目录
IDS
1、什么是IDS
2、IDS和防火墙的区别
3、IDS工作原理
4、IDS的主要检测方法有哪些详细说明?
5、IDS的部署方式有哪些?
6、 IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
恶意软件与反病毒技术
1、什么是恶意软件
2、恶意软件的特征
3、恶意软件的分类
4、恶意软件的免杀技术有哪些
5、反病毒技术有哪些?
6、反病毒网关的工作原理
7、反病毒网关的工作过程是什么?
8、反病毒网关的配置流程是什么?
ATP与密码学
1、什么是APT?
2、APT 的攻击过程
3、APT的防御技术
4、什么是对称加密?
5、非对称加密
6、私密性的密码学应用
7、非对称加密如何解决身份认证问题?
8、如何解决公钥身份认证问题
9、简述SSL工作过程
IDS
1、什么是IDS
IDS全称是:intrusion detection systems 的缩写,又称“入侵检测系统”。
对系统的运行状态进行监视,发现各种攻击企图、攻击行为、攻击结果,来保证系统资源的安全(完整性、机密性、可用性)。是一个软件与硬件的组合系统。
做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
2、IDS和防火墙的区别
首先防火墙针对的是非授权的流量进行过滤,而IDS则是针对通过了防火墙的流量进行检测(防火墙是一种被动的防御, IDS则是在主动出击寻找潜在的攻击者;)
防火墙主要进行控制(意在保护),而IDS只对于检测到的入侵行为进行告警(意在告知)
防火墙可以允许内部一些主机被外网访问,而IDS没有这些功能,IDS只负责检测
3、IDS工作原理
入侵检测可分为实时入侵检测和事后入侵检测两种。
实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的,是管理员定期或不定期进行的,不具有实时性,因此防御入侵的能力不如实时入侵检测系统。
4、IDS的主要检测方法有哪些详细说明?
入侵检测系统根据入侵检测的行为分为两种模式:异常检测和误用检测。前者先要建立一个系统访问正常行为的模型,凡是访问者不符合这个模型的行为将被断定为入侵;后者则相反,先要将所有可能发生的不利的不可接受的行为归纳建立一个模型,凡是访问者符合这个模型的行为将被断定为入侵。
5、IDS的部署方式有哪些?
- 直路:直接串连进现网,可以对攻击行为进行实时防护,缺点是部署的时候需要断网,并增加了故障点
- 单臂:旁挂在交换机上,不需改变现网,缺点是流量都经过一个接口,处理性能减半,另外不支持BYPASS
- 旁路:通过流量镜像方式部署,不改变现网,缺点是只能检测不能进行防御
旁挂:需要在部署旁挂设备上使用端口镜像的功能,把需要采集的端口流量镜像到 IDS 旁挂口。
也可以使用集线器、分光器实现流量复制。
6、 IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
IDS签名:入侵防御签名用来描述网络种存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。
签名过滤器是若干签名的集合,我们根据特定的条件如严重性、协议、威胁类型等,将IPS特征库中适用于当前业务的签名筛选到签名过滤器中,后续就可以重点关注这些签名的防御效果。通常情况下,对于筛选出来的这些签名,在签名过滤器中会沿用签名本身的缺省动作。特殊情况下,我们也可以在签名过滤器中为这些签名统一设置新的动作,操作非常便捷。
签名过滤器的作用: 由于设备长时间工作,累积了大量签名,需要对其进行分类,没有价值会被过滤器过滤掉。起到筛选的作用。
签名过滤器的动作分为:
阻断:丢弃命中签名的报文,并记录日志。
告警:对命中签名的报文放行,但记录日志。
采用签名的缺省动作,实际动作以签名的缺省动作为准。
例外签名
由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。
例外签名作用:
就是为了更加细化的进行流量的放行,精准的控制。
例外签名的动作分为:
阻断:丢弃命中签名的报文并记录日志。
告警:对命中签名的报文放行,但记录日志。
放行:对命中签名的报文放行,且不记录日志。
添加黑名单:是指丢弃命中签名的报文,阻断报文。
