目录
攻击可能只是一个点,而防御需要全方面进行。
IAE引擎
深度行为检测技术
深度包检测 DPI
针对完整的数据包,进行内容的识别和检测。
深度包检测的分类
1,基于特征字的检测技术
2,基于应用网关的检测技术
有些应用控制和数据是分离的,比如一些视频流。一开始会 通过TCP协议链接之后,协商一些参数,这部分我们称为
信令部分
。之后证书传输数据流量, 使用UDP协议,而这部分流量是没有可以识别的特征的。所以,这些应用可以基于应用网关 来进行检测,即基于前面的信令信息来进行识别和控制。
3,基于行为模式的检测技术
行为模式识别技术行为模式识别技术基于对终端已经实施的行为的分析,判断出用户正在进行的动作或者即将实施的动作。行为模式识别技术通常用于无法根据协议判断的业务的识别。例如:一个服务器平时都是正常发送信息,但是突然有一天投入向大量用户转发信息,则需要立刻判断并阻止。
深度流检测 DFI
基于数据流进行识别检测的技术
DPI和DFI的对比
1,DFI仅对流量行为分析,只能对应用类型进行笼统的分类,无法做到精细的识别
2,如果流量进行加密的话,DPI可能在没有解密的情况无法进行识别,但是DFI不受影响
IPS(入侵防御)
入侵检测 IDS
它侧重于风险管理的设备 ,仅能进行监控,但是不能直接处理。它存在滞后性 ,早期IDS的误报率较高 ,其优点在于部署灵活,可以旁路部署,对原网络没有任何影响
入侵防御 IPS
侧重于风险控制的设备,可以在发现风险的同时,处理问题。 需要串联部署在网络中
IPS设备优势
1,实时阻断攻击;
2,深层防护 --- 可以深入到应用层,进行精准的威胁识别;
3,全方位的防护
4,内外兼防
5,不断升级,精准防护
入侵检测的方法
1,异常检测 --- 这种检测时基于一个假定,我们认为用户的行为是遵循一致性原则的
2,误用检测 --- 创建一个异常行为特征库,将入侵行为的特征记录下来,记录
签名
,之
后,根据到达的流量特征和签名进行比如,判断是否存在异常;
签名
签名 --- 将异常行为的特征记录下来进行HSAH,之后,正常流量过来,也提取其特征
进行比对。
预定义签名 --- 设备上自身携带的有特征库,这个特征库需要购买liense(许可证)后
才可获取。(如果购买了liense后,可以对接华为的安全中心多特征库进行更新)
自定义签名 --- 网络管理员可以根据自定义的需求来创建威胁签名,
可以执行的动作 --- 放行
告警 --- 数据允许通过,但是会记录日志
阻断 --- 数据不允许通过,并且会记录日志
签名详细
注意:
针对预定义签名,我们只能修改其默认的执行动作,以及启用与否,其他的都不能修改
注意:所有的修改需要进行提交,不提交不生效,提交相当于重启了IPS模块,才能使新加的或者修改的东西生效。
预定义签名详细参数
ID --- 区分不同的签名
对象 --- 服务器,客户端,服务器和客户端 --- 针对设备的身份 --- 注意,一般我们将发起连
接的设备角色认定为客户端,响应连接并提供服务的角色认定为服务器。
严重性 --- 该行为一旦爆发之后,对我们网络系统的影响程度的评级
协议/应用程序 --- 这种攻击所承载的协议或者应用
配置自定义签名
如果勾选了关联签名,则该签名的命中条件变为规定时间内命中关联签名的次数或者阻断时间
注意:
报文 --- 逐包检测
消息 --- 一次完整的请求和应答的过程被认定为一个消息
数据流--- 数据流检测
注意:
按顺序检测 --- 勾选,则下面检查项列表中的检查项执行自上而下逐一匹配,如果匹配上,则不再继续匹配。如果不勾选,则下面检查项列表中的检查项为“且”的关系
注意:
如果是匹配,则会检测数据包中和后面值里面完全相同的数据
前缀匹配,匹配以后面值开头的内容
IPS安全配置文件
签名过滤器
如果选择采用签名的缺省动作,一个流量同时匹配上多个签名,如果所有动作都是告警,则直
接告警,如果有一个动作是阻断,则执行阻断操作。
例外签名
可以将部分签名放在例外签名中,可以执行单独的动作 后面隔离源IP和目标IP实质是阻断的同时将地址放入黑名单中,进行访问限制,超时时间为黑 名单中的老化时间
协议异常检测
AV(反病毒)
防病毒侧重于文件以及邮件中病毒的查杀
查杀过程
代理扫描 --- 需要缓存文件,倒是效率较低,并且,文件过大,可能无法缓存,直接放过,造
成安全风险,但是,其检测力度较强可以应对压缩以及脱壳的情况
流扫描 --- 基于文件片段进行扫描,效率较高,但是检测力度较低;
病毒的分类
病毒的杀链
潜伏状态也就是休眠阶段,通过某种特定程序别执行到达传染阶段;将自身的程序复制给其他程序或磁盘,到达了触发阶段;然后执行特定功能到达的目的;达到了发作阶段,破坏程序感染文件。
个别病毒的工作原理
蠕虫
蠕虫工作原理
特洛伊木马
特洛伊木马的工作原理
病毒和蠕虫和特洛伊木马的区别
防病毒流程
病毒例外 --- 相当于是病毒的白名单,为了放置过渡防御的场景,将一些病毒放入例外之中,
则将检测到该病毒视为误报,则将文件直接放行
应用例外 --- 将特定的应用设置为例外,可以单独执行动作
宣告和删除附件 --- 只针对Pop3和SMTP协议
宣告 --- 不删除附件,但是会在邮件正文中添加提示信息
删除附件 --- 直接删除附件,并且会在邮件正文中添加提示信息
需求,内网用户有通过外网web服务器下载文件的需求,并且,外网用户有通过内网FTP服务
器上传文件的需求,针对这两种场景进行反病毒处理。
反病毒的配置
URL过滤
URL -- 统一资源定位符
静态网页
动态网页
URI --- 统一资源的标识符
URL过滤的方式
1,通过黑白名单进行过滤
2,预定义的URL分类
本地缓存查询
远程分类服务查询 --- 如果需要使用该功能,则需要激活liense
自定义的URL分类 --- 自定义URL分类的优先级高于预定义的优先级如果远程分类服务查询都无法确认该URL的分类,则该URL将按照“其他”类的动作进行执行