目录
1、 什么是APT?
2、APT的攻击过程及攻击生命周期
- 第一阶段:扫描探测
- 第二阶段:工具投送
- 第三阶段:漏洞利用
- 第四阶段:木马植入
- 第五阶段:远程控制
- 第六阶段:横向渗透
- 第七阶段:目标行动
3、APT的防御技术
- 黑客(攻击者)向企业内网发起APT攻击,FW从网络流量中识别并提取需要进行APT检测的 文件类型。
- FW将攻击流量还原成文件送入沙箱进行威胁分析。
- 沙箱通过对文件进行威胁检测,然后将检测结果返回给FW。
- FW获取检测结果后,实施相应的动作。如果沙箱分析出该文件是一种恶意攻击文件,FW侧则 可以实施阻断操作,防止该文件进入企业内网,保护企业内网免遭攻击。
- 反病毒系统通常是将病毒文件的特征与病毒特征库进行对比来识别一个文件是否为病毒文件。 这种防御方式具有一定的局限性,就是只能针对已知病毒进行防御,而无法识别未知攻击。
- APT防御机制则有别于反病毒系统。APT防御系统中的沙箱可以看做是一个模拟真实网络建造 的虚拟检测系统,未知文件放入沙箱以后将会被运行,沙箱中的收集程序会记录该文件被运行 以后的行为。沙箱通过将未知文件的行为和沙箱独有的行为模式库进行匹配,最后给出该程序 是否为恶意程序的定性结论。沙箱的行为模式库是通过分析大量的病毒、漏洞、威胁特征,提 炼出各种恶意行为的规律和模式,并形成一套判断规则,因此能提供准确的检测结果。
- 总体来看,反病毒系统是以被检测对象的特征来识别攻击对象,APT防御系统是以被检测对象的行为来识别攻击对象。
沙箱处理流程
1、内容安全检测
2、 查询Web信誉
- 大型正规网站一般拥有较好的安全意识和优良的网络安全防护能力,所以网立站被侵入口的可能性较小,网站上也几乎不存在恶意文件,用户访问此类网站时的风险很小。相反,随意搭建的小网站或者恶意网站上充斥着大量的恶意文件,用户访问此类网站时的风险也极大。
- Web信誉功能对网站进行了分类,FW会根据不同分类进行差异化处理。对于信誉度低的网站,FW会提取出网络流量中的文件,然后送往沙箱进行进一步的检测;对于信誉度高的网站,FW不会提取网络流量中的文件,即跳过了沙箱检测的步骤。这样处理可以提高FW的检测效率,在不降低安全性的同时,提升用户的访问体验。
- Web信誉网站分类
- 预定义可信网站。
- 自定义可信网站
- 自定义可疑网站
- 未知网站
- 当某个网站命中预定义可信网站或自定义可信网站列表时,系统不会提取网络流量中的文件;而命中自定义可疑网站或未知网站时,系统会提取出网络流量中的文件,并送往沙箱进行进一步的检测。
- 查询文件信誉
- 文件提交至沙箱并进行检测
- 智能感知引擎将原始文件发送给APT防御模块。智能感知引擎还原出原始文件以后.会将这些文件放入一个缓存区。APT防御模块会定期扫描缓存区,当发现有新的文件以后,通知智能引擎将对应的文件发送给自己。
- APT防御模块将原始文件发送给沙箱。APT防御模块将文件发送给沙箱时会记录相应文件的 MD5值。
- 沙箱获取文件后运行此文件,并将文件的行为特征与沙箱的行为特征库进行比对,判定文件是 否为恶意攻击文件。然后向APT防御模块发送检测结果
- 根据沙箱检测结果阻断后续流量
- APT防御模块随后将检测结果和MD5值发给智能感知引擎。智能感知引擎根据文件的MD5值 和检测结果决定是否针对该文件执行阻断操作。
- 默认系统会在沙箱返回的检测结果为恶意时执行阻断,否则将会对流量放行。
- 如果用户想要根据检测结果对后续流量进行阻断,则需要在配置内容安全检测时必须配置反病毒和URL过滤功能。因为只有配置了这两个功能之后,IAE会根据沙箱的检测结果更新缓存中的AV特征库、文件信誉库和恶意URL列表。含有同样恶意特征的流量到达防火墙后,由于命中了AV特征库或恶意UJRL列表,可以根据反病毒配置文件或URL过滤配置文件中的动作来对该流量进行告警或者阻断
配置APT防御
1、 升级文件信誉库
