本文探讨了深度包检测(DFI)和深度流检测(DPI)在数据包分析上的差异,强调了DPI的精细化和对加密数据的处理。此外,文章还介绍了入侵防御系统(IPS)的特点,包括实时阻断攻击、应用层防护和特征库升级。防病毒处理涉及应用识别、白名单和特征库比对,以及URL过滤和密码学原理的应用。
-
深度检测技术
DFI(深度包检测技术):主要针对完整的数据包(数据包分片,分段需要重组),之后对
数据包的内容进行识别。
DPI(深度流检测技术):一种基于流量行为的应用识别技术,适用于判断P2P流
量。
1.DFI仅对流量进行分析,所以,只能对应用类型进行笼统的分类,无法识别出具体的应
用;(DPI进行检测会更加精细和精准)
2.如果数据包进行加密传输,则在采用DPI方式时将不能识别具体的应用,除非有解密手段;但
是加密并不会影响数据流本身的特征,所以DFI的方式不受影响。
-
入侵防御(IPS)--- 侧重于风险控制的设备
IPS的优势:
1.实时的阻断攻击。
2.深层防护 --- 深入到应用层。
3.全方位的防护 --- IPS可以针对各种常见威胁做出及时的防御,提供全方位的防护。
4.内外兼防 --- 只要是通过设备的流量均可以进行检测,可以防止发自于内部的攻击。
5.不断升级,精准防护。
入侵检测的常用方法:1.异常检测 2.误用检测
小结:
1.在进行IPS模块检测之前,首先需要重组IP分片报文和TCP数据流(增加检测的精准性);
2.在此之后需要进行应用协议的识别,这样做主要是为了针对特定的应用进行对应精细的解
码,并深入报文提取特征;
3.最后,解析报文特征和签名(特征库里的特征)进行匹配,再根据命中与否做出对应预设的处理方案。
两种签名:
预定义签名:设备上自带的特征库,这个需要我们激活对应的License(许可证)后才能获取。这个预定义签名库激活后,设备可以通过连接华为的安全中心进行升级。
自定义签名:自己定义威胁特征
-
防病毒(AV)
传统的防病毒的方式是将文件缓存之后,再进行特征库的比对,完成检测。但因为需要缓存文件,因此将占用设备资源,并且会造成转发延迟,一些大文件可能无法缓存,所以直接放过可能造成安全风险。
病毒分类:
按恶意代码功能分类:病毒、蠕虫、木马
按传播机制分类:可移动媒体、网络共享、网络扫描、电子邮件、P2P网络
按感染对象分类:操作系统、应用程序、设备
按携带者对象分类:可执行文件、脚本、宏、引导区
防病毒处理流量
1.进行应用和协议的识别
2.判断这个协议是否支持防病毒的检测,如果不是支持的防病毒协议,则文件将直接通过。
3.进行白名单的比对。如果命中白名单,则不进行防病毒检测,可以同时进行其他模块的检测。
4.如果没有命中白名单,则进行特征库的比对。如果比对上了,需要进行后续处理;如果没有比对上,则可以直接放行。
5.如果需要进行后续处理,首先进行“病毒例外”的检测。(“病毒例外”相当于是病毒的一个白名单,如果是添加在病毒例外当中的病毒,比对上之后,将直接放通)
6.之后,进行应用例外的比对。(类似于IPS模块中的例外签名,针对例外的应用执行和整体配置不同的动作)
7.如果没有匹配上前面两种例外,则将执行整体配置的动作。
-
URL过滤
URL过滤的方法:
黑白名单 --- 如果匹配白名单,则允许该URL请求;如果匹配黑名单,则将拒绝URL请求。(白名单的优先级高于黑名单)
预定义的URL分类
1.本地缓存查询
2.远程分类服务查询:如果进行了远程的查询,则会将查询结果记录在本地的缓存中,方便后续的查询。
3.自定义的URL分类(自定义的优先级高于预定义的优先级)
注:如果远程分类服务查询也没有对应分类,则将其归类为“其他”,则按照其他的处理逻辑执行。
-
密码学
古典加密技术 --- 算法保密原则
近/现代加密技术 --- 算法公开,密钥保密
1.对称加密:
加密和解密的过程中使用的是同一把密钥。因此,对称加密所使用的算法一定是一种双向函数,是可逆的。
流加密 --- 主要是基于明文流(数据流)进行加密,在流加密中,我们需要使用的密钥是和明文流相同长度的一串密钥流。
(常见的流加密算法 --- RC4)
分组加密(块加密算法)
目前比较常用的对称加密算法 --- DES/3DES,AES(高级加密标准)
2.非对称加密:
非对称加密算法和对称加密算法的主要区别在于,对称加密算法加解密仅使用同一把密钥,而非对称加密算法,加密和解密使用的是两把不同的密钥,一把叫做公钥,另一把叫做私钥。这两把钥匙,任意一把钥匙都可以进行加密的操作,然后需要通过另外一把钥匙来进行解密。非对称加密算法使用的算法一定是不可逆的,取模运算。
(目前常用的非对称加密算法 --- RSA)
- 身份认证以及数据认证技术
对数据进行完整性校验 --- 我们会针对原始数据进行HASH运算,得到摘要值,之后发送到对端,也进行相同的运算,比对摘要值。如果摘要值相同,则数据完整;如果不同,则说明数据不完整。
我们可以使用私钥对摘要值进行加密,之后传递,这就形成了数字签名。
数字证书:
CA可信机构 --- 提供身份信息证明的第三方机构
通信双方需要完全信任这个第三方机构,然后让CA为公钥作证。因为双方都信任该CA机构,所以实现拥有这个CA机构的公钥信息。CA机构会使用自己的私钥对数据发送方的公钥和一些其他信息一起进行加密,生成数字证书。
扫一扫
557
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
