误用检测:
收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与库中的记录相匹配时,系 统就认为这种行为是入侵,误用检测模型也称为特征检测
IDS的部署方式有哪些?
IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
IDS签名:入侵防御签名用来描述网络种存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。
签名过滤器的作用: 由于设备长时间工作,累积了大量签名,需要对其进行分类,没有价值会被过滤器过滤掉。起到筛选的作用。
例外签名作用:
就是为了更加细化的进行流量的放行,精准的控制。
恶意软件
Malware是恶意软件的缩写,正如微软公司所说的那样,“这是一个全面的术语,指的是任何旨在对计算机、服务器或计算机网络造成损害的软件。”换句话说,软件基于其预期用途被识别为恶意软件,而不是用于构建它的特定技术。
恶意代码的特征
病毒感染系统后,无疑会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出网页、
占用高
CPU
资源、自动弹出
/
关闭窗口、自动终止某些进程等各种不正常现象。
下载特征
很多木马、后门程序间谍软件会自动连接到
Internet
某
Web
站点,下载其他的病毒文件或该病毒自身的
更新版本
/
其他变种。
后门特征
后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启 并侦听某个端口,允许远程恶意用
户来对该系统进行远程操控;
某些情况下,病毒还会自动连接到某
IRC
站点某频道中,使得该频道中特定的恶意用户远程访问受
感染的计算机。
信息收集特性
QQ
密码和聊天记录;
网络游戏帐号密码;
网上银行帐号密码;
用户网页浏览记录和上网习惯;
自身隐藏特性
多数病毒会将自身文件的属性设置为
“
隐藏
”
、
“
系统
”
和
“
只读
”
,更有一些病毒会通过修改注册表,从而修
改用户对系统的文件夹访问权限、显示权限等,以使病毒更加隐蔽不易被发现。
文件感染特性
病毒会将恶意代码插入到系统中正常的可执行文件中,使得系统正常文件被破坏而无法运行,或使
系统正常文件感染病毒而成为病毒体;
有的文件型病毒会感染系统中其他类型的文件。
Wannacry
就是一种典型的文件型病毒,它分为两部分,一部分是蠕虫部分,利用
windows
的
“
永恒
之蓝
”
漏洞进行网络传播。一部分是勒索病毒部分,当计算机感染
wannacry
之后,勒索病毒部分就
会自动安装并且加密计算机中包括音频、图像、文档等各种类型的文件。与此同时弹出勒索框进行
勒索。
网络攻击特性
木马和蠕虫病毒会修改计算机的网络设置,使该计算机无法访问网络;
木马和蠕虫还会向网络中其他计算机攻击、发送大量数据包以阻塞网络,甚至通过散布虚假网关地
址的广播包来欺骗网络中其他计算机,从而使得整个网络瘫痪。
爱虫病毒是一种利用
Windows outlook
邮件系统传播的蠕虫病毒,将自己伪装成一封情书,邮件主
题设置为
“I LOVE YOU”,诱使受害者打开,由此得名。当爱虫病毒运行后迅速找到邮箱通信簿里的 50个联系人再进行发送传播。传播速度非常之快,致使大量电子邮件充斥了整个网络,不仅会导致
邮件服务器崩溃,也会让网络受影响变慢。从而达到攻击网络的目的。
恶意软件的分类
按照传播方式分类
病毒
病毒是一种基于硬件和操作系统的程序,具有感染和破坏能力,这与病毒程序的结构有关。病毒攻击的 宿主程序是病毒的栖身地,它是病毒传播的目的地,又是下一次感染的出发点。
计算机病毒感染的一般过程为: 当计算机运行染毒的宿主程序时,病毒夺取控制权; 寻找感染的突破 口; 将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似,它寄生在 宿主程序中,进入计算机并借助操作系统和宿主程序的运行,复制自身、大量繁殖。
病毒感染目标包括:硬盘系统分配表扇区
(
主引导区
)
、硬盘引导扇区、软盘引导扇区、可执行文件
(
.exe
)、命令文件(
.com
)、覆盖文件(
.ovl
)、
COMMAND
文件、
IBMBIO
文件、
IBMDOS
文件。
原理
计算机病毒感染的一般过程为: 当计算机运行染毒的宿主程序时,病毒夺取控制权; 寻找感染的突破 口; 将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似,它寄生在 宿主程序中,进入计算机并借助操作系统和宿主程序的运行,复制自身、大量繁殖。
主要传播方式∶感染文件传播
"
熊猫烧香
"
