常见网络安全产品总结_hids和杀毒软件-CSDN博客

本文链接：https://blog.csdn.net/xiaoguaishou_2/article/details/137753332

本文探讨了杀毒软件的多功能性，包括沙盒检测和数据挖掘，以及新一代防火墙如NGFW的特点和部署注意事项。此外，文章还介绍了IPS、IDS、HIDS和WAF的区别，以及蜜罐和漏洞扫描工具SIEM在网络安全中的作用。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

杀毒软件

杀毒软件不仅仅针对计算机病毒

杀毒软件，简称AV软件，也称反恶意软件，是一种用于预防、检测和清除恶意软件的计算机程序。

防病毒软件最初是为了检测和清除计算机病毒而开发的，因此得名。然而，随着其他恶意软件的扩散，防病毒软件开始防范其他计算机威胁。特别是，现代防病毒软件可以保护用户免受恶意浏览器帮助对象(BHO)、浏览器劫持者、勒索软件、键盘记录器、后门程序、rootkit、特洛伊木马、蠕虫、恶意LSP、拨号程序、欺诈工具、广告软件和间谍软件的侵害。

一些产品还包括防范其他计算机威胁，例如受感染和恶意URL、垃圾邮件、诈骗和网络钓鱼攻击、在线身份（隐私）、网上银行攻击、社会工程技术、高级持续威胁(APT) 和僵尸网络 DDoS攻击。

防病毒引擎可以使用多种方法来识别恶意软件：

沙盒检测

一种基于特定行为的检测技术，它不是在运行时检测行为指纹，而是在虚拟环境中执行程序，记录程序执行的操作。根据记录的操作，防病毒引擎可以确定程序是否为恶意程序。

如果不是，则程序在真实环境中执行。

尽管这种技术已被证明非常有效，但鉴于其沉重和缓慢，它很少用于最终用户的防病毒解决方案。

数据挖掘技术

应用于恶意软件检测的最新方法之一。给定一系列从文件本身提取的文件特征，数据挖掘和机器学习算法用于尝试对文件的行为（恶意或良性）进行分类。

基于签名的检测

传统的防病毒软件严重依赖签名来识别恶意软件。

实质上，当恶意软件到达防病毒公司手中时，恶意软件研究人员或动态分析系统会对其进行分析。然后，一旦确定是恶意软件，就会提取文件的正确签名并将其添加到防病毒软件的签名数据库中。

尽管基于签名的方法可以有效地遏制恶意软件的爆发，但恶意软件的作者试图通过编写“寡态”、“多态”以及最近的“变形”病毒来领先于此类软件，这些病毒会对自身的某些部分或其他方式进行加密。修改自己作为一种伪装的方法，以便与字典中的病毒签名不匹配。

许多病毒从单一感染开始，通过其他攻击者的突变或改进，可以发展成数十种略有不同的毒株，称为变种。通用检测是指使用单个病毒定义检测和删除多个威胁。

例如，Vundo 木马有几个家族成员，具体取决于防病毒供应商的分类。赛门铁克将 Vundo 家族的成员分为两个不同的类别：Trojan.Vundo和Trojan.Vundo.B。

识别特定病毒是可行的，而通过通用签名或通过与现有签名的不精确匹配来检测病毒家族可能会更快。病毒研究人员发现一个家族中的所有病毒都具有独特的共同区域，因此可以创建一个单一的通用签名。这些签名通常包含不连续的代码，在差异所在的地方使用通配符。这些通配符允许扫描程序检测病毒，即使它们填充了额外的、无意义的代码。使用这种方法的检测被称为“启发式检测”。

Rootkit 检测

防病毒软件rkhunter可以尝试扫描 Rootkit。

Rootkit的是一种类型的恶意软件被设计成通过计算机系统，以获得管理级别的控制而不被发现。Rootkit 可以改变操作系统的运行方式，并且在某些情况下可以篡改防病毒程序并使其失效。Rootkit 也很难删除，在某些情况下需要完全重新安装操作系统。

杀毒软件的实时保护

实时保护、按访问扫描、后台保护、驻留防护、自动保护和其他同义词是指大多数防病毒、反间谍软件和其他反恶意软件程序提供的自动保护。这会监视计算机系统是否存在可疑活动，例如计算机病毒、间谍软件、广告软件和其他恶意对象。实时保护检测打开文件中的威胁，并在应用程序安装在设备上时实时扫描这些应用程序。插入 CD、打开电子邮件或浏览网页时，或者打开或执行计算机上已有的文件时。

下一代防火墙（NGFW）

下一代防火墙（NGFW）这是这些年经常听到的概念，抛开字面意思单从使用上来讲与传统防火墙还是有区别的，传统防火墙更多的是用访问控制，VPN，NAT等功能，但是下一代重点是在应用层安全能力，通常集成了应用控制，IPS，WAF，网关杀毒，邮件安全，沙箱，加密流量检测，安全情报，安全中心，restful API等功能。国内比较好的厂家包括华为，深信服，国外飞塔，PALO ALTO。

