进阶持续威胁(APT)与入侵防御系统

最新推荐文章于 2024-08-14 11:51:54 发布
最新推荐文章于 2024-08-14 11:51:54 发布
阅读量4.4k 收藏 9
点赞数 2
分类专栏: 计算机网络架构与网络安全 文章标签: APT IDS IPS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39384184/article/details/83385440
版权

APT简介

APT(Advanced Persistent Threat)是指隐匿而持久的电脑入侵过程**,使用众多情报技术来获取敏感信息的网络间谍活动。

  • 进阶
  • 持续
  • 威胁

APT攻击手法

  1. 锁定目标
  2. 组建团队
  3. 建置工具
  4. 研究目标基础建设与员工
  5. 测试
  6. 布局
  7. 开始入侵
  8. 建立对外连线
  9. 扩展存取权限
  10. 强化脚跟
  11. 窃取资料
  12. 消减踪迹

APT攻击周期

  • 初始入侵(Initial compromise):社交工程,钓鱼攻击,零日攻击。
  • 站稳脚跟(Establish Foothold):打开后门,隐藏远程访问。
  • 提升特权(Escalate Privileges):利用漏洞获取管理员权限。
  • 内部勘察(Internal Reconnaissance):收集设备,网络架构信息。
  • 横向扩展(Move Laterally(旁边地)):将控制权扩展到其他设备。
  • 保持现状(Maintain Presence):确保之前获取到的访问权限。
  • 任务完成(Complete Mission)

APT防御策略

  • APT相关的命令与控制流量(Command & Control)很容易在网路上检测。
  • 深入的日志分析(Log analysis)有助于检测APT活动,可以借助完善的日志分析工具。
  • TCP/443的连线(website SSL VPN)只允许由Proxy代理服务器放出,其他一律阻挡,可以防止大部分设备被远程控制。

IDS 入侵侦测系统

IDS(Intrusion Detection System)入侵侦测系统检测封包中是否带有恶意程序或扫描等入侵动作,侦测出有问题的封包会立即送出警告(Alert)。

IDS是被动式部署(Passive),将封包复制(mirror)后检查,即使宕机也不影响网络的正常运作。

因为IDS需要检查到封包的内容(content),所以属于第七层设备(application layer)。

IDS需要有一个资料库(databse)存储各种恶意程序或是病毒的特征码(signatures)。特征码是指某个恶意程序或是病毒独有的特征子串,可以用来辨认该恶意程序或是病毒,例如“GET /scripts/root.exe?c+dir”。

特征码需要有经验的网安专家来建置,还需要时常追踪更新。

IPS 入侵侦测防御系统

IPS(Intrusion Prevention System)入侵侦测系统检测封包中是否带有恶意程序或扫描等入侵动作,侦测出有问题的封包会立即拦截丢弃,并送出警告(Alert)。

IPS是主动式部署(Active),直接检查每一个通过的封包(in-line mode),宕机可能会影响网络的正常运作。

可以使用hardware by-pass方法,当设备宕机时当它不存在。

Snort IDS IPS

Snort是一个开源的IDS和IPS。

Snort can be configured(配置) in three main modes: sniffer, packet logger and network intrusion detection.