所在的数据流,记录日志,并可将报文的源地址或目的地址添加至黑名单。
恶意软件与反病毒技术
1、什么是恶意软件
恶意软件是任何软件故意设计造成损害到计算机、服务器、客户端或计算机网络(相比之下,软件导致无意的伤害由于一些缺陷通常被描述为一个软件错误)。各种各样的类型的恶意软件存在的,包括计算机病毒、蠕虫、特洛伊木马、勒索、间谍软件、广告软件、流氓软件和恐吓软件。
2、恶意软件的特征
病毒感染系统后,无疑会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出网页、 占用高CPU 资源、自动弹出 / 关闭窗口、自动终止某些进程等各种不正常现象。
下载特征
很多木马、后门程序间谍软件会自动连接到 Internet 某 Web 站点,下载其他的病毒文件或该病毒自身的 更新版本/ 其他变种。
后门特征
后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启 并侦听某个端口,允许远程恶意用户来对该系统进行远程操控;某些情况下,病毒还会自动连接到某IRC 站点某频道中,使得该频道中特定的恶意用户远程访问受感染的计算机。
信息收集特性
QQ 密码和聊天记录;
网络游戏帐号密码;
网上银行帐号密码;
用户网页浏览记录和上网习惯;
自身隐藏特性
多数病毒会将自身文件的属性设置为 “ 隐藏 ” 、 “ 系统 ” 和 “ 只读 ” ,更有一些病毒会通过修改注册表,从而修改用户对系统的文件夹访问权限、显示权限等,以使病毒更加隐蔽不易被发现。
文件感染特性
病毒会将恶意代码插入到系统中正常的可执行文件中,使得系统正常文件被破坏而无法运行,或使
系统正常文件感染病毒而成为病毒体; 有的文件型病毒会感染系统中其他类型的文件。
网络攻击特性
木马和蠕虫病毒会修改计算机的网络设置,使该计算机无法访问网络;
木马和蠕虫还会向网络中其他计算机攻击、发送大量数据包以阻塞网络,甚至通过散布虚假网关地
址的广播包来欺骗网络中其他计算机,从而使得整个网络瘫痪。
3、恶意软件的分类
按照转播方式分为:
(1)、病毒
病毒是一种基于硬件和操作系统的程序,具有感染和破坏能力,这与病毒程序的结构有关。病毒攻击的 宿主程序是病毒的栖身地,它是病毒传播的目的地,又是下一次感染的出发点。
原理
计算机病毒感染的一般过程为: 当计算机运行染毒的宿主程序时,病毒夺取控制权; 寻找感染的突破 口; 将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似,它寄生在 宿主程序中,进入计算机并借助操作系统和宿主程序的运行,复制自身、大量繁殖。
主要传播方式∶感染文件传播
(2)、蠕虫
蠕虫是主要通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码。一个能传染自身拷贝 到另一台计算机上的程序。
原理
(3)、木马
木马是攻击者通过欺骗方法在用户不知情的情况下安装的。木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成。
原理
按照功能分类:
(1)、后门
具有感染设备全部操作权限的恶意代码。
典型功能∶文件管理、屏幕监控、键盘监控、视频监控、命令执行等。
典型家族∶ 灰鸽子、pCshare
(2)、勒索
通过加密文件,敲诈用户缴纳赎金。
加密特点∶ 主要采用非对称加密方式 ,对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密。
其他特点∶ 通过比特币或其它虚拟货币交易 ,利用钓鱼邮件和爆破rdp 口令进行传播。
典型家族∶Wannacry、 GandCrab 、 Globelmposter
(3)、挖矿
攻击者通过向被感染设备植入挖矿工具,消耗被感染设备的计算资源进行挖矿,以获取数字货币收益的恶意代码。特点∶ 不会对感染设备的数据和系统造成破坏。 由于大量消耗设备资源,可能会对设备硬件造成损害。
4、恶意软件的免杀技术有哪些
恶意代码希望能顺利绕过杀毒软件与防火墙,在受害者的计算机中长期隐藏下去,并能在必要的时候向攻击者提供有用的信息。
免杀技术又称为免杀毒(Anti Anti- Virus )技术,是防止恶意代码免于被杀毒设备查杀的技术。主流免杀技术如下∶ 修改文件特征码 ,修改内存特征码,行为免查杀技术
5、反病毒技术有哪些?
