文章目录
总结
1.什么是IDS
入侵检测系统
2.IDS与防火墙有什么区别
1、防火墙是针对黑客攻击的一种被动的防御,旨在保护;
IDS则是主动出击寻找潜在的攻击者,发现入侵行为。
3、防火墙是设置在**保护网络(本地网络)和外部网络(主要是Internet)**之间的一道防御系统。
3、防火墙只是防御为主,通过防火墙的数据便不再进行任何操作,
IDS则进行实时的检测,发现入侵行为即可做出反应,是对防火墙弱点的修补;
4、防火墙可以允许内部的一些主机被外部访问,
IDS则没有这些功能,只是监视和分析用户和系统活动。
3.IDS工作原理–6.签名过滤 在上一篇
4.什么是恶意软件
恶意软件是病毒、蠕虫、特洛伊木马以及其他有害计算机程序的总称,并且很早就一直存在。而恶意软件随着时间的失衡不断发展演变,黑客利用它来进行破坏并获取敏感信息。而阻止和打击恶意软件占据了信息安全专业人员的大部分工作时间
5.恶意软件特征及分类
病毒感染系统后,无疑会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出网页、占用高CPU资源、自动弹出/关闭窗口、自动终止某些进程等各种不正常现象
这意味着,恶意软件和病毒之间的区别是一个问题:一个病毒就是一种恶意软件,所以所有的病毒都是恶意软件(但不是每一个恶意软件都是病毒)。
还有许多不同的方法可以对恶意软件进行分类:首先是恶意软件的传播方式。人们可能已经听说过病毒、木马和蠕虫这几个词可以互换使用,但正如安全厂商赛门铁克公司所解释的那样,它们描述了恶意软件感染目标计算机的三种微妙的不同方式:
•蠕虫是一种独立的恶意软件,可以自我复制,并从一台计算机传播到另一台计算机。
•病毒是一段计算机代码,它将自身植入另一个独立程序的代码中,然后强制该程序采取恶意行为并自行传播。
•木马是一种恶意程序,它不能自我复制,但会伪装成用户想要的东西,并诱使激活,以便造成破坏和传播。
恶意软件也可以由攻击者手动操作安装在计算机上,其方法是获取对计算机的物理访问权限或使用权限提升来获取远程管理员访问权限。
对恶意软件进行分类的另一种方法是,一旦它成功感染了受害者的计算机,它就会肆无忌惮实施破坏行为
6.恶意代码的免杀技术
恶意代码希望能顺利绕过杀毒软件与防火墙,在受害者的计算机中长期隐藏下去,并能在必要的时候向
攻击者提供有用的信息。
免杀技术又称为免杀毒(Anti Anti- Virus)技术,是防止恶意代码免于被杀毒设备查杀的技术。主流免
杀技术如下∶
修改文件特征码
修改内存特征码
行为免查杀技术
7.反病毒技术
在以下场合中,通常利用反病毒特性来保证网络安全:
内网用户可以访问外网,且经常需要从外网下载文件。
内网部署的服务器经常接收外网用户上传的文件。
FW作为网关设备隔离内、外网,内网包括用户PC和服务器。内网用户可以从外网下载文件,外网用户可以上传文件到内网服务器。为了保证内网用户和服务器接收文件的安全,需要在FW上配置反病毒功能。
在FW上配置反病毒功能后,正常文件可以顺利进入内部网络,包含病毒的文件则会被检测出来,并被采取阻断或告警等手段进行干预
8.反病毒网关工作原理
首包检测技术
通过提取PE(Portable Execute;Windows系统下可移植的执行体,包括exe、dll、“sys等文件类型)文
件头部特征判断文件是否是病毒文件。提取PE文件头部数据,这些数据通常带有某些特殊操作,并且采
用hash算法生成文件头部签名,与反病毒首包规则签名进行比较,若能匹配,则判定为病毒。
启发式检测技术
启发式检测是指对传输文件进行反病毒检测时,发现该文件的程序存在潜在风险,极有可能是
病毒文件。比如说文件加壳(比如加密来改变自身特征码数据来躲避查杀),当这些与正常文
件不一致的行为达到一定的阀值,则认为该文件是病毒。
启发式依靠的是"自我学习的能力",像程序员一样运用经验判断拥有某种反常行为的文件为病毒文件。
启发式检测的响应动作与对应协议的病毒检测的响应动作相同。启发式检测可以提升网络环境的安全性,消除安全隐患,但该功能会降低病毒检测的性能,且存在误报风险,因此系统默认情况下关闭该功能。
启动病毒启发式检测功能∶heuristic-detect enable 。
文件信誉检测技术
文件信誉检测是计算全文MD5,通过MD5值与文件信誉特征库匹配来进行检测。文件信誉特征库里包含了大量的知名的病毒文件的MD5值。华为在文件信誉检测技术方面主要依赖于文件信誉库静态升级更新以及与沙箱联动自学习到的动态缓存。
文件信誉检测依赖沙箱联动或文件信誉库。
9.反病毒网关的工作过程
- 网络流量进入智能感知引擎后,首先智能感知引擎对流量进行深层分析,识别出流量对应的协议类
型和文件传输的方向。 - 判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。
NGFW支持对使用以下协议传输的文件进行病毒检测。
