一、
1. 什么是IDS?
IDS(入侵检测系统),依照一定的安全策略,对系统的运行状态进行监视,发现各种攻击企图、过程、结果,来保证系统资源的安全(完整性、机密性、可用性)。是一个软件与硬件的组合系统。
2. IDS和防火墙有什么不同?
-
防火墙是针对黑客攻击的一种被动的防御旨在保护,IDS 则是主动出击寻找潜在的攻击者发现入侵行为;
-
防火墙是在本地网络和外部网络也就是互联网之间的一道防御屏障,IDS 是对攻击作出反击的技术;
-
防火墙只是防御为主,通过防火墙的数据便不再进行任何操作,IDS 则进行实时的检测,是防火墙的一个有力补充,形成防御闭环,可以及时、准确、全面的发现入侵,并且发现入侵行为即可做出反应,弥补了防火墙对应用层检查的缺失。
-
防火墙可以允许内部的一些主机被外部访问,IDS 则没有这些功能,只是监视和分析用户和系统活动。
3. IDS工作原理?
- 识别入侵者
- 识别入侵行为
- 检测和监视已成功的入侵
- 为对抗入侵提供信息与依据,防止时态扩大
4. IDS的主要检测方法有哪些详细说明?
-
1、误用检测:
收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与库中的记录相匹配时,系
统就认为这种行为是入侵,误用检测模型也称为特征检测 -
2、异常检测:
当某个事件与一个 已知的攻击特征(信号)相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓,当一个事件在这个轮廓以外发生,就认为是异常,IDS就会告警。
5. IDS的部署方式有哪些?
-
1、直路:直接串连进现网,可以对攻击行为进行实时防护,缺点是部署的时候需要断网,并增加了故障点。
-
2、单臂:旁挂在交换机上,不需改变现网,缺点是流量都经过一个接口,处理性能减半,另外不支持BYPASS。
-
3、旁路:通过流量镜像方式部署,不改变现网,缺点是只能检测不能进行防御。
6. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
-
1、IDS的签名的意思
签名用来描述网络入侵行为的特征,通过比较报文特征和签名来检测入侵行为。
-
2、签名过滤器的作用
签名过滤器是若干签名的集合,我们根据特定的条件如严重性、协议、威胁类型等,将IPS特征库中适用
于当前业务的签名筛选到签名过滤器中,后续就可以重点关注这些签名的防御效果。通常情况下,对于
筛选出来的这些签名,在签名过滤器中会沿用签名本身的缺省动作。特殊情况下,我们也可以在签名过
滤器中为这些签名统一设置新的动作,操作非常便捷。签名过滤器的动作分为:
- 阻断:丢弃命中签名的报文,并记录日志。
- 告警:对命中签名的报文放行,但记录日志。
- 采用签名的缺省动作,实际动作以签名的缺省动作为准。
签名过滤器的动作优先级高于签名缺省动作,当签名过滤器动作不采用缺省动作时以签名过滤器中的动作为准。
-
3、例外签名配置的作用
由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些
签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。例外签名的动作分为:
- 阻断:丢弃命中签名的报文并记录日志。
- 告警:对命中签名的报文放行,但记录日志。
- 放行:对命中签名的报文放行,且不记录日志。添加黑名单:是指丢弃命中签名的报文,阻断报文所在的数据流,记录日志,并可将报文的源地址或目的地址添加至黑名单。
二、
1. 什么是恶意软件?
任何旨在对单个计算机、服务器或计算机网络造成损害的软件。
2. 恶意软件有哪些特征?
