目录
6. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
一、IDS
1. 什么是IDS?
IDS是:入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
2. IDS和防火墙有什么不同?
IDS和防火墙的区别:防火墙是一种隔离(非授权用户在区域间)并过滤(对受保护的网络有害的流量或数据包)的设备。而IDS则是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
3. IDS工作原理?
由图我们可以看见到保护系统有外部流量和内部流量,外部流量和内部流量都需要经过ids的检测,也可能有扫描系统,但是现在大部分的扫描系统都被集成在ids系统上了。
当ids发现有病毒的时候,它就会通知防火墙干掉这个流量,ids起到警报和警告的作用。可以及时,准确,全面的发现入侵,弥补防火墙对应用层检查的缺失。
4. IDS的主要检测方法有哪些详细说明?
IDS的主要检测方法有:
1)、异常检测:当某个事件与一个已知的攻击特征(信号)相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓,当一个事情在轮廓以外,就认为是异常,IDS就会告警。
特征:IDS核心是特征库(签名),符合特征库的就被干掉。
2)、误用检测:收集非正常操作的行为特征,建立相关的特征库,当检测的用户或者系统行为库中的记录相匹配时,系统就默认这种行为是入侵误用检测模型也称为特征检测。
这两种检测优缺点:
5. IDS的部署方式有哪些?
IDS产品采用的是 旁路部署方式(旁路其实可以理解一个流量终端,用到旁挂我们就需要用到镜像端口功能,将我们需要检测的流量copy到旁挂的端口) ,一般直接通过交换机的监听口进行网络报文采样,或者在需要监听的网络线路上放置侦听设备(如分光器、集线器)
6. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
IDS的签名就是特征的意思,入侵防御签名用来描述网络中存在的攻击行为的特征。
签名过滤器:通俗来讲就是有一堆流量的时候,你只希望选择符合你要求的某一些流量进入,不符合要求的阻难。定义这些要求的工具,就是签名过滤器。
例外签名的配置作用:例如我们设置了很多签名,这些签名都匹配上了动作,但是某个签名有误报,就导致我们一些正常的流量无法获取,所以我们想某个签名放行,这就用到列外签名。
二、恶意软件与反网关病毒
1. 什么是恶意软件?
恶意软件官方的一个定义:恶意软件 (Malware) 从“恶意”(malicious) 和“软件”(software) 这两个词合并而来,是一个通用术语,可以指代病毒、蠕虫、特洛伊木马、勒索软件、间谍软件、广告软件和其他类型的有害软件。恶意软件的主要区别在于它必须是故意为恶;任何无意间造成损害的软件均不视为恶意软件。
所以说恶意软件就是病毒的意思。
2. 恶意软件有哪些特征?
恶意软件的特征:是一种基于硬件和操作系统的程序,具有感染和破坏能力,这与病毒程序的结构有关。病毒攻击的宿主程序是病毒的栖身地,它是病毒传播的目的地,又是下一-次感染的出发点。
计算机病毒感染的一般过程为:当计算机运行染毒的宿主程序时, 病毒夺取控制权;寻找感染的突破口;将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似,它寄生在宿主程序中,进入计算机并借助操作系统和宿主程序的运行,复制自身、大量繁殖。
3. 恶意软件的可分为那几类?
按照传播方式分类:病毒的传播方式,感染文件传播,必须寄生,病毒不是一个独立的程序,他必须依赖于寄主运行。
典型的病毒:熊猫烧香,蠕虫,木马。
按照功能分类:勒索,挖矿,后门
4. 恶意软件的免杀技术有哪些?
