定义签名：

如果勾选了关联签名，则该签名的命中条件变为规定时间内命中关联签名的次数或者阻断时间

自定义签名的签名规则：

报文：逐包检测

消息：一次完整的请求和应答的过程被认定为一个消息

数据流：基于五元组来判断是否为一个数据流

按顺序检测：

• 勾选，则下面检查项列表中的检查项执行自上而下逐一匹配，如果匹配上，则不再继续匹配
• 不勾选，则下面检查项列表中的检查项为“且”的关系，需要都满足才算命中

选择协议中的字段

匹配：则会检测数据包中和后面值里面完全相同的数据

前缀匹配：匹配以后面值开头的内容

偏移是指从匹配到的值后面，偏移几位开始匹配内容

搜索字节数是指从匹配位置开始，搜索的长度

例如，当偏移为2，搜索字节为10时，根据上文代表从字段HTTP.HeadContent中从www的后两位匹配长度为10的内容

IPS入侵防御文件配置：

1）签名过滤器：

如果选择采用签名的缺省动作，一个流量同时匹配上多个签名，如果所有动作都是告警，则直接告警，如果有一个动作是阻断，则执行阻断操作。

如果配置多个签名过滤器，则将自上而下逐一匹配

2）例外签名

例外签名：可以将签名过滤器中的部分签名放在例外签名中，可以执行单独的动作

隔离源IP和目标IP：实质是阻断的同时，将地址放入黑名单中，进行访问限制，超时时间为黑名单中的老化时间

3）协议异常检测

针对协议的异常进行控制

调用入侵防御策略（安全策略中调用）

注意安全策略的顺序，防止匹配了前面的安全策略，导致自己的入侵防御配置无效

6、AV反病毒

AV反病毒：是一种用于保护计算机系统免受病毒、木马、蠕虫等恶意软件侵害的安全机制。侧重于文件以及邮件中病毒的查杀
代理扫描：需要缓存文件，倒是效率较低，并且文件过大可能无法缓存，导致直接放过造成安全风险，但是其检测力度较强可以应对压缩以及脱壳的情况
流扫描：基于文件片段进行扫描，效率较高，但检测率有限

病毒的分类：

病毒的杀链：

个别病毒的工作原理：

防病毒流程：

AV反病毒配置文件：

病毒例外：相当于是病毒的白名单，为了防止过渡防御的场景，将一些病毒放入例外之中，将检测到的该病毒视为误报，将文件直接放行
应用例外：将特定的应用设置为例外，可以单独执行动作
宣告和删除附件：只针对Pop3和SMTP协议

• 宣告：不删除附件，但是会在邮件正文中添加提示信息
• 删除附件：直接删除附件，并且会在邮件正文中添加提示信息

例：内网用户有通过外网web服务器下载文件的需求，并且，外网用户有通过内网FTP服务器上传文件的需求，针对这两种场景进行反病毒处理。

7、URL过滤

URL：统一资源定位符

URI：统一资源的标识符URL过滤的方式

URL包含URI，URL的作用是定位/访问到资源目录中的文件

静态网页
动态网页

URL过滤方式：

1. 通过黑白名单进行过滤
2. 预定义的URL分类：本地缓存查询和远程分类服务查询（使用该功能，则需要激活liense）
3. 自定义的URL分类

注意：

1）自定义URL分类的优先级高于预定义的优先级

2）如果远程分类服务查询都无法确认该URL的分类，则该URL将按照“其他”类的动作进行执行

HTTP协议获取URL的方式：