-
1、下载特征
很多木马、后门程序间谍软件会自动连接到Internet某Web站点,下载其他的病毒文件或该病毒自身的
更新版本/其他变种。 -
2、后门特征
- 后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启 并侦听某个端口,允许远程恶意用户来对该系统进行远程操控;
- 某些情况下,病毒还会自动连接到某IRC站点某频道中,使得该频道中特定的恶意用户远程访问受感染的计算机。
-
3、信息收集特性
- QQ密码和聊天记录;
- 网络游戏帐号密码;
- 网上银行帐号密码;
- 用户网页浏览记录和上网习惯;
-
4、自身隐藏特性
多数病毒会将自身文件的属性设置为“隐藏”、“系统”和“只读”,更有一些病毒会通过修改注册表,从而修改用户对系统的文件夹访问权限、显示权限等,以使病毒更加隐蔽不易被发现。
-
5、文件感染特性
-
病毒会将恶意代码插入到系统中正常的可执行文件中,使得系统正常文件被破坏而无法运行,或使系统正常文件感染病毒而成为病毒体;
-
有的文件型病毒会感染系统中其他类型的文件。
-
Wannacry就是一种典型的文件型病毒,它分为两部分,一部分是蠕虫部分,利用windows的“永恒之蓝”漏洞进行网络传播。一部分是勒索病毒部分,当计算机感染wannacry之后,勒索病毒部分就会自动安装并且加密计算机中包括音频、图像、文档等各种类型的文件。与此同时弹出勒索框进行勒索。
-
-
6、网络攻击特性
-
木马和蠕虫病毒会修改计算机的网络设置,使该计算机无法访问网络;
-
木马和蠕虫还会向网络中其他计算机攻击、发送大量数据包以阻塞网络,甚至通过散布虚假网关地址的广播包来欺骗网络中其他计算机,从而使得整个网络瘫痪。
-
爱虫病毒是一种利用Windows outlook邮件系统传播的蠕虫病毒,将自己伪装成一封情书,邮件主题设置为“I LOVE YOU”,诱使受害者打开,由此得名。当爱虫病毒运行后迅速找到邮箱通信簿里的50个联系人再进行发送传播。传播速度非常之快,致使大量电子邮件充斥了整个网络,不仅会导致邮件服务器崩溃,也会让网络受影响变慢。从而达到攻击网络的目的。
-
3. 恶意软件的可分为那几类?
-
按照传播方式分类:
-
病毒
病毒是一种基于硬件和操作系统的程序,具有感染和破坏能力,这与病毒程序的结构有关。病毒攻击的宿主程序是病毒的栖身地,它是病毒传播的目的地,又是下一次感染的出发点。
主要传播方式:感染文件传播 -
蠕虫
蠕虫是主要通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码。一个能传染自身拷贝到另一台计算机上的程序。
主要传播方式:通过网络发送攻击数据包 -
木马
木马是攻击者通过欺骗方法在用户不知情的情况下安装的。木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成。
传播方式∶捆绑、利用网页
-
-
按照功能分类
-
后门
具有感染设备全部操作权限的恶意代码。
-
勒索
通过加密文件,敲诈用户缴纳赎金。
-
挖矿
攻击者通过向被感染设备植入挖矿工具,消耗被感染设备的计算资源进行挖矿,以获取数字货币收益的恶意代码。
-
4. 恶意软件的免杀技术有哪些?
- 修改文件特征码
- 修改内存特征码
- 行为免查杀技术
5. 反病毒技术有哪些?
-
1、单机反病毒
- 单机反病毒可以通过安装杀毒软件实现,也可以通过专业的防病毒工具实现。
-
2、网关反病毒
-
在以下场合中,通常利用反病毒特性来保证网络安全:
- 内网用户可以访问外网,且经常需要从外网下载文件。
- 内网部署的服务器经常接收外网用户上传的文件。
-
FW(防火墙)作为网关设备隔离内、外网,内网包括用户PC和服务器。内网用户可以从外网下载文件,外网用户可以上传文件到内网服务器。为了保证内网用户和服务器接收文件的安全,需要在FW上配置反病毒功能。
-
在FW上配置反病毒功能后,正常文件可以顺利进入内部网络,包含病毒的文件则会被检测出来,并被采取阻断或告警等手段进行干预。
-
6. 反病毒网关的工作原理是什么?
-
首包检测技术
通过提取PE(Portable Execute;Windows系统下可移植的执行体,包括exe、dll、“sys等文件类型)文件头部特征判断文件是否是病毒文件。提取PE文件头部数据,这些数据通常带有某些特殊操作,并且采用hash算法生成文件头部签名,与反病毒首包规则签名进行比较,若能匹配,则判定为病毒。
-
启发式检测技术
- 启发式检测是指对传输文件进行反病毒检测时,发现该文件的程序存在潜在风险,极有可能是病毒文件。比如说文件加壳(比如加密来改变自身特征码数据来躲避查杀),当这些与正常文件不一致的行为达到一定的阀值,则认为该文件是病毒。
- 启发式依靠的是"自我学习的能力",像程序员一样运用经验判断拥有某种反常行为的文件为病毒文件。
- 启发式检测的响应动作与对应协议的病毒检测的响应动作相同。启发式检测可以提升网络环境的安全性,消除安全隐患,但该功能会降低病毒检测的性能,且存在误报风险,因此系统默认情况下关闭该功能。
- 启动病毒启发式检测功能∶heuristic-detect enable 。
-
文件信誉检测技术
- 文件信誉检测是计算全文MD5,通过MD5值与文件信誉特征库匹配来进行检测。文件信誉特征库里包含了大量的知名的病毒文件的MD5值。华为在文件信誉检测技术方面主要依赖于文件信誉库静态升级更新以及与沙箱联动自学习到的动态缓存。
- 文件信誉检测依赖沙箱联动或文件信誉库。
7. 反病毒网关的工作过程是什么?