恶意软件的免杀技术主要有:三种,1、文件免杀 2、内存免杀 3、行为免杀
文件免杀:
黑客们研究木马免杀的最终目标就是在保证原文件功能正常的前提下,通过一定的更改,使得原本会被查杀的文件免于被杀。
要达到不再被杀的目的方法有很多种,其中最直接的方法就是让反病毒软件停止工作,或使病毒木马”变”为一个正常的文件。
然而如何使一个病毒或木马变成一 个正常文件, 对于黑客们来说其实是一个比较棘手的问题, 不过只要学会了- -种免杀原理,其他的免杀方案也就触类旁通了。
内存免杀:
自从文件免杀的方法在黑客圈子内部流传开后,反病毒公司将这场博弈升级到了另一个层次- _内存中。
内存在计算机安全领域中向来就是兵家必争之地,从信息截取、软件破解,到内核Hook、 修改内核,再到缓冲区溢出等,其主要战场都在内存中,由此可见内存是一个多么复杂而又变幻莫测的地方。
之所以说内存复杂,是因为-般情况下内存是数据进入CPU之前的最后一个可控的物理存储设备。 在这里,数据往往都已经被处理成可以直接被CPU执行的形式了,像我们前面讲的加壳免杀原理在这里也许就会失效了。
我们知道,CPU不可能是为某一款加壳软件而特别设计的, 因此某个软件被加壳后的可执行代码CPU是读不懂的。这就要求在执行外壳代码时,要先将原软件解密,并放到内存里,然后再通知CPU执行。
如果是这样,那么从理论上来讲任何被加密的可执行数据在被CPU执行前,肯定是会被解密的,否则CPU就无法执行。也正是利用这个特点,反病毒公司便在这里设了一个关卡.这就使得大部分运用原有文件免杀技巧处理过的病
行为免杀:
当文件查杀与内存查杀都相继失效后,反病毒厂商便提出了行为查杀的概念,从最早的“文件防火墙”发展到后来的“主动防御",再到现在的部分”云查杀”,其实都应用了行为查杀技术。
而对于行为查杀,黑客们会怎样破解呢?我们都知道一个应用程序之 所以被称为病毒或者木马,就是因为它们执行后的行为与普通软件不-样。
因此从2007年行为查杀相继被大多数反病毒公司运用成熟后,黑客免杀技术这个领域的门槛也就一下提高到了顶层。
反病毒公司将这场博弈彻底提高到了软件领域最深入的一-层一系统底层, 这就使得黑客们需要掌握的各种高精尖知识爆炸式增长,这-举动将大批的黑客技术的初学者挡在了门外
5. 反病毒技术有哪些?
单机反病毒可以通过安装杀毒软件实现,也可以通过专业的防病毒工具实现。
病毒检测工具用于检测病毒、马、蠕虫等恶意代码,有些检测工具同时提供修复的功能。常见的病毒检测工具包括:
。TCP View
。Regmon
。Filemon
。Process Explorer
。lceSword
。Process Monitor
。Wsyscheck
。SREng
。Wtool
。Malware Defender
6. 反病毒网关的工作原理是什么?
通过提取PEI(Portable Execute;Windows系统下可移植的执行体,包括exe、dl. "sys等文件类型)文件头部特征判断文件是否是病毒文件。提取PE文件头部数据,这些数据通常带有某些特殊操作,并且采用hash算法生成文件头部签名,与反病毒首包规则签名进行比较,若能匹配,则判定为反病毒
7. 反病毒网关的工作过程是什么?
流量监测:反病毒网关会实时监测企业网络出入口的数据流量,并且对流量进行过滤和筛选。在流量监测阶段,它会检查所有进出企业网络的数据包,并且使用各种技术,如模式匹配和行为分析,来确定是否存在潜在的恶意软件或网络攻击。
恶意软件识别:如果反病毒网关检测到了可疑的数据包,它会进一步对其进行分析和识别。在这个过程中,它会使用各种技术,如特征识别和挖掘,来判断数据包是否包含恶意软件或恶意行为。如果发现了恶意软件或攻击,反病毒网关会立即阻止其进一步传播并记录相关信息以进行后续处理和反制。
恶意软件隔离和清除:在识别恶意软件后,反病毒网关可以使用隔离和清除技术来防止恶意软件进一步传播并造成更大的损失。这个过程中,它会将恶意软件进行隔离,并且对其进行清除和消毒,以保证企业网络的安全。
日志记录和分析:反病毒网关可以记录所有进出企业网络的数据流量,并生成详细的监管日志。这些日志可以提供有关恶意软件或网络攻击的重要信息,并帮助企业管理者快速检测和定位潜在的安全风险,以及更好地满足合规性方面的要求。
8. 反病毒网关的配置流程是什么?