FTP(File Transfer Protocol):文件传输协议
HTTP(Hypertext Transfer Protocol):超文本传输协议
POP3(Post Office Protocol - Version 3):邮局协议的第3个版本
SMTP(Simple Mail Transfer Protocol):简单邮件传输协议
IMAP(Internet Message Access Protocol):因特网信息访问协议
NFS(Network File System):网络文件系统
SMB(Server Message Block):文件共享服务器
NGFW支持对不同传输方向上的文件进行病毒检测。
上传:指客户端向服务器发送文件。
下载:指服务器向客户端发送文件。 - 判断是否命中白名单。命中白名单后,FW将不对文件做病毒检测。
白名单由白名单规则组成,管理员可以为信任的域名、URL、IP地址或IP地址段配置白名单规则,以此提高反病毒的检测效率。白名单规则的生效范围仅限于所在的反病毒配置文件,每个反病毒配置文件都拥有自己的白名单。 - 针对域名和URL,白名单规则有以下4种匹配方式:
前缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的前缀是“example”就命中白名单规则。
后缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的后缀是“example”就命中白名单规则。
关键字匹配:host-text或url-text配置为“example”的形式,即只要域名或URL中包含“example”就命中白名单规则。
精确匹配:域名或URL必须与host-text或url-text完全一致,才能命中白名单规则。 - 病毒检测:
智能感知引擎对符合病毒检测的文件进行特征提取,提取后的特征与病毒特征库中的特征进行匹配。如果匹配,则认为该文件为病毒文件,并按照配置文件中的响应动作进行处理。如果不匹配,则允许该文件通过。当开启联动检测功能时,对于未命中病毒特征库的文件还可以上送沙箱进行深度检测。如果沙箱检测到恶意文件,则将恶意文件的文件特征发送给FW,FW将此恶意文件的特征保存到联动检测缓存。下次再检测到该恶意文件时,则按照配置文件中的响应动作进行处理。
病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。该特征库对各种常见的病毒特征进行了定义,同时为每种病毒特征都分配了一个唯一的病毒ID。当设备加载病毒特征库后,即可识别出特征库里已经定义过的病毒。同时,为了能够及时识别出最新的病毒,设备上的病毒特征库需要不断地从安全中心平台(sec.huawei.com)进行升级。 - 当NGFW检测出传输文件为病毒文件时,需要进行如下处理:
判断该病毒文件是否命中病毒例外。如果是病毒例外,则允许该文件通过。
病毒例外,即病毒白名单。为了避免由于系统误报等原因造成文件传输失败等情况的发生,当用户认为已检测到的某个病毒为误报时,可以将该对应的病毒ID添加到病毒例外,使该病毒规则失效。如果检测结果命中了病毒例外,则对该文件的响应动作即为放行。
如果不是病毒例外,则判断该病毒文件是否命中应用例外。如果是应用例外,则按照应用例外的响应动作(放行、告警和阻断)进行处理。
应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上,同一协议上可以承载多种应用。
由于应用和协议之间存在着这样的关系,在配置响应动作时也有如下规定:
如果只配置协议的响应动作,则协议上承载的所有应用都继承协议的响应动作。
如果协议和应用都配置了响应动作,则以应用的响应动作为准。
如果病毒文件既没命中病毒例外,也没命中应用例外,则按照配置文件中配置的协议和传输方向对应的响应动作进行处理。
10.反病毒网关的配置过程
1.什么是APT
APT攻击即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。
APT攻击是一个集合了多种常见攻击方式的综合攻击。综合多种攻击途径来尝试突破网络防御,通常是通过web或电子邮件传递,利用应用程序或操作系统的漏洞,利用传统的网络保护机制无法提供统一的防御。除了使用多种途径,高级定向攻击还采用多个阶段穿透一个网络,然后提取有价值的信息,这使得它的攻击更不容易被发现
2.APT的攻击过程
第一阶段:扫描探测
在APT攻击中,攻击者会花几个月甚至更长时间对“目标”网络进行踩点,针对性的进行信息收集,目标网络环境探测,线上服务器分布情况,应用程序的弱点分析,了解业务状况,员工信息等。
第二阶段:工具投送