想了解更多关于计算机网络架构与网络安全:计算机网络架构与网络安全专栏

嘿哈哈哈
关注
专栏目录
安全防御知识总结(IDS,APT,恶意软件,反病毒网关,对称/不对称加密)
weixin_59181877的博客
04-14 2060
恶意软件(Malware)指的是一种被设计来渗透、破坏或控制受感染计算机的软件。病毒(Virus):它可以通过复制自身到其他文件或程序来传播,并且可能会在特定条件下自动激活。蠕虫(Worm):与病毒类似,但蠕虫可以在网络上迅速自我复制和传播。木马(Trojan):这是一种“假装”有用的程序,实际上在后台执行恶意操作,例如窃取敏感信息或创建网络后门。间谍软件(Spyware):这种软件通常以隐秘的方式安装在用户计算机中,并在后台监视用户的操作并收集敏感信息。
FIN8 APT组织新动作:一起 “精心布置” 的定向窃密活动
Tencent_SRC的博客
04-30 738
文|腾讯洋葱反入侵系统vspiders、七夜、柯南概述4月11日,腾讯洋葱反入侵团队监测到一起PyPI软件供应链攻击事件,经过追溯疑似是由境外APT组织FIN8首次使用该手法进行的针对性攻...
中国农业银行IPSAPT、外联监测系统项目技术需求说明书
08-29
网络安全监察系统的两个品目分别对应总行网络安全监测系统和一级分行安全数据采集与分析系统两个规格产品。在总行建设网络安全监测系统,对全行第三方外联出口网络及安全设备进行统一监管,全方位了解网络安全态势,为主管部门决策提供数据支撑。在各一级分行部署安全数据采集与分析系统,支撑管理人员对本地安全设备进行规范化管理,并向总行上报重要监管数据。总行网络安全监测系统为软件形态,一级分行安全数据采集与分析系统为软硬件一体的形态。
浅谈防火墙,IPS,APT威胁检测的互补性
嘿嘿嘿
04-18 679
在学习网络安全产品时发现很多产品的目的与功能大同小异都是防范非法流量或威胁,但是既然有产品的差异就有作用的目的的差异,下面浅谈一下三个网络安全产品的差异化与互补点。
安全防御APT与密码学
最新发布
zzz6583zz的博客
08-14 532
对称加密又叫做私钥加密,即信息的发送方和接收方使用同一个密钥去加密和解密数据。对称加密的特点是算法公开、加密和解密速度快,适合于对大数据量进行加密。加密过程如下:明文 + 加密算法 + 私钥 => 密文解密过程如下:密文 + 解密算法 + 私钥 => 明文对称加密中用到的密钥叫做私钥,私钥表示个人私有的密钥,即该密钥不能被泄露。其加密过程中的私钥与解密过程中用到的私钥是同一个密钥,这也是称加密之所以称之为“对称”的原因。
APT攻击检测与防御详解
热门推荐
Antrn
01-20 4万+
APT定义 APT(Advanced Persistent Threat)是指高级持续威胁,本质是针对性攻击。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建.........
入侵防御IPS知识
莫黎小天
03-28 2096
1.工作原理: 串行部署于网络关键路径,对深层攻击行为进行精确识别和实时阻断。 2.与IDS区别 IPS追求精确阻断,IDS追求有效呈现 IDS旁路部署,IPS串行部署 IDS呈现的事件≠ IPS精确阻断的事 件 3.与UTM/NGFW的比较 IDS威胁防御为核心,从精确检测、在线防护及执行性能方 面将该能力发挥到极致,面向对 威胁防御有专业需求的用户 UTM、NGFW:IPS作为附属模块, 虽然具备较完善的功能,无论是威 胁防御能力,还是处理效能都无法 跟专业IPS相比,适合对威胁防御需求不高的用户
Linux系统安全加固指南:抵御网络威胁的坚固堡垒(网络安全卫士)
![Linux系统安全加固指南:抵御网络威胁的坚固堡垒(网络安全卫士)]...系统安全加固遵循最小权限原则和防御纵深策略,通过限制用户权限和建立多层防御机制来保护系统。此外,
lmtools安全配置指南:6大步骤保障系统安全,防范潜在威胁
![lmtools安全配置指南:6大步骤保障系统安全,防范潜在威胁]...# 1. lmtools 简介** lmtools 是一款功能强大的工具,可用于管理和保护 IT 系统。它提供了一系列功能,包括身份验证、授权、日志
进阶】常见网络攻击手段解析
![【进阶】常见网络攻击手段解析]...端口是计算机与网络通信的端点,每个端口对应一个特定的服务或应用程序。通过扫描目标主机上的端口,攻击者可以了解该主机正在运行哪些服务
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1217
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
网络威胁追踪溯源系统(NDR)与APT的功能区别.docx
09-05