单机反病毒
检测工具
单机反病毒可以通过安装杀毒软件实现,也可以通过专业的防病毒工具实现。
病毒检测工具用于检测病毒、木马、蠕虫等恶意代码,有些检测工具同时提供修复的功能。
杀毒软件
杀毒软件主要通过一些引擎技术来实现病毒的查杀,比如以下主流技术:
特征码技术
杀毒软件存在病毒特征库,包含了各种病毒的特征码,特征码是一段特殊的程序,从病
毒样本中抽取而来,与正常的程序不太一样。把被扫描的信息与特征库进行对比,如果 匹配到了特征库,则认为该被扫描信息为病毒。
行为查杀技术
病毒在运行的时候会有各种行为特征,比如会在系统里增加有特殊后缀的文件,监控用
户行为等,当检测到某被检测信息有这些特征行为时,则认为该被检测信息为病毒。
6、反病毒网关的工作原理
通过提取 PE ( Portable Execute;Windows 系统下可移植的执行体,包括 exe 、 dll 、 “sys 等文件类型)文件头部特征判断文件是否是病毒文件。提取PE 文件头部数据,这些数据通常带有某些特殊操作,并且采用hash 算法生成文件头部签名,与反病毒首包规则签名进行比较,若能匹配,则判定为病毒。
启发式检测是指对传输文件进行反病毒检测时,发现该文件的程序存在潜在风险,极有可能是
病毒文件。比如说文件加壳(比如加密来改变自身特征码数据来躲避查杀),当这些与正常文
件不一致的行为达到一定的阀值,则认为该文件是病毒。
启发式依靠的是 " 自我学习的能力 " ,像程序员一样运用经验判断拥有某种反常行为的文件为病
毒文件。
启发式检测的响应动作与对应协议的病毒检测的响应动作相同。启发式检测可以提升网络环境
的安全性,消除安全隐患,但该功能会降低病毒检测的性能,且存在误报风险,因此系统默认
情况下关闭该功能。
启动病毒启发式检测功能∶ heuristic-detect enable 。
文件信誉检测是计算全文MD5,通过MD5值与文件信誉特征库匹配来进行检测。文件信誉特
征库里包含了大量的知名的病毒文件的 MD5值。
文件信誉检测依赖沙箱联动或文件信誉库。
7、反病毒网关的工作过程是什么?
1. 网络流量进入智能感知引擎后,首先智能感知引擎对流量进行深层分析,识别出流量对应的协议类型和文件传输的方向。
2. 判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。
3. 判断是否命中白名单。命中白名单后, FW 将不对文件做病毒检测。
4. 针对域名和 URL ,白名单规则有以下 4 种匹配方式: 前缀匹配、后缀匹配、关键字匹配、精确匹配。
5. 病毒检测
6. 当 NGFW 检测出传输文件为病毒文件时,需要进行如下处理:
- 判断该病毒文件是否命中病毒例外。如果是病毒例外,则允许该文件通过。
- 病毒例外,即病毒白名单。为了避免由于系统误报等原因造成文件传输失败等情况的发生,当 用户认为已检测到的某个病毒为误报时,可以将该对应的病毒ID添加到病毒例外,使该病毒规则失效。如果检测结果命中了病毒例外,则对该文件的响应动作即为放行。
- 如果不是病毒例外,则判断该病毒文件是否命中应用例外。如果是应用例外,则按照应用例外 的响应动作(放行、告警和阻断)进行处理。
- 应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上,同一协议上可以承载 多种应用。
- 由于应用和协议之间存在着这样的关系,在配置响应动作时也有如下规定:
- 如果只配置协议的响应动作,则协议上承载的所有应用都继承协议的响应动作。
- 如果协议和应用都配置了响应动作,则以应用的响应动作为准。
- 如果病毒文件既没命中病毒例外,也没命中应用例外,则按照配置文件中配置的协议和传输方向对应的响应动作进行处理。
8、反病毒网关的配置流程是什么?
ATP与密码学
1、什么是APT?