防火墙具备路由器功能

由于防火墙的存在，企业使用路由器也越来越少，基本上路由器有的功能防火墙都有。

以前使用路由器的过程中经常遇到这样的问题，单个业务同时发布联通和电信，会存在来回路径不一致的问题，但是防火墙由于是状态会话的机制，所以多了源进源出的能力，也就是说从哪条运营商的线路进来，就可以从哪条线路出去，这一下就解决了应用多线路发布的问题。因为防火墙经常用于应用发布，随之相应的安全能力就要求提高，所以也可能是为啥没有下一代路由器，而有下一代防火墙的原因吧。

基于状态的防火墙

现在防火墙基本都是状态防火墙，什么意思呢，就是防火墙会根据每一个流量的五元组（源IP，源端口，目标IP，目标端口，协议）创建一个会话，会话作为一种状态，是阻断还是允许，状态有生存时间，如果流量持续流动，那么这个状态会持续的刷新。

这种机制很好的保证了安全性的同时提高了处理性能，同时也优化了管理员策略的管理

如果不是状态防火墙，用户如果需要访问某个应用，开策略时除了允许用户访问应用的策略，还需开启应用主动访问用户的策略，这给维护带来了很大的麻烦。过去许多网络管理员都使用cli来维护设备，但是防火墙基本不需要cli，web可以完成全部的功能操作，也正是如此，所以管理员无须去记那些生硬的命令，只需把专注力停留于防火墙的功能防护上。

部署下一代防火墙的注意点

首先评估好需要的功能，因为下一代防火墙的功能实在是丰富，可能许多功能用户并不需要。例如邮件安全，文件杀毒，沙箱这些其实通过防火墙来做效果并不太好，规模较大的企业也会有独立的安全设备来满足这类需求，因此只需要买合适的，推荐使用IPS，实际在使用中发现防火墙的IPS比专业的IPS库少，但是更稳定，很少会导致业务异常的情况，维护起来也较为简单，另外应用控制也是个不错的功能，例如以前开RDP协议，可能就是开个3389端口，但是在应用层防火墙上可以单独加个WindowsRDP应用，这样就可以避免端口伪造其它应用。
其次评估好需要保护的流量大小，来选择购买合适的防火墙，通常下一代防火墙有应用层吞吐量（网络接口的上下行带宽总和）的指标，所以购买时应跟渠道确认好性能是否满足。
尽可能使用bypass 卡，防止业务中断。
配备SSD 来存储防火墙的log，如果没有也尽可能将防火墙的log存入日志服务器，这对出问题时的排查是至关重要的。
配置策略时尽可能是权限最小化原则，单向原则，策略应设定相应的有效期，备注描述。
目前大部分支持restful 接口，可以基于此做策略开通的自动化，省去了人为的操作。

IPS 入侵防御系统

简介

入侵防御系统（IPS）是一种网络安全/威胁防御技术，用于检查网络流量流向检测和防止漏洞攻击。

漏洞利用通常以恶意输入目标应用程序或服务的形式出现，攻击者利用这些输入中断并控制应用程序或机器。成功利用后，攻击者可以禁用目标应用程序（导致拒绝服务状态），或者可以访问受感染应用程序可用的所有权利和权限。

如何发现漏洞利用

IPS 有多种检测方法用于发现漏洞利用，基于签名的检测和基于统计异常的检测是两种主要机制。

一、基于签名的检测

基于每个漏洞利用代码中唯一可识别模式（或签名）的字典。当漏洞被发现时，其签名会被记录并存储在不断增长的签名字典中。IPS 的签名检测分为两种类型：

面向漏洞利用的签名通过触发特定漏洞利用尝试的独特模式来识别单个漏洞利用。IPS 可以通过在流量流中找到与面向漏洞利用的签名匹配来识别特定的漏洞利用
面向漏洞的签名是更广泛的签名，针对目标系统中的潜在漏洞。这些签名可以保护网络免受在野外可能未直接观察到的漏洞利用变体的影响，但也会增加误报的风险。

二、统计异常检测

随机抽取网络流量样本，并将它们与预先计算的基线性能水平进行比较。当网络流量活动样本超出基准性能参数时，IPS 会采取行动来处理这种情况。

工作机制

IPS 通常直接位于防火墙后面，并提供一个补充分析层，对危险内容进行负面选择。与其前身入侵检测系统 (IDS)不同，入侵检测系统(IDS) 是一种扫描流量并报告威胁的被动系统，IPS 被置于内联（在源和目标之间的直接通信路径中），主动分析所有进入网络的流量。具体而言，这些行动包括：

向管理员发送警报
丢弃恶意数据包
阻止来自源地址的流量
重置连接

性能要求

IPS为内联安全组件，IPS 必须高效工作以避免降低网络性能。它还必须快速运行，因为漏洞可以近乎实时地发生。IPS 还必须准确检测和响应，以消除威胁和误报（将合法数据包误读为威胁）。

