安全防御第三次作业_反病毒网关&密码学

1. 什么是恶意软件？

恶意软件是指损坏或破坏端点设备的正常使用的恶意应用程序或代码。当设备被恶意软件感染时，你可能会经历未经授权的访问、数据泄露或设备被锁定，直至你支付赎金为止。

2. 恶意软件有哪些特征？

下载特征

很多木马、后门程序间谍软件会自动连接到 Internet 某 Web 站点，下载其他的病毒文件或该病毒自身的更新版本/ 其他变种。

后门特征

后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启 并侦听某个端口，允许远程恶意用户来对该系统进行远程操控；

某些情况下，病毒还会自动连接到某 IRC 站点某频道中，使得该频道中特定的恶意用户远程访问受

感染的计算机。

信息收集特性

QQ 密码和聊天记录；

网络游戏帐号密码；

网上银行帐号密码；

用户网页浏览记录和上网习惯；

自身隐藏特性

多数病毒会将自身文件的属性设置为 “ 隐藏 ” 、 “ 系统 ” 和 “ 只读 ” ，更有一些病毒会通过修改注册表，从而修改用户对系统的文件夹访问权限、显示权限等，以使病毒更加隐蔽不易被发现。

文件感染特性

病毒会将恶意代码插入到系统中正常的可执行文件中，使得系统正常文件被破坏而无法运行，或使

系统正常文件感染病毒而成为病毒体；

有的文件型病毒会感染系统中其他类型的文件。

Wannacry 就是一种典型的文件型病毒，它分为两部分，一部分是蠕虫部分，利用 windows 的 “ 永恒

之蓝 ” 漏洞进行网络传播。一部分是勒索病毒部分，当计算机感染 wannacry 之后，勒索病毒部分就

会自动安装并且加密计算机中包括音频、图像、文档等各种类型的文件。与此同时弹出勒索框进行

勒索。

网络攻击特性

木马和蠕虫病毒会修改计算机的网络设置，使该计算机无法访问网络；

木马和蠕虫还会向网络中其他计算机攻击、发送大量数据包以阻塞网络，甚至通过散布虚假网关地

址的广播包来欺骗网络中其他计算机，从而使得整个网络瘫痪。

爱虫病毒是一种利用 Windows outlook 邮件系统传播的蠕虫病毒，将自己伪装成一封情书，邮件主

题设置为 “I LOVE YOU” ，诱使受害者打开，由此得名。当爱虫病毒运行后迅速找到邮箱通信簿里的50个联系人再进行发送传播。传播速度非常之快，致使大量电子邮件充斥了整个网络，不仅会导致邮件服务器崩溃，也会让网络受影响变慢。从而达到攻击网络的目的。

3. 恶意软件的可分为那几类？

按照功能分类

后门

具有感染设备全部操作权限的恶意代码。

典型功能∶文件管理、屏幕监控、键盘监控、视频监控、命令执行等。

典型家族∶ 灰鸽子、pCshare

勒索

通过加密文件，敲诈用户缴纳赎金。

加密特点∶ 主要采用非对称加密方式 对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密

其他特点∶

通过比特币或其它虚拟货币交易

利用钓鱼邮件和爆破 rdp 口令进行传播

典型家族∶Wannacry、 GandCrab 、 Globelmposter

挖矿

攻击者通过向被感染设备植入挖矿工具，消耗被感染设备的计算资源进行挖矿，以获取数字货币收益的恶意代码。

特点∶

不会对感染设备的数据和系统造成破坏。

由于大量消耗设备资源，可能会对设备硬件造成损害。

4. 恶意软件的免杀技术有哪些？

免杀技术又称为免杀毒（ Anti Anti- Virus ）技术，是防止恶意代码免于被杀毒设备查杀的技术。主流免杀技术如下∶ 修改文件特征码     修改内存特征码     行为免查杀技术