网络威胁追踪溯源系统(NDR)与APT的功能区别.docx
防范 APT 不能只依赖防火墙、ISP 和防毒软件
亚信安全-云安全博客
05-14 1085
作者:趋势科技 曾经,安全技术所必须避免的重点就是产生一连串的事件通知。将系统调整到只会通报已经确定的恶意攻击事件是首要任务。你的防火墙必须非常肯定这些流入封包不属于已建立的网络连接,或是入侵防御系统需要能明确指出这些封包是在尝试做漏洞攻击才能提出警报。 在 20 世纪,甚至是 21 世纪初,我们习惯防御就是将一切弄得清清楚楚;防火墙告诉我一切正常,IPS 告诉我一切正常,防病毒软件告诉我一切
网络防御知识点总结---IDS、恶意软件、反病毒网关、APT、加密
m0_56269597的博客
03-31 1102
入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。恶意软件官方的一个定义:恶意软件 (Malware) 从“恶意”(malicious) 和“软件”(software) 这两个词合并而来,是一个通用术语,可以指代病毒、蠕虫、特洛伊木马、勒索软件、间谍软件、广告软件和其他类型的有害软件。
明御:APT攻击预警平台
weixin_50906078的博客
05-06 5602
APT:高级持续威胁,是一种利用先进的攻击手段对特定目标进行长期持续性的网络攻击的攻击形式。 产品介绍:APT攻击预警平台使用深度威胁检测技术,对流量进行深度解析,发现流量中的恶意攻击,提供了全面的检测和预警的功能。 本平台具备以下功能: 1、Web威胁深度检测 2、邮件威胁深度检测 3、病毒木马深度检测 4、0day攻击检测 5、异常行为分析 6、云端高级分析 感觉挺牛逼的吧!下面就了解一下检测的原理吧。 一、Web威胁深度检测 明御®APT 攻击预警平台通过对 Web 流量和应用进行深度检测,提供全面
问题总结 IDS、恶意软件、反病毒网关、APT、对称加密、非对称加密、SSL
w17791476027的博客
04-14 510
IDS入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。病毒攻击的 宿主程序是病毒的栖身地,它是病毒传播的目的地,又是下一次感染的出发点。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和有组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。:收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵,误用检测模型也称为特征检测。
信息安全-威胁防御系统-Fortinet:Fortinet
weixin_30273763的博客
08-20 207
ylbtech-信息安全-威胁防御系统-Fortinet:Fortinet Fortinet 是多层威胁防御系统的创新者和先锋。该系统能够为业务通信提供最佳安全、优秀性能和低总体占用成本。 Fortinet获奖众多的安全系统和预订服务在世界各地已经拥有多达两万余用户,包括最大型的电信运营商、服务提供商和各种规模的企业。 1.返回顶部 ...
安全技术及设备
u010025781的博客
05-15 574
信息安全是对信息和信息系统进行保护,防止未授权的访问、使用、泄露、中断、修改、破坏并以此提供保密性、完整性和可用性。 信息安全管理体系是人员、管理与技术三者的互动。在现在的安全因素中,安全的管理能力显得特别重要。在安全管理政策及策略下,再通过相关的技术手段来提高安全的能力。 安全能力可以分为四种: • Protection(防护):采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和责任性。 • Detection(检测):检查系统可能存在的脆弱性。 • Response(响应):系统遭到破坏
IDS、恶意软件、APT
weixin_50528280的博客
04-01 834
以多种途径感染合法用户计算机给予以加害的一种计算机程序。恶意软件能够以多种途径感染计算机和设备,并且会表现出多种形式,比如说病毒、蠕虫、木马等恶意软件是旨在恶意破坏网络、计算机、服务器、客户端的正常运行或对其造成损害的软件的统称APT(Advanced Persistent Threat)是指高级持续威胁,本质是针对性攻击。
天清入侵防御系统Web管理用户手册 V7.6
3. 高级威胁防护:系统具备识别和应对高级持续威胁APT)的能力,对未知威胁进行深度分析和防御。 4. 流量分析与报告:系统可以生成详细的流量分析报告,帮助管理员了解网络活动,及时发现异常行为。 5. 策略...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值