IDS 入侵检测系统

简介

入侵检测系统（IDS）是一种网络安全技术，最初用于检测针对目标应用程序或计算机漏洞的攻击。入侵防御系统 (IPS) 扩展了 IDS 解决方案，除了检测威胁外，还增加了阻止威胁的能力，并已成为 IDS/IPS 技术的主要部署选项。

IDS如何检测入侵

IDS 只需要检测威胁，因此被放置在网络基础设施的带外，这意味着它不在信息发送方和接收方之间真正的实时通信路径中。IDS 解决方案通常会利用 TAP 或 SPAN 端口来分析内联流量流的副本（从而确保 IDS 不会影响内联网络性能）。

IDS 最初是以这种方式开发的，因为当时入侵检测所需的分析深度无法与网络基础设施直接通信路径上的组件保持同步。

IDS工作机制

IDS 是一个只听设备。IDS 监控流量并将其结果报告给管理员，但无法自动采取行动来防止检测到的漏洞接管系统。攻击者一旦进入网络，就能够非常迅速地利用漏洞，这使得 IDS 不足以作为防御设备的部署。

IPS vs IDS 区别

入侵防御系统IPS

在网络基础设施中的放置：直接通信线路的一部分（内联）

系统类型：主动（监控和自动防御）和/或被动被动（监视和通知）

漏洞利用的签名：面向漏洞的签名

入侵检测系统IDS

部署位置：外部直接通信线路（带外）

系统类型：基于统计异常的检测

HIDS 主机入侵检测系统

简介

HIDS(Host-based Intrusion Detection System)主机入侵检测系统。这不是一个新名词，很早之前其实就有这个产品，这是一种在服务器上运行的软件，用于检测服务器是否被入侵的安全软件，不同于IPS，WAF类产品，它直接面向系统和应用，因此在检测的准确性是明显高于其它网络设备。

HIDS目前可以实现对恶意命令，RCE，反弹shell，蜜罐诱捕，恶意DNS请求，恶意网络连接，暴力破解，异常登录，病毒，webshell，木马，rootkit，挖矿程序，黑客工具，文件篡改，本地提权，恶意网络连接进行识别。

HIDS工作机制

HIDS 不进行阻断，只是检测并告警，所以部署时对应用影响也相对较小。

HIDS与杀毒软件的区别

与杀毒软件相比，它是用于识别黑客的各类行为的，这与杀毒软件基于库识别病毒文件有着本质区别。所以很多时候杀毒软件无法识别时，HIDS可以识别。开源产品有OSSEC和WAZUH。

WAF WEB应用防火墙

简介

WEB应用防火墙 (WAF) 旨在提供7层应用层级别的防护，主要是对web类型的应用的保护，好比web应用的贴身保镖，waf的安全能力是强大的，可对SQL注入、XSS跨站、CSRF，获取敏感信息、利用开源组件漏洞，暴力破解，爬虫，0day，webshell 进行防护。

WAF是一道位于应用层的防线，能够理解和分析HTTP流量，并在数据达到服务器之前预先拦截恶意请求。

如何判断恶意流量

WAF通过一系列的策略、规则和过滤机制来区分和阻止恶意流量，同时允许安全流量通过。它能够识别和拦截诸如SQL注入、跨站脚本（XSS）、文件包含、无效的用户输入等安全威胁，以下是WAF如何判断流量性质的几种方法：

签名基础检测：WAF使用签名（已知的攻击模式和恶意负载的特征）来识别已知攻击。这类似于杀毒软件的方式，WAF会将流过的请求与恶意请求的数据库进行比对，一旦发现匹配，该请求就被标识为恶意的并被阻止。
异常检测：通过设置正常Web应用流量的基线（比如正常请求的速率、用户通常的行为等），WAF能够检测到异常行为。这种方法依赖于统计分析，一旦流量行为偏离了既定的正常模式，WAF可能会将其视为潜在的攻击。
IP声誉和地理位置过滤：WAF可能会参考IP地址的声誉数据库，拦截来自已知为恶意源或位于特定国家/地区的请求。IP声誉列表经常更新，以确保由于新发现的攻击活动而封禁或解封IP。
行为分析：通过分析用户的行为模式，WAF可以识别出不寻常或潜在恶意的行为。例如，如果一个IP地址在很短的时间内提交了大量的登录请求，WAF可能会识别这一行为是暴力破解攻击的迹象，并对该流量采取行动。
HTTP协议验证：WAF会对进入的HTTP请求进行严格的协议检查，确保它们遵守HTTP协议的标准。任何显著违反协议规范的请求都有可能被视为恶意的。
自定义规则和策略：为了迎合特定Web应用的保护需求，WAF允许管理员定义自己的安全规则和策略。这些规则可以基于字符串匹配、正则表达式或特定的请求属性（如头部、URI、参数等）来识别和拦截攻击。