网络安全防御

1. 什么是IDS？

IDS是：入侵检测系统（intrusion detection system，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。

2. IDS和防火墙有什么不同？

IDS和防火墙的区别：防火墙是一种隔离（非授权用户在区域间）并过滤（对受保护的网络有害的流量或数据包）的设备。而IDS则是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。

3. IDS工作原理？

由图我们可以看见到保护系统有外部流量和内部流量，外部流量和内部流量都需要经过ids的检测，也可能有扫描系统，但是现在大部分的扫描系统都被集成在ids系统上了。
工作过程：
1. 识别入侵者
2. 识别入侵行为
3. 检测和监视已成功的入侵
4. 为对抗入侵提供信息与依据，防止时态扩大
当ids发现有病毒的时候，它就会通知防火墙干掉这个流量，ids起到警报和警告的作用。可以及时，准确，全面的发现入侵，弥补防火墙对应用层检查的缺失

4. IDS的主要检测方法有哪些详细说明？

1）异常检测：当某个事件与一个已知的攻击特征（信号）相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓，当一个事情在轮廓以外，就认为是异常，IDS就会告警。
特征：IDS核心是特征库（签名），符合特征库的就被干掉。
2）误用检测：收集非正常操作的行为特征，建立相关的特征库，当检测的用户或者系统行为库中的记录相匹配时，系统就默认这种行为是入侵误用检测模型也称为特征检测。

5. IDS的部署方式有哪些？

IDS产品采用的是 旁路部署方式（旁路其实可以理解一个流量终端，用到旁挂我们就需要用到镜像端口功能，将我们需要检测的流量copy到旁挂的端口） ，一般直接通过交换机的监听口进行网络报文采样，或者在需要监听的网络线路上放置侦听设备（如分光器、集线器）

6. IDS的签名是什么意思？签名过滤器有什么作用？例外签名配置作用是什么？

IDS的签名就是特征的意思，入侵防御签名用来描述网络中存在的攻击行为的特征。
签名过滤器：通俗来讲就是有一堆流量的时候，你只希望选择符合你要求的某一些流量进入，不符合要求的阻难。定义这些要求的工具，就是签名过滤器。
例外签名的配置作用：例如我们设置了很多签名，这些签名都匹配上了动作，但是某个签名有误报，就导致我们一些正常的流量无法获取，所以我们想某个签名放行，这就用到列外签名。

1. 什么是恶意软件？

Malware是恶意软件的缩写，正如微软公司所说的那样，“这是一个全面的术语，指的是任何旨在对计算机、服务器或计算机网络造成损害的软件。”换句话说，软件基于其预期用途被识别为恶意软件，而不是用于构建它的特定技术。
恶意软件是病毒、蠕虫、特洛伊木马以及其他有害计算机程序的总称，并且很早就一直存在。而恶意软件随着时间的失衡不断发展演变，黑客利用它来进行破坏并获取敏感信息。而阻止和打击恶意软件占据了信息安全专业人员的大部分工作时间。