5. 反病毒技术有哪些？

单机反病毒

检测工具：病毒检测工具用于检测病毒、木马、蠕虫等恶意代码，有些检测工具同时提供修复的功能。

杀毒软件：杀毒软件主要通过一些引擎技术来实现病毒的查杀，比如以下主流技术： 特征码技术 行为查杀技术

网关反病毒

FW 作为网关设备隔离内、外网，内网包括用户 PC 和服务器。内网用户可以从外网下载文件，外网用户可以上传文件到内网服务器。为了保证内网用户和服务器接收文件的安全，需要在FW 上配置反病毒功能。

在 FW 上配置反病毒功能后，正常文件可以顺利进入内部网络，包含病毒的文件则会被检测出来，并被采取阻断或告警等手段进行干预

6. 反病毒网关的工作原理是什么？

首包检测技术

        通过提取PE （ Portable Execute;Windows 系统下可移植的执行体，包括 exe 、 dll 、 “sys 等文件类型）文 件头部特征判断文件是否是病毒文件。提取PE 文件头部数据，这些数据通常带有某些特殊操作，并且采 用hash 算法生成文件头部签名，与反病毒首包规则签名进行比较，若能匹配，则判定为病毒。

启发式检测技术

        启发式检测是指对传输文件进行反病毒检测时，发现该文件的程序存在潜在风险，极有可能是病毒文件。比如说文件加壳（比如加密来改变自身特征码数据来躲避查杀），当这些与正常文

件不一致的行为达到一定的阀值，则认为该文件是病毒。 启发式依靠的是" 自我学习的能力 " ，像程序员一样运用经验判断拥有某种反常行为的文件为病毒文件。

        启发式检测的响应动作与对应协议的病毒检测的响应动作相同。启发式检测可以提升网络环境的安全性，消除安全隐患，但该功能会降低病毒检测的性能，且存在误报风险，因此系统默认

情况下关闭该功能。

        启动病毒启发式检测功能∶heuristic-detect enable 。

       

文件信誉检测技术

        文件信誉检测是计算全文MD5 ，通过 MD5 值与文件信誉特征库匹配来进行检测。文件信誉特

征库里包含了大量的知名的病毒文件的 MD5 值。华为在文件信誉检测技术方面主要依赖于文件信誉库静态升级更新以及与沙箱联动自学习到的动态缓存。文件信誉检测依赖沙箱联动或文件信誉库。

 

7. 反病毒网关的工作过程是什么？

1. 网络流量进入智能感知引擎后，首先智能感知引擎对流量进行深层分析，识别出流量对应的协议类型和文件传输的方向。

2. 判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。

3. 判断是否命中白名单。命中白名单后， FW 将不对文件做病毒检测。

4. 针对域名和 URL ，白名单规则有以下 4 种匹配方式：

前缀匹配： host-text 或 url-text 配置为 “example” 的形式，即只要域名或 URL 的前缀是

“example” 就命中白名单规则。

后缀匹配： host-text 或 url-text 配置为 “example” 的形式，即只要域名或 URL 的后缀是 “example”就命中白名单规则。

关键字匹配： host-text 或 url-text 配置为 “example” 的形式，即只要域名或 URL 中包含

“example” 就命中白名单规则。

精确匹配：域名或 URL 必须与 host-text 或 url-text 完全一致，才能命中白名单规则。

5. 病毒检测

6. 当 NGFW 检测出传输文件为病毒文件时，需要进行如下处理：

判断该病毒文件是否命中病毒例外。如果是病毒例外，则允许该文件通过。

病毒例外，即病毒白名单。为了避免由于系统误报等原因造成文件传输失败等情况的发生，当

用户认为已检测到的某个病毒为误报时，可以将该对应的病毒 ID 添加到病毒例外，使该病毒

规则失效。如果检测结果命中了病毒例外，则对该文件的响应动作即为放行。

如果不是病毒例外，则判断该病毒文件是否命中应用例外。如果是应用例外，则按照应用例外

的响应动作（放行、告警和阻断）进行处理。

应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上，同一协议上可以承载

多种应用。

由于应用和协议之间存在着这样的关系，在配置响应动作时也有如下规定：

如果只配置协议的响应动作，则协议上承载的所有应用都继承协议的响应动作。

如果协议和应用都配置了响应动作，则以应用的响应动作为准。

如果病毒文件既没命中病毒例外，也没命中应用例外，则按照配置文件中配置的协议和传输方

向对应的响应动作进行处理。

8. 反病毒网关的配置流程是什么？

 