- 云沙箱:依赖云沙箱检测License,请确认购买并成功激活支持文件信誉特征库升级服务的云沙箱检测License。
- 本地沙箱:不依赖License
- 在线升级
- 本地升级
升级文件信誉热点库 :
- 文件信誉热点库是由sec.huawei.com发布的,启用文件信誉热点库的更新功能后,可以快速获取云端的文件信誉信息,以便对存在威胁的文件进行及时的阻断。
2、配置Web信誉
3、 本地沙箱联动
3.2 配置本地沙箱
3.3 配置APT防御文件
3.4 配置APT防御配置文件的名称和描述。
3. 5配置沙箱检测的相关参数
3.6 在安全策略中引用APT防御配置文件
结果验证 :
![](https://img-blog.csdnimg.cn/8dd5a7cf14214105973b70e37542594a.png)
4.云沙箱联动
提示:4.1------4.6 与3.1-----3.6一致
![](https://img-blog.csdnimg.cn/3158af47bdef4630ad074d6f46fd1b9b.png)
4.8 在安全策略中引用APT防御配置文件
4.9 结果验证
1. 在“对象 > 安全配置文件 > APT防御 > 沙箱联动配置 > 云沙箱”查看连接状态为连接成功
2. 用云账户huawei登录isecurity.huawei.com,查看该FW往云沙箱提交过的文件的检测结果。
4、什么是对称加密?
- 对称加密
我们用一张图片来说明这个对称加密的过程:
图解:加解密用的是同一个密钥,数学角度是一个双向函数,从算法的角度来说就是正向加密、逆向解密用同一种算法加密明文、解密密文。
- 加密信息传递有俩个通道
- 密文传递通道
- 密钥传递通道
5、什么是非对称加密?
- 非对称加密
图解:
由图我们可以看出在非对称加密过程中使用了两把钥匙一把公钥、一把私钥。Alice通过密钥传输通道将她自己的公钥传输给Bob然后Bob用Alice的公钥加密明文,然后通过密文传输通道将密文传输给Alice,Alice再用自己手里的私钥解密获得明文。
非对称加密算法也叫DH算法
- 对称加密算法解决信息的安全传输通道
- 非对称加密算法解决对称加密算法密钥的安全传输通道
- 密钥传输风险
- 密钥管理难
6.、私密性的密码学应用?
- 对称加密算法:对称加密算法使用相同的密钥对数据进行加密和解密,可以确保加密数据只能被知道密钥的用户解密。常见的对称加密算法包括AES、DES、3DES等。
- 非对称加密算法:非对称加密算法使用不同的密钥对数据进行加密和解密,其中一个密钥是公开的(公钥),而另一个密钥是私有的(私钥)。这种算法可以确保加密数据只能被知道私钥的用户解密。常见的非对称加密算法包括RSA、ECC等。
- 散列函数:散列函数可以将任意长度的数据转换为固定长度的散列值,这个散列值通常用于验证数据的完整性和真实性。只有知道原始数据的用户才能生成相同的散列值。常见的散列函数包括MD5、SHA-1、SHA-2等。
- 数字签名:数字签名是通过使用私钥对数据进行签名来验证其完整性和真实性的一种机制。数字签名可以确保数据没有被篡改或者被其他人伪造,只有知道私钥的用户才能进行签名。常见的数字签名算法包括RSA、DSA等。
- 对数字签名进行验证时,需要用到公钥。如果公钥是伪造的,那我们无法验证数字签名了,也就根本不可能从数字签名确定对方的合法性了。如何保证自己拿到的公钥是合法的而不是被别人伪造的呢?这就是数字证书要实现的功能。数字证书可以保证公钥信息的可信。如果我们只拿到一个公钥信息,就无法确认该信息是否合法(未被篡改过),如果除了公钥信息我们同时拿到了权威机构数字签名,那么这个公钥就十分可信了。就像我们只有一个四级证书上面没有教育部的章,那么这个证书只是一张纸谁都可以印,但是上边加盖了教育部的(不可伪造的)印章,那么这张证书就会变的很可信。
- 总结:数字证书就是由(可信的)权威机构签发的,带有权威机构签名(不可伪造和篡改)的公钥信息。
7、 非对称加密如何解决身份认证问题?