是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,它不但能感染系统中 exe,
com
,
pif
,
src
,
html
,
asp
等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为
gho 的文件。由于被其感染的文件图标会被替换成 "
熊猫烧香
"
图案,所以该病毒被称为
"
熊猫烧香
"
病毒。
蠕虫
蠕虫是主要通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码。一个能传染自身拷贝 到另一台计算机上的程序。
原理:
传播方式∶
通过网络发送攻击数据包
最初的蠕虫病毒定义是因为在
D0S
环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃 屏幕上的字母并将其改形。
永恒之蓝
:2017
年
4
月
14
日晚,黑客团体
Shadow Brokers
(影子经纪人)公布一大批网络攻击工具,其 中包含"
永恒之蓝
"
工具,
"
永恒之蓝
"
利用
Windows
系统的
SMB
漏洞可以获取系统最高权限。
5
月
12
日, 不法分子通过改造"
永恒之蓝
"
制作了
wannacry
勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高 校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。
木马
木马是攻击者通过欺骗方法在用户不知情的情况下安装的。木马系统软件一般由木马配置程序、控制程 序和木马程序(服务器程序)三部分组成。
原理:
传播过程:
黑客利用木马配置工具生成一个木马的服务端;通过各种手段如
Spam
、
Phish
、
Worm
等安装到用户终 端;利用社会工程学,
或者其它技术手段使得木马运行;木马窃取用户隐私信息发送给黑客;同时允许黑 客控制用户终端。
传播方式∶捆绑、利用网页
挂马代码的功能是在网页打开的时候,同时打开另外一个网页,当然这个网页可能包含大量的木马,也 可能仅仅是为了骗取流量。
按照功能分类
后门
具有感染设备全部操作权限的恶意代码。
典型功能∶文件管理、屏幕监控、键盘监控、视频监控、命令执行等。
典型家族∶ 灰鸽子、pCshare
勒索
通过加密文件,敲诈用户缴纳赎金。
加密特点∶
主要采用非对称加密方式
对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密
其他特点∶
通过比特币或其它虚拟货币交易
利用钓鱼邮件和爆破
rdp
口令进行传播
典型家族∶
Wannacry
、
GandCrab
、
Globelmposter
挖矿
攻击者通过向被感染设备植入挖矿工具,消耗被感染设备的计算资源进行挖矿,以获取数字货币收益的
恶意代码。特点∶
不会对感染设备的数据和系统造成破坏。
由于大量消耗设备资源,可能会对设备硬件造成损害。
恶意代码的免杀技术
恶意代码希望能顺利绕过杀毒软件与防火墙,在受害者的计算机中长期隐藏下去,并能在必要的时候向 攻击者提供有用的信息。
免杀技术又称为免杀毒(
Anti Anti- Virus
)技术,是防止恶意代码免于被杀毒设备查杀的技术。主流免 杀技术如下∶
反病毒工作原理
通过提取
PE
(
Portable Execute;Windows
系统下可移植的执行体,包括
exe
、
dll
、
“sys
等文件类型)文
件头部特征判断文件是否是病毒文件。提取
PE
文件头部数据,这些数据通常带有某些特殊操作,并且采
用
hash
算法生成文件头部签名,与反病毒首包规则签名进行比较,若能匹配,则判定为病毒。
启发式检测是指对传输文件进行反病毒检测时,发现该文件的程序存在潜在风险,极有可能是
病毒文件。比如说文件加壳(比如加密来改变自身特征码数据来躲避查杀),当这些与正常文
件不一致的行为达到一定的阀值,则认为该文件是病毒。
启发式依靠的是
"
自我学习的能力
"
,像程序员一样运用经验判断拥有某种反常行为的文件为病
毒文件。
启发式检测的响应动作与对应协议的病毒检测的响应动作相同。启发式检测可以提升网络环境
的安全性,消除安全隐患,但该功能会降低病毒检测的性能,且存在误报风险,因此系统默认
情况下关闭该功能。
启动病毒启发式检测功能∶
heuristic-detect enable
。
文件信誉检测技术
文件信誉检测是计算全文
MD5
,通过
MD5
值与文件信誉特征库匹配来进行检测。文件信誉特 征库里包含了大量的知名的病毒文件的MD5
值。华为在文件信誉检测技术方面主要依赖于文 件信誉库静态升级更新以及与沙箱联动自学习到的动态缓存。 文件信誉检测依赖沙箱联动或文件信誉库。
反病毒的基本配置思路
什么是APT?