在多数情况下攻击者会向目标公司的员工发送邮件,诱骗其打开恶意附件,或单击一个经过伪造的恶意URL,希望利用常见软件(如java或微软的办公软件)的okay漏洞,投送其恶意代码。一旦到位,恶意软件可能会复制自己,用微妙的改变使每个实例都看起来不一样,并伪装自己,以躲避扫描。有些会关闭防病毒扫描引擎,经过清理后重新安装,或潜伏数天或数周恶意代码也能被携带在笔记本电脑、USB
设备里,或者通过基于云的文件共享来感染一台主机,并在连接到网络时横向传播
第三阶段:漏洞利用
利用漏洞达到攻击的目的,攻击者通过投送恶意代码,并利用目标企业使用的软件中的漏洞执行自身。而如果漏洞利用成功的话,你的系统将受到感染。普通用户系统忘记打补丁是常见的,所以他们很容易受到已知和未知的漏洞利用攻击。
第四阶段:木马植入
随着漏洞利用的成功,更多的恶意软件的可执行文件–击键记录器、木马后门、密码破解和文件采集程序被下载和安装。
第五阶段:远程控制
一旦恶意软件安装,攻击者就已经从组织防御内部建立了一个控制点。攻击者最常安装的就是远程控制工具。这些远程控制工具是以反向连接模式建立的,其目的就是允许从外部控制员工电脑或服务器,即这些工具从位于中心的命令和控制服务器接受命令,然后执行命令,而不是远程得到命令
第六阶段:横向渗透
一般来说,攻击者首先突破的员工个人电脑并不是攻击者感兴趣的,他感兴趣的是组织内部的其他包含重要资产的服务器,因此,攻击者将以员工个人电脑为跳板,在系统内部进行横向渗透,以攻陷更多的pc和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。
第七阶段:目标行动
也就是将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。在发现有价值的数据后,APT攻击者往往要将数据收集到一个文档中,然后压缩并加密该文档
3.APT的防御
目前,防御APT攻击最有效的方法就是沙箱技术,通过沙箱技术构造一个隔离的威胁检测环境,然后将网络流量送入沙箱进行隔离分析并最终给出是否存在威胁的结论。如果沙箱检测到某流量为恶意流量,则可以通过FW实施阻断。
针对APT攻击的防御过程如下:
黑客(攻击者)向企业内网发起APT攻击,FW从网络流量中识别并提取需要进行APT检测的文件类型。
FW将攻击流量还原成文件送入沙箱进行威胁分析。
沙箱通过对文件进行威胁检测,然后将检测结果返回给FW。
FW获取检测结果后,实施相应的动作。如果沙箱分析出该文件是一种恶意攻击文件,FW侧则可以实施阻断操作,防止该文件进入企业内网,保护企业内网免遭攻击
APT防御与反病毒的差异:
反病毒系统通常是将病毒文件的特征与病毒特征库进行对比来识别一个文件是否为病毒文件。这种防御方式具有一定的局限性,就是只能针对已知病毒进行防御,而无法识别未知攻击。
APT防御机制有别于反病毒系统。APT防御系统中的沙箱可以看作是一个模拟真实网络建造的虚拟检测系统,未知文件放入沙箱以后将会被运行,沙箱中的收集程序会记录该文件被运行以后的行为
总体来看,反病毒系统是以被检测对象的特征来识别攻击对象,APT防御系统是以被检测对象的行为来识别攻击对象
密码学
密码学之与信息传输–在不安全的环境下建立安全输出通道
密码–明文–>算法+密钥–>密文
密码的分类
对称加密
加解密用的是同一个密钥,数学角度是一个双向函数
对称加密首先要保证算法足够复杂以及密钥传输足够安全。
加密信息传递有两个通道:
密文传递通道
密钥传递通道
在互联网时代我们希望能够在网上公开途径传输密钥
非对称加密
diff和hellmen DH算法 开创了非对称加密算法
加解密使用的密钥是不相同的,公钥和私钥,也叫公钥加密技术
单向函数 模运算 mod
DH算法解决了在公共场合密钥安全传递问题
对称加密算法解决信息的安全传输通道
非对称加密算法解决对称加密算法密钥的安全传输通道
对称加密 速度快 但是密钥不安全
非对称加密算法 速度慢 但是安全
最佳解决:用非对称加密算法加密对称加密算法的密钥
密码学的应用
身份认证技术的应用
身份认证:通过标识和鉴别用户身份,防止攻击者假冒合法用户来获取访问权限。
身份认证技术:在网络总确认操作者身份的过程而产生的有效解决方法。
解决公钥身份认证问题
A把公钥给B的环节能确保是安全的,一定是A给的
想办法证明A的公钥一定是A的
公钥的身份认证----数字证书
SSL协议分析
无客户端认证的握手过程
有客户端认证的握手过程
会话恢复过程
SSL协议的细节
协议位置
体系结构
SSL的两个概念
SSL连接(connection)一个连接是一个提供一种合适类型服务的传输(OSI分层的定义)。SSL的连接是点对点的关系。连接是暂时的,每一个连接和一个会话关联
SSL会话(session)一个SSL会话是在客户与服务器之间的一个关联。会话由Handshake Protocol创建。会话定义了一组可供多个连接共享的密码安全参数。会话用以避免为每一个连接提供新的安全参数所需昂贵的协商代价
997
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