2. 恶意软件有哪些特征？

下载特征
后门特征
信息收集特性
自身隐藏特性
文件感染特性
网络攻击特性

3. 恶意软件的可分为那几类？

按照传播方式分类
病毒
蠕虫
木马
按照功能分类
后门
勒索
挖矿

4. 恶意软件的免杀技术有哪些？

修改文件特征码
修改内存特征码
行为免查技术

5. 反病毒技术有哪些？

首包检测技术
启发式检测技术
文件信誉检测技术

6. 反病毒网关的工作原理是什么？

通过首包检测技术、启发式检测技术、文件信誉检测技术来检测带病毒的文件，然后采取阻断或警告的手段进行干预，从而保证内网用户和服务器接收文件的安全

7. 反病毒网关的工作过程是什么？

1、网络流量进入智能感知引擎后，首先智能感知引擎对流量进行深层分析，识别出流量对应的协议类型和文件传输的方向。
2、判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。
3、判断是否命中白名单。命中白名单后，FW将不对文件做病毒检测。
针对域名和URL，白名单规则有以下4种匹配方式:
前缀匹配
后缀匹配
关键字匹配
精确匹配
4、病毒检测：设备对传输文件进行特征提取，并将提取后的特征与病毒特征库中的特征进行匹配。如果匹配成功，则判定该文件为病毒文件，并送往反病毒处理模块进行处理；如果特征不匹配，则直接放行该文件
5、响应处理：设备检测出传输的文件为病毒文件后，通常有如下2种处理动作。
告警：允许病毒文件通过，同时记录病毒日志，供网络管理员分析并采取进一步措施。
阻断：禁止病毒文件通过，同时记录病毒日志，供网络管理员分析并采取进一步措施。

8. 反病毒网关的配置流程是什么？

1. 什么是APT？

APT攻击即高级可持续威胁攻击,也称为定向威胁攻击，指某组织对特定对象展开的持续有效的攻击活动。
APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。

2. APT 的攻击过程？

第一阶段：扫描探测
在APT攻击中，攻击者会花几个月甚至更长的时间对"目标"网络进行踩点，针对性地进行信息收集，目标网络环境探测，线上服务器分布情况，应用程序的弱点分析，了解业务状况，员工信息等等。
第二阶段：工具投送
在多数情况下，攻击者会向目标公司的员工发送邮件，诱骗其打开恶意附件，或单击一个经过伪造的恶意URL，希望利用常见软件(如Java或微软的办公软件)的0day漏洞，投送其恶意代码。一旦到位，恶意软
件可能会复制自己，用微妙的改变使每个实例都看起来不一样，并伪装自己，以躲避扫描。有些会关闭防病毒扫描引擎，经过清理后重新安装，或潜伏数天或数周。恶意代码也能被携带在笔记本电脑、USB设备里，或者通过基于云的文件共享来感染一台主机，并在连接到网络时横向传播。
第三阶段：漏洞利用
利用漏洞，达到攻击的目的。攻击者通过投送恶意代码，并利用目标企业使用的软件中的漏洞执行自身。而如果漏洞利用成功的话，你的系统将受到感染。普通用户系统忘记打补丁是很常见的，所以他们很容易受到已知和未知的漏洞利用攻击。一般来说，通过使用零日攻击和社会工程技术，即使最新的主机也可以被感染，特别是当这个系统脱离企业网络后。
第四阶段：木马植入
随着漏洞利用的成功，更多的恶意软件的可执行文件——击键记录器、木马后门、密码破解和文件采集程序被下载和安装。这意味着，犯罪分子现在已经建成了进入系统的长期控制机制。
第五阶段：远程控制
一旦恶意软件安装，攻击者就已经从组织防御内部建立了一个控制点。攻击者最常安装的就是远程控制工具。这些远程控制工具是以反向连接模式建立的，其目的就是允许从外部控制员工电脑或服务器，即这些工具从位于中心的命令和控制服务器接受命令，然后执行命令，而不是远程得到命令。这种连接方法使其更难以检测，因为员工的机器是主动与命令和控制服务器通信而不是相反。
第六阶段：横向渗透
一般来说，攻击者首先突破的员工个人电脑并不是攻击者感兴趣的，它感兴趣的是组织内部其它包含重要资产的服务器，因此，攻击者将以员工个人电脑为跳板，在系统内部进行横向渗透，以攻陷更多的pc
和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。
第七阶段：目标行动
也就是将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。在发现有价值的数据后，APT攻击者往往要将数据收集到一个文档中，然后压缩并加密该文档。此操作可以使其隐藏内容，防止遭受深度的数据包检查和DLP技术的检测和阻止。然后将数据从受害系统偷运出去到由攻击者控制的外部。大多数公司都没有针对这些恶意传输和目的地分析出站流量。那些使用工具监控出站传输的组织也只是寻找"已知的"恶意地址和受到严格监管的数据。