- 1、网络流量进入智能感知引擎后,首先智能感知引擎对流量进行深层分析,识别出流量对应的协议类型和文件传输的方向。
- 2、判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。
- 3、判断是否命中白名单。命中白名单后,FW将不对文件做病毒检测。
- 4、 针对域名和URL,白名单规则有以下4种匹配方式:
- 前缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的前缀是“example”就命中白名单规则。
- 后缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的后缀是“example”就命中白名单规则。
- 关键字匹配:host-text或url-text配置为“example”的形式,即只要域名或URL中包含“example”就命中白名单规则。
- 精确匹配:域名或URL必须与host-text或url-text完全一致,才能命中白名单规则。
- 5、病毒检测:智能感知引擎对符合病毒检测的文件进行特征提取,提取后的特征与病毒特征库中的特征进行匹配。如果匹配,则认为该文件为病毒文件,并按照配置文件中的响应动作进行处理。如果不匹配,则允许该文件通过。
- 6、当NGFW检测出传输文件为病毒文件时,需要进行如下处理:
- 判断该病毒文件是否命中病毒例外。如果是病毒例外,则允许该文件通过。
- 病毒例外,即病毒白名单。为了避免由于系统误报等原因造成文件传输失败等情况的发生,当用户认为已检测到的某个病毒为误报时,可以将该对应的病毒ID添加到病毒例外,使该病毒规则失效。如果检测结果命中了病毒例外,则对该文件的响应动作即为放行。
- 如果不是病毒例外,则判断该病毒文件是否命中应用例外。如果是应用例外,则按照应用例外的响应动作(放行、告警和阻断)进行处理。
- 应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上,同一协议上可以承载多种应用。
- 由于应用和协议之间存在着这样的关系,在配置响应动作时也有如下规定:
- 如果只配置协议的响应动作,则协议上承载的所有应用都继承协议的响应动作。
- 如果协议和应用都配置了响应动作,则以应用的响应动作为准。
- 如果病毒文件既没命中病毒例外,也没命中应用例外,则按照配置文件中配置的协议和传输方向对应的响应动作进行处理。
8. 反病毒网关的配置流程是什么?
- 申请并激活license
- 加载特征库
- 配置AV Profile
- 配置安全策略
- 其他配置
三、
1. 什么是APT?
- APT攻击即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。
- APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
- APT攻击是一个集合了多种常见攻击方式的综合攻击。综合多种攻击途径来尝试突破网络防御,通常是通过Web或电子邮件传递,利用应用程序或操作系统的漏洞,利用传统的网络保护机制无法提供统一的防御。除了使用多种途径,高级定向攻击还采用多个阶段穿透一个网络,然后提取有价值的信息,这使得它的攻击更不容易被发现。
2. APT 的攻击过程?
-
第一阶段:扫描探测
在APT攻击中,攻击者会花几个月甚至更长的时间对"目标"网络进行踩点,针对性地进行信息收集,目标网络环境探测,线上服务器分布情况,应用程序的弱点分析,了解业务状况,员工信息等等。
-
第二阶段:工具投送
在多数情况下,攻击者会向目标公司的员工发送邮件,诱骗其打开恶意附件,或单击一个经过伪造的恶意URL,希望利用常见软件(如Java或微软的办公软件)的0day漏洞,投送其恶意代码。一旦到位,恶意软件可能会复制自己,用微妙的改变使每个实例都看起来不一样,并伪装自己,以躲避扫描。有些会关闭防病毒扫描引擎,经过清理后重新安装,或潜伏数天或数周。恶意代码也能被携带在笔记本电脑、USB设备里,或者通过基于云的文件共享来感染一台主机,并在连接到网络时横向传播。
-
第三阶段:漏洞利用
利用漏洞,达到攻击的目的。攻击者通过投送恶意代码,并利用目标企业使用的软件中的漏洞执行自身。而如果漏洞利用成功的话,你的系统将受到感染。普通用户系统忘记打补丁是很常见的,所以他们很容易受到已知和未知的漏洞利用攻击。一般来说,通过使用零日攻击和社会工程技术,即使最新的主机也可以被感染,特别是当这个系统脱离企业网络后。
-
第四阶段:木马植入
随着漏洞利用的成功,更多的恶意软件的可执行文件——击键记录器、木马后门、密码破解和文件采集程序被下载和安装。这意味着,犯罪分子现在已经建成了进入系统的长期控制机制。
