网络安全-终端安全检测和防御技术

终端面临的风险

1. 敏感信息窃取
2. 被当做跳板对其它服务发起攻击
3. 被抓成肉鸡组成僵尸网络（渗透、监视、窃取）
4. APT高级可持续性威胁攻击

安全检测与防御技术

• 针对异常流量、异常服务进行控制
  深度数据包检测
• 控制策略
  1.基于应用：匹配数据包特征来过滤，需要一定量的包通过才能判断出应用类型，延迟高但更加精确
  2.基于服务：匹配数据包的五元组，响应快，消耗资源少
  3.基于web控制：URL过滤，文件上传过滤，上网行为判断等
  

网关杀毒技术

什么是计算机病毒？

计算机病毒是 一段能够破坏计算机功能或毁坏数据并且能进行自我复制的代码或指令。（并且一般存在于其它应用之中）
病毒特征：

隐蔽性、破坏性、潜伏性、繁殖性、传染性、不可预见性

木马：与病毒类似，但是一般不具备自我复制能力，而且多为单独存在

杀毒防御产品由最初的单机版杀毒软件发展到网络版杀毒软件，最后到目前所应用的杀毒软件+杀毒网关的部署

网关杀毒的优势：

1. 基于应用层过滤病毒
2. 过滤出入网关的数据
3. 网关阻断病毒传播，主动防御外网
4. 部署简单、管理方便、维护成本低
5. 与杀毒软件联动，建立多层防护

**网关杀毒实现方式：**基于特征库进行匹配
匹配又分为 代理扫描 和 流扫描 两种方式

代理扫描：数据交给网关自身的协议栈从而缓存文件，再送入病毒检测引擎进行检测。
具有速度慢，延迟高，识别能力强的特点。

流扫描：对数据流进行特征识别，依赖于状态检测技术和协议解析技术，简单提取文件的特征和本地签名库匹配。
具有速度快，延迟低，无法识别加压加壳的病毒的特点

僵尸网络检测与防护

僵尸网络：由大批肉鸡/僵尸主机组成的网络。
传统防毒墙和杀毒软件查杀病毒木马的效果有限，在APT攻击场景下，传统防毒墙和杀毒软件更是形同虚设。

所以需要一种事后检测机制用于发现和定位受感染的机器并孤立起来，同时也要让记录的日志具有较高的可追溯性。

1.当外网渗透攻击第一台内网主机时，进行更深层次的数据识别，通过加强访问控制、病毒查杀等手段阻止内网终端被攻击
2.当内网感染主机和CC服务器建立间接时，检测内网主机主动发起的TCP连接，判断目标URL是否为CC服务器或者恶意服务器
3.CC服务器下发指令给感染主机，在内网扩散时，对内网主机间异常流量进行检测和控制
4.CC服务器控制僵尸网络时（进行DDOS攻击、挖矿等），对内网向外网发起的DDOS攻击进行检测和拦截