APT 攻击即高级可持续威胁攻击 , 也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。
APT 攻击是一个集合了多种常见攻击方式的综合攻击。综合多种攻击途径来尝试突破网络防御,通常是 通过 Web 或电子邮件传递,利用应用程序或操作系统的漏洞,利用传统的网络保护机制无法提供统一的 防御。除了使用多种途径,高级定向攻击还采用多个阶段穿透一个网络,然后提取有价值的信息,这使 得它的攻击更不容易被发现。
2、APT 的攻击过程
- 第一阶段:扫描探测
- 第二阶段:工具投送
- 第三阶段:漏洞利用
- 第四阶段:木马植入
- 第五阶段:远程控制
- 第六阶段:横向渗透
- 第七阶段:目标行动
3、APT的防御技术
目前,防御 APT 攻击最有效的方法就是沙箱技术,通过沙箱技术构造一个隔离的威胁检测环境,然后将网络流量送入沙箱进行隔离分析并最终给出是否存在威胁的结论。如果沙箱检测到某流量为恶意流量,则可以通知FW 实施阻断。
针对APT攻击的防御过程如下∶
- 黑客(攻击者)向企业内网发起APT攻击,FW从网络流量中识别并提取需要进行APT检测的 文件类型。
- FW将攻击流量还原成文件送入沙箱进行威胁分析。
- 沙箱通过对文件进行威胁检测,然后将检测结果返回给FW。
- FW获取检测结果后,实施相应的动作。如果沙箱分析出该文件是一种恶意攻击文件,FW侧则 可以实施阻断操作,防止该文件进入企业内网,保护企业内网免遭攻击。
APT防御与反病毒的差异。
- 反病毒系统通常是将病毒文件的特征与病毒特征库进行对比来识别一个文件是否为病毒文件。 这种防御方式具有一定的局限性,就是只能针对已知病毒进行防御,而无法识别未知攻击。
- APT防御机制则有别于反病毒系统。APT防御系统中的沙箱可以看做是一个模拟真实网络建造的虚拟检测系统,未知文件放入沙箱以后将会被运行,沙箱中的收集程序会记录该文件被运行 以后的行为。沙箱通过将未知文件的行为和沙箱独有的行为模式库进行匹配,最后给出该程序 是否为恶意程序的定性结论。
- 沙箱的行为模式库是通过分析大量的病毒、漏洞、威胁特征,提 炼出各种恶意行为的规律和模式,并形成一套判断规则,因此能提供准确的检测结果。
沙箱的流程
4、什么是对称加密?
加解密用的是同一个密钥,数学角度是一个双向函数
对称加密首先要保证算法足够复杂以及密钥传输足够安全。
加密信息传递有俩个通道 :密文传递通道 、密钥传递通道。
5、非对称加密
- 对称加密算法解决信息的安全传输通道
- 非对称加密算法解决对称加密算法密钥的安全传输通道
- 对称加密 速度快 但是密钥不安全
- 非对称加密算法 速度慢 但是安全
- 最佳解决 :用非对称加密算法加密对称加密算法的密钥
6、私密性的密码学应用
身份认证:通过标识和鉴别用户身份,防止攻击者假冒合法用户来获取访问权限。
身份认证技术:在网络总确认操作者身份的过程而产生的有效解决方法。
如何确认信息的发送者一定是他本人?
发送者是 alice ,使用非对称算法,生成私钥 A ,公钥 B 。
1. alice 把公钥给 bob
2. alice 发送信息 hello , world !
3. alice 把发送的信息用对称加密算法加密到加密信息 C 。
4. alice 把发送的 hello , world !先用 hash 算法计算得到 hash 值 D 。
5. alice 把 hash 值 D 用非对称加密计算得到 E 。 E 值就是用于身份验证的。
6. alice 把 C , E 一起发给 bob 。
7. bob 收到 C,E 值,先用非对称的公钥对 E 进行解密,如果能正常解开则证明 C 值是 alice 的。
上述 1 中如果黑客偷换了 alice 的公钥,那么就会出现身份认证漏洞。
解决:
alice 把公钥给 bob 的环节能确保是安全的,一定是 alice 给的。
想办法证明 alice 的公钥一定是 alice 的。
7、非对称加密如何解决身份认证问题?
完整性与身份认证最佳解决:对明文 a 进行 hash 运算得到定长值 h ,然后对 h 进行非对称运算用私钥加密得到值k ,然后对明文 a 进行对称运算得到 y ,传输时同时传输 y 和 k ,收到后用非对称公钥解开 k 得到 h‘ ,然后用对称算法解开y 得到 a ,然后对 a 进行 hash 得到 h‘‘ 如果 h‘ 与 h‘’ 相同,则证明完整性与身份认证。
8、如何解决公钥身份认证问题
公钥的 “ 身份证 ”----- 数字证书
PKI(公开密钥体系,Public Key Infrastructure )是一种遵循标准的利用非对称加密技术为电子商务的 开展提供一套安全基础平台的技术和规范。
简单说就是利用公钥技术建立的提供安全服务的基础设施。通过第三方的可信机构, CA 认证中心把用户的公钥与用户的其他标识信息捆绑在一起放在用户证书中,在互联网上验证用户身份。
PKI 体系
PKI 是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书,核心执行者是CA 认证机构。
9、简述SSL工作过程