申请激活、加载特征库、配置AV Profile、配置安全策略
三、APT和加密
1. 什么是APT?
APT攻击即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。
2. APT 的攻击过程?
第一阶段:扫描探测
第二阶段:工具投送
第三阶段:漏洞利用
第五阶段:远程控制
第六阶段:横向渗透
第七阶段:目标行动
3. 详细说明APT的防御技术
防御APT 攻击最有效的方法就是沙箱技术,通过沙箱技术构造一个隔离的威胁检测环境,然后将网络流量送入沙箱进行隔离分析并最终给出是否存在威胁的结论。如果沙箱检测到某流量为恶意流量,则可以通知FW 实施阻断。
针对APT攻击的防御过程如下∶
黑客(攻击者)向企业内网发起APT攻击,FW从网络流量中识别并提取需要进行APT检测的文件类型。
FW将攻击流量还原成文件送入沙箱进行威胁分析。
沙箱通过对文件进行威胁检测,然后将检测结果返回给FW。
FW获取检测结果后,实施相应的动作。如果沙箱分析出该文件是一种恶意攻击文件,FW则可以实施阻断操作,防止该文件进入企业内网,保护企业内网免遭攻击。
4. 什么是对称加密?
对称加密指的就是加密和解密使用同一个密钥,所以叫做对称加密。对称加密只有一个秘钥,作为私钥。常见的对称加密算法:DES,AES,3DES等等
5. 什么是非对称加密?
非对称加密指的是:加密和解密使用不同的秘钥,一把作为公开的公钥,另一把作为私钥。公钥加密的信息,只有私钥才能解密。私钥加密的信息,只有公钥才能解密。常见的非对称加密算法:RSA,ECC
6. 私密性的密码学应用?
- 身份认证:通过标识和鉴别用户身份,防止攻击者假冒合法用户来获取访问权限。
- 身份认证技术:在网络总确认操作者身份的过程而产生的有效解决方法
7. 非对称加密如何解决身份认证问题?
- 使用公钥加密进行身份验证,其中使用发件人的私钥对消息进行签名,并且可以由有权访问发件人公钥的任何人验证。
- 发件人可以将消息与私钥结合起来,在消息上创建一个简短的数字签名。任何拥有发件人相应公钥的人都可以通过公钥解密后,将该消息与数字签名进行比较;如果签名与消息匹配,则验证消息的来源
8. 如何解决公钥身份认证问题?
公钥的“身份证”-----数字证书
包含:
用户身份信息
用户公钥信息
身份验证机构的信息及签名数据
数字证书分类:
签名证书----身份验证,不可抵赖性。
加密证书----加密,完整性与机密性。
9. 简述SSL工作过程
客户端向服务器提出请求,要求建立安全通信连接。
客户端与服务器进行协商,确定用于保证安全通信的加密算法和强度。
服务器将其服务器证书发送给客户端。该证书包含服务器的公钥,并用CA的私钥加密。
客户端使用CA的公钥对服务器证书进行解密,获得服务器公钥。客户端产生用户创建会话密钥的信息,并用服务器公钥加密,然后发送到服务器。
服务器使用自己的私钥解密该消息,然后生成会话密钥,然后将其使用服务器公钥加密,再发送给客户端。这样服务器和客户端上方都拥有了会话密钥。
服务器和客户端使用会话密钥来加密和解密传输的数据。它们之间的数据传输使用的是对称加密。