1. 什么是APT？

高级持续性威胁（Advanced Persistent Threat，APT），又叫高级长期威胁，是一种复杂的、持续的网络攻击，包含三个要素：高级、长期、威胁。高级是指执行APT攻击需要比传统攻击更高的定制程度和复杂程度，需要花费大量时间和资源来研究确定系统内部的漏洞；长期是为了达到特定目的，过程中“放长线”，持续监控目标，对目标保有长期的访问权；威胁强调的是人为参与策划的攻击，攻击目标是高价值的组织，攻击一旦得手，往往会给攻击目标造成巨大的经济损失或政治影响，乃至于毁灭性打击。

2. APT 的攻击过程？

 

第一阶段：扫描探测

在 APT 攻击中，攻击者会花几个月甚至更长的时间对 " 目标 " 网络进行踩点，针对性地进行信息收集，目标网络环境探测，线上服务器分布情况，应用程序的弱点分析，了解业务状况，员工信息等等。

第二阶段：工具投送

在多数情况下，攻击者会向目标公司的员工发送邮件，诱骗其打开恶意附件，或单击一个经过伪造的恶意URL ，希望利用常见软件 ( 如 Java 或微软的办公软件 ) 的 0day 漏洞，投送其恶意代码。一旦到位，恶意软件可能会复制自己，用微妙的改变使每个实例都看起来不一样，并伪装自己，以躲避扫描。有些会关闭防病毒扫描引擎，经过清理后重新安装，或潜伏数天或数周。恶意代码也能被携带在笔记本电脑、USB设备里，或者通过基于云的文件共享来感染一台主机，并在连接到网络时横向传播。

第三阶段：漏洞利用

利用漏洞，达到攻击的目的。攻击者通过投送恶意代码，并利用目标企业使用的软件中的漏洞执行自身。而如果漏洞利用成功的话，你的系统将受到感染。普通用户系统忘记打补丁是很常见的，所以他们很容易受到已知和未知的漏洞利用攻击。一般来说，通过使用零日攻击和社会工程技术，即使最新的主机也可以被感染，特别是当这个系统脱离企业网络后。

第四阶段：木马植入

随着漏洞利用的成功，更多的恶意软件的可执行文件 —— 击键记录器、木马后门、密码破解和文件采集程序被下载和安装。这意味着，犯罪分子现在已经建成了进入系统的长期控制机制。

第五阶段：远程控制

一旦恶意软件安装，攻击者就已经从组织防御内部建立了一个控制点。攻击者最常安装的就是远程控制工具。这些远程控制工具是以反向连接模式建立的，其目的就是允许从外部控制员工电脑或服务器，即这些工具从位于中心的命令和控制服务器接受命令，然后执行命令，而不是远程得到命令。这种连接方法使其更难以检测，因为员工的机器是主动与命令和控制服务器通信而不是相反。

第六阶段：横向渗透

一般来说，攻击者首先突破的员工个人电脑并不是攻击者感兴趣的，它感兴趣的是组织内部其它包含重要资产的服务器，因此，攻击者将以员工个人电脑为跳板，在系统内部进行横向渗透，以攻陷更多的pc和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。

第七阶段：目标行动

也就是将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。在发现有价值的数据后， APT攻击者往往要将数据收集到一个文档中，然后压缩并加密该文档。此操作可以使其隐藏内容，防止遭受深度的数据包检查和DLP 技术的检测和阻止。然后将数据从受害系统偷运出去到由攻击者控制的外部。大多数公司都没有针对这些恶意传输和目的地分析出站流量。那些使用工具监控出站传输的组织也只是寻找" 已知的 " 恶意地址和受到严格监管的数据