3. 详细说明APT的防御技术

随着人们对APT攻击的研究不断深入，已经出现一些有效的防御技术来对抗APT攻击，其核心思想大多是针对APT“攻击链”的某一步骤展开防御。这些技术主要包括：沙箱技术、信誉技术、异常流量分析技术、大数据分析技术等等。
1.沙箱技术
沙箱，又叫做沙盘，被认为是当前防御APT攻击的最有效技术之一。沙箱即是通过虚拟化技术形成一个模拟化的环境，同时将本地系统中的进程对象、内存、注册表等与模拟环境相互隔离，以便在这个虚拟化环境中测试和观察文件、访问等运行行为。沙箱通过重定向技术，将测试过程中生成和修改的文件定向到特定文件夹中，避免了对真是注册表、本地核心数据等的修改。当APT攻击在改虚拟环境发生时，可以及时地观察并分析其特征码，进一步防御其深入攻击。
2.信誉技术
安全信誉是对互联网资源和服务相关实体安全可信性的评估和看法。信誉技术是应用于APT攻击检测具有较好辅助功能的一项技术，通过建立信誉库，包括WEB URL信誉库、文件MD5码库、僵尸网络地址库、威胁情报库等，可以为新型病毒、木马等APT攻击的检测提供强有力的技术辅助支撑，实现网络安全设备对不良信誉资源的阻断或过滤。信誉库的充分利用，将进一步提高安全新品的安全防护能力。
3.主机漏洞防护技术
针对横向移动与内部资料进行挖掘和探测的防御，可采用主机漏洞防护技术，能侦测任何针对主机漏洞的攻击并加以拦截，进而保护未修补的主机。这类解决方案可实现档案 / 系统一致性监控，保护未套用修补程序的主机，防止已知和0day 漏洞攻击。
4.异常流量分析技术
这是一种流量检测及分析技术，其采用旁路接入方式提取流量信息，可以针对帧数、帧长、协议、端口、标识位、IP路由、物理路径、CPU/RAM消耗、宽带占用等进行监测，并基于时间、拓扑、节点等多种统计分析手段，建立流量行为轮廓和学习模型来识别流量异常情况，进而判断并识别0Day漏洞攻击等。
5.数据防泄漏技术（DLP）
针对资料外传的风险，一般可采用加密和资料外泄防护 (DLP)技术，将关键、敏感、机密的数据加密，是降低数据外泄风险的一种方法，DLP 可提供一层额外的防护来防止数据外泄。然而，这类工具通常很复杂，而且有些部署条件，例如：数据要分类，要定义政策和规则等。
6、大数据分析技术
APT攻击防御离不开大数据分析技术，无论是网络系统本身产生的大量日志数据，还是SOC安管平台产生的大量日志信息，均可以利用大数据分析技术进行大数据再分析，运用数据统计、数据挖掘、关联分析、态势分析等从记录的历史数据中发现APT攻击的痕迹，以弥补传统安全防御技术的不足。
我们熟知的APT防御产品主要针对的都是APT攻击链上的某个环节来展开防御，目前来说这是远远不够的。APT攻击防御应该是覆盖APT攻击所有环节，未来发展的趋势，是需要构建基于APT攻击链的多层次、多维度、多角度的纵深防御体系，如态势感知平台等。

4. 什么是对称加密？

也称为对称密码,是指在加密和解密时使用同一密钥得加密方式
加解密用的是同一个密钥，数学角度是一个双向函数
对称加密首先要保证算法足够复杂以及密钥传输足够安全。
加密信息传递有俩个通道
1.密文传递通道
2.密钥传递通道

5. 什么是非对称加密？

非对称加密也叫公钥密码: 使用公钥加密, 使用私钥解密

6. 私密性的密码学应用？

数据加密与身份验证

7. 非对称加密如何解决身份认证问题？

使用证书来解决

8. 如何解决公钥身份认证问题？

1.基于PKI的公钥密码体制
2.基于身份的公钥密码体制
3.基于自证明的公钥密码体制

9. 简述SSL工作过程