APT攻击即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。
APT
是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的
“
恶意商业间谍威胁”
。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。
APT
的攻击手法,在于隐匿 自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情 报的行为,就是一种“网络间谍
”
的行为。
APT
攻击是
一个集合了多种常见攻击方式的综合攻击
。综合多种攻击途径来尝试突破网络防御,通常是
通过
Web
或电子邮件传递,利用应用程序或操作系统的漏洞,利用传统的网络保护机制无法提供统一的
防御.除了使用多种途径,高级定向攻击还采用多个阶段穿透一个网络,然后提取有价值的信息,这使
得它的攻击更不容易被发现。
APT的工作过程
第一阶段:扫描探测
在
APT
攻击中,攻击者会花几个月甚至更长的时间对
"
目标
"
网络进行踩点,针对性地进行信息集,目标 网络环境探测,线上服务器分布情况,应用程序的弱点分析,了解业务状况,员工信息等等。
第二阶段:工具投送
在多数情况下,攻击者会向目标公司的员工发送邮件,诱骗其打开恶意附件,或单击一个经过伪造的恶 意URL
,希望利用常见软件
(
如
Java
或微软的办公软件
)
的
0day
漏洞,投送其恶意代码。一到位,恶意软 件可能会复制自己,用微妙的改变使每个实例都看起来不一样,并伪装自己,以躲避扫描。有些会关闭 防病毒扫描引擎,经过清理后重新安装,或潜伏数天或数周。恶意代码也能被携带在笔记本电脑、USB 设备里,或者通过基于云的文件共享来感染一台主机,并在连接到网络时横向传播。
第三阶段:漏洞利用
利用漏洞,达到攻击的目的。攻击者通过投送恶意代码,并利用目标企业使用的软件中的漏洞执行自 身。而如果漏洞利用成功的话,你的系统将受到感染。普通用户系统忘记打补丁是很常见的,所以他们 很容易受到已知和未知的漏洞利用攻击。一般来说,通过使用零日攻击和社会工程技术,即使最新的主 机也可以被感染,特别是当这个系统脱离企业网络后。
第四阶段:木马植入
随着漏洞利用的成功,更多的恶意软件的可执行文件
——
击键记录器、木马后门、密码破解和文件采集 程序被下载和安装。这意味着,犯罪分子现在已经建成了进入系统的长期控制机制。
第五阶段:远程控制
一旦恶意软件安装,攻击者就已经从组织防御内部建立了一个控制点。攻击者最常安装的就是远程控制 工具。这些远程控制工具是以反向连接模式建立的,其目的就是允许从外部控制员工电脑或服务器,即 这些工具从位于中心的命令和控制服务器接受命令,然后执行命令,而不是远程得到命令。这种连接方 法使其更难以检测,因为员工的机器是主动与命令和控制服务器通信而不是相反。
第六阶段:横向渗透
一般来说,攻击者首先突破的员工个人电脑并不是攻击者感兴趣的,它感兴趣的是组织内部其它包含重 要资产的服务器,因此,攻击者将以员工个人电脑为跳板,在系统内部进行横向渗透,以攻陷更多的pc 和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。
第七阶段:目标行动
也就是将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。在发现有价值的数据后,
APT 攻击者往往要将数据收集到一个文档中,然后压缩并加密该文档。此操作可以使其隐藏内容,防止遭受 深度的数据包检查和DLP
技术的检测和阻止。然后将数据从受害系统偷运出去到由攻击者控制的外部。
大多数公司都没有针对这些恶意传输和目的地分析出站流量。那些使用工具监控出站传输的组织也只是 寻找"
已知的
"
恶意地址和受到严格监管的数据。
针对
APT
攻击的防御过程如下∶
黑客(攻击者)向企业内网发起
APT
攻击,
FW
从网络流量中识别并提取需要进行
APT
检测的
文件类型。
APT的防御技术
针对APT攻击的防御过程如下∶
- 黑客(攻击者)向企业内网发起APT攻击,FW从网络流量中识别并提取需要进行APT检测的
文件类型。
- 沙箱通过对文件进行威胁检测,然后将检测结果返回给FW。
- FW获取检测结果后,实施相应的动作。如果沙箱分析出该文件是一种恶意攻击文件,FW侧则可以实施阻断操作,防止该文件进入企业内网,保护企业内网免遭攻击。
APT防御与反病毒的差异。
- 反病毒系统通常是将病毒文件的特征与病毒特征库进行对比来识别一个文件是否为病毒文件。 这种防御方式具有一定的局限性,就是只能针对已知病毒进行防御,而无法识别未知攻击。
- APT防御机制则有别于反病毒系统。APT防御系统中的沙箱可以看做是一个模拟真实网络建造 的虚拟检测系统,未知文件放入沙箱以后将会被运行,沙箱中的收集程序会记录该文件被运行 以后的行为。沙箱通过将未知文件的行为和沙箱独有的行为模式库进行匹配,最后给出该程序 是否为恶意程序的定性结论。沙箱的行为模式库是通过分析大量的病毒、漏洞、威胁特征,提 炼出各种恶意行为的规律和模式,并形成一套判断规则,因此能提供准确的检测结果。
- 总体来看,反病毒系统是以被检测对象的特征来识别攻击对象,APT防御系统是以被检测对象的行 为来识别攻击对象。
对称加密
加解密用的是同一个密钥,数学角度是一个双向函数
对称加密首先要保证算法足够复杂以及密钥传输足够安全。
加密信息传递有俩个通道
非对称加密
机密性最佳解决 :用非对称加密算法加密对称加密算法的密钥
完整性与身份认证最佳解决:对明文
a
进行
hash
运算得到定长值
h
,然后对
h
进行非对称运算用私钥加密得到值k
,然后对明文
a
进行对称运算得到
y
,传输时同时传输
y
和
k
,收到后用非对称公钥解开
k
得到
h‘
, 然后用对称算法解开y
得到
a
,然后对
a
进行
hash
得到
h‘‘
如果
h‘
与
h‘’
相同,则证明完整性与身份认证。