 

3. 详细说明APT的防御技术

黑客（攻击者）向企业内网发起 APT 攻击， FW 从网络流量中识别并提取需要进行 APT 检测的

文件类型。

FW 将攻击流量还原成文件送入沙箱进行威胁分析。

沙箱通过对文件进行威胁检测，然后将检测结果返回给 FW 。

FW 获取检测结果后，实施相应的动作。如果沙箱分析出该文件是一种恶意攻击文件，

FW 侧则

可以实施阻断操作，防止该文件进入企业内网，保护企业内网免遭攻击。

 

4. 什么是对称加密？

对称加密采用了对称密码编码技术，它的特点是文件加密和解密使用相同的密钥加密

也就是密钥也可以用作解密密钥，这种方法在密码学中叫做对称加密算法，对称加密算法使用起来简单快捷，密钥较短，且破译困难，除了数据加密标准（DES），另一个对称密钥加密系统是国际数据加密算法（IDEA），它比DES的加密性好，而且对计算机功能要求也没有那么高

5. 什么是非对称加密？

与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥（publickey）和私有密钥（privatekey）。

公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。

6. 私密性的密码学应用？

身份认证技术的应用

身份认证：通过标识和鉴别用户身份，防止攻击者假冒合法用户来获取访问权限。

身份认证技术：在网络总确认操作者身份的过程而产生的有效解决方法

7. 非对称加密如何解决身份认证问题？

机密性最佳解决 ：用非对称加密算法加密对称加密算法的密钥

完整性与身份认证最佳解决：对明文 a 进行 hash 运算得到定长值 h ，然后对 h 进行非对称运算用私钥加密得到值k ，然后对明文 a 进行对称运算得到 y ，传输时同时传输 y 和 k ，收到后用非对称公钥解开 k 得到 h‘ ，然后用对称算法解开y 得到 a ，然后对 a 进行 hash 得到 h‘‘ 如果 h‘ 与 h‘’ 相同，则证明完整性与身份认证

8. 如何解决公钥身份认证问题？

使用CA数字证书

包含： 用户身份信息 用户公钥信息 身份验证机构的信息及签名数据

9. 简述SSL工作过程

SSL协议位于TCP/IP协议与各应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层： SSL记录协议（SSL Record Protocol）、SSL握手协议（SSL Handshake Protocol）

SSL握手协议：在SSL记录协议之上，会话层之下，在实际的数据传输开始前，协商加密算法、交换密钥、身份认证

1. 客户端浏览器发送“hello”信息，表示要和网站建立安全SSL连接

2. 网站服务器响应客户端请求，发给客户端两样东西：网站服务器自己的证书（内含网站的公钥）、一个随机值

3.客户端浏览器验证网站服务器证书是否可信

4.客户端利用网站服务器发的随机值生成会话密钥

5. 客户端浏览器和网站服务器开始协商加密算法和密钥长度

6. 协商成功后，客户端浏览器利用网站的公钥将生成的会话密钥加密，然后传送给网站服务器

7. 网站服务器收到客户端发送的利用网站服务器自己公钥加密的会话密钥，然后用自己的私钥解密出会话密钥，由此得到了安全的会话密钥

8. 网站服务器再随机生成一个信息，用解密后的会话密钥加密该随机信息后后发送给客户端浏览器（目的是让客户端认证服务器）

9. 浏览器收到随机信息后，用会话密钥能解密出信息（自然就认证了服务器），接着浏览器用自己的私钥对此信息做数字签名，连带客户端自己的证书（内含公钥），一起发送给网站服务器（目的是让服务器认证客户端）

SSL记录协议：在SSL握手协议之下，传输层之上，数据传输阶段的封装、压缩、加密（利用SSL握手协议产生的会话密钥对称加密应用层数据）