完整性与身份认证最佳解决:对明文a进行hash运算得到定长值h,然后对h进行非对称运算用私钥加密得到值k,然后对明文a进行对称运算得到y,传输时同时传输y和k,收到后用非对称公钥解开k得到h‘,然后用对称算法解开y得到a,然后对a进行hash得到h‘‘ 如果h‘与h‘’相同,则证明完整性与身份认证。
- 8、 如何解决公钥身份认证问题?
要解决这个问题我们先看下面这个例子自然就明白了。
- alice把公钥给bob
- alice发送信息hello,world!
- alice把发送的信息用对称加密算法加密到加密信息C。
- alice把发送的hello,world!先用hash算法计算得到hash值D。
- alice把hash值D用非对称加密计算得到E。E值就是用于身份验证的。
- alice把C,E一起发给bob。
- bob收到C,E值,先用非对称的公钥对E进行解密,如果能正常解开则证明C值是alice的。
- alice把公钥给bob的环节能确保是安全的,一定是alice给的。
- 想办法证明alice的公钥一定是alice的。
黑客针对上述的攻击:
总结:CA颁发这个数字证书就解决了公钥的身份认证问题,也保证了信息的安全性。这个CA在浏览器中是自带安装的。
CA的可信度?
- 用户身份信息
- 用户公钥信息
- 身份验证机构的信息及签名数据
- 签名证书----身份验证,不可抵赖性。
- 加密证书----加密,完整性与机密性。
密码学完整应用:
9、简述SSL工作过程
![](https://img-blog.csdnimg.cn/d85efe8bf2ac4ad6968941b928ff5580.png)
过程:首先就是客户端向服务器发起会话进行协商要使用的版本、加密套件列表、压缩算法列表,客户端随机数、会话ID等,接着服务器回话,说使用什么版本号,使用哪一套加密算法,哪一套压缩算法等确定的信息。在上图中我们看到了服务端发了一个证书过去说明服务器端启用了第三方认证。然后握手完毕,客户端又将对称密钥的原材料发给server,然后server开始启用加密算法,再次期间还会相互发握手验证报文就是来证明相互身份的真实性,最终开始传输数据。
这个图就是客户端发送那个premasterkey(预主密钥参数) 与密钥之间的关系,为什么要发这个预主密钥原因一目了然。
![](https://img-blog.csdnimg.cn/1054fa6650df494eb45f7f7039e16634.png)
过程:其实中间的过程与无客户端认证差不多,只是多了客户端需要发数字证书而这一项已。
会话恢复过程:
![](https://img-blog.csdnimg.cn/63ad0acdef704017a52240ca34c6ac18.png)
SSL协议的细节
- 协议位置
- 体系结构
- SSL的两个概念
- SSL连接(connection)一个连接是一个提供一种合适类型服务的传输(OSI分层的定义)。SSL的连接是 点对点的关系。连接是暂时的,每一个连接和一个会话关联。
- SSL会话(session)一个SSL会话是在客户与服务器之间的一个关联。会话由Handshake Protocol创建。会话定义了一组可供多个连接共享的密码安全参数。会话用以避免为每一个连接提供新的安全参数所需昂贵的协商代价