-
第五阶段:远程控制
一旦恶意软件安装,攻击者就已经从组织防御内部建立了一个控制点。攻击者最常安装的就是远程控制工具。这些远程控制工具是以反向连接模式建立的,其目的就是允许从外部控制员工电脑或服务器,即这些工具从位于中心的命令和控制服务器接受命令,然后执行命令,而不是远程得到命令。这种连接方法使其更难以检测,因为员工的机器是主动与命令和控制服务器通信而不是相反。
-
第六阶段:横向渗透
一般来说,攻击者首先突破的员工个人电脑并不是攻击者感兴趣的,它感兴趣的是组织内部其它包含重要资产的服务器,因此,攻击者将以员工个人电脑为跳板,在系统内部进行横向渗透,以攻陷更多的pc和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。
-
第七阶段:目标行动
也就是将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。在发现有价值的数据后,APT攻击者往往要将数据收集到一个文档中,然后压缩并加密该文档。此操作可以使其隐藏内容,防止遭受深度的数据包检查和DLP技术的检测和阻止。然后将数据从受害系统偷运出去到由攻击者控制的外部。大多数公司都没有针对这些恶意传输和目的地分析出站流量。那些使用工具监控出站传输的组织也只是寻找"已知的"恶意地址和受到严格监管的数据。
3. 详细说明APT的防御技术
-
目前,防御APT攻击最有效的方法就是沙箱技术,通过沙箱技术构造一个隔离的威胁检测环境,然后将网络流量送入沙箱进行隔离分析并最终给出是否存在威胁的结论。如果沙箱检测到某流量为恶意流量,则可以通知FW实施阻断。
-
针对APT攻击的防御过程如下∶
- 黑客(攻击者)向企业内网发起APT攻击,FW从网络流量中识别并提取需要进行APT检测的文件类型。
- FW将攻击流量还原成文件送入沙箱进行威胁分析。
- 沙箱通过对文件进行威胁检测,然后将检测结果返回给FW。
- FW获取检测结果后,实施相应的动作。如果沙箱分析出该文件是一种恶意攻击文件,FW则可以实施阻断操作,防止该文件进入企业内网,保护企业内网免遭攻击。
-
APT防御与反病毒的差异。
- 反病毒系统通常是将病毒文件的特征与病毒特征库进行对比来识别一个文件是否为病毒文件。这种防御方式具有一定的局限性,就是只能针对已知病毒进行防御,而无法识别未知攻击。
- APT防御机制则有别于反病毒系统。APT防御系统中的沙箱可以看做是一个模拟真实网络建造的虚拟检测系统,未知文件放入沙箱以后将会被运行,沙箱中的收集程序会记录该文件被运行以后的行为。沙箱通过将未知文件的行为和沙箱独有的行为模式库进行匹配,最后给出该程序是否为恶意程序的定性结论。沙箱的行为模式库是通过分析大量的病毒、漏洞、威胁特征,提炼出各种恶意行为的规律和模式,并形成一套判断规则,因此能提供准确的检测结果。
-
总体来看,反病毒系统是以被检测对象的特征来识别攻击对象,APT防御系统是以被检测对象的行为来识别攻击对象。
4. 什么是对称加密?
加密和解密使用的是同一个密钥,数学角度是一个双向函数。
对称加密首先要保证算法足够复杂以及密钥传输足够安全。
加密信息传递有俩个通道
- 密文传递通道
- 密钥传递通道
对称加密算法解决信息的安全传输通道
5. 什么是非对称加密?
加解密使用的密钥是不相同的,单向函数。
公钥与私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密;如果用私钥对数据进行加密,那么只有用对应的公钥才能解密。
非对称加密算法解决对称加密算法密钥的安全传输通道
非对称加密算法 速度慢 但是安全
6. 私密性的密码学应用?
身份认证:通过标识和鉴别用户身份,防止攻击者假冒合法用户来获取访问权限。
身份认证技术:在网络总确认操作者身份的过程而产生的有效解决方法。
7. 非对称加密如何解决身份认证问题?
完整性与身份认证最佳解决:对明文a进行hash运算得到定长值h,然后对h进行非对称运算用私钥加密得到值k,然后对明文a进行对称运算得到y,传输时同时传输y和k,收到后用非对称公钥解开k得到h‘,然后用对称算法解开y得到a,然后对a进行hash得到h‘‘ 如果h‘与h‘’相同,则证明完整性与身份认证。
8. 如何解决公钥身份认证问题?
公钥的“身份证”-----数字证书
- 数字证书
包含:- 用户身份信息
- 用户公钥信息
- 身份验证机构的信息及签名数据
- 数字证书分类:
- 签名证书----身份验证,不可抵赖性。
- 加密证书----加密,完整性与机密性。
9. 简述SSL工作过程
724
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
