目录
一、IDS
1. 什么是IDS?
2. IDS和防火墙有什么不同?
3. IDS工作原理?
4. IDS的主要检测方法有哪些详细说明?
5. IDS的部署方式有哪些?
6. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
二、恶意软件和代码
1. 什么是恶意软件?
2. 恶意代码有哪些特征?
3. 恶意软件的可分为那几类?
4. 恶意软件的免杀技术有哪些?
5. 反病毒技术有哪些?
6. 反病毒网关的工作原理是什么?
7. 反病毒网关的工作过程是什么?
8. 反病毒网关的配置流程是什么?
三、APT和加密方法
1. 什么是APT?
2. APT 的攻击过程?
3. 详细说明APT的防御技术
4. 什么是对称加密?
5. 什么是非对称加密?
6. 私密性的密码学应用?
7. 非对称加密如何解决身份认证问题?
8. 如何解决公钥身份认证问题?
9. 简述SSL工作过程?
IDS全称是:intrusion detection systems 的缩写,又称“入侵检测系统”。
对系统的运行状态进行监视,发现各种攻击企图、攻击行为、攻击结果,来保证系统资源的安全(完整性、机密性、可用性)。是一个软件与硬件的组合系统。
做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
首先防火墙针对的是非授权的流量进行过滤,而IDS则是针对通过了防火墙的流量进行检测(防火墙是一种被动的防御, IDS则是在主动出击寻找潜在的攻击者;)
防火墙主要进行控制(意在保护),而IDS只对于检测到的入侵行为进行告警(意在告知)
防火墙可以允许内部一些主机被外网访问,而IDS没有这些功能,IDS只负责检测
入侵检测系统根据入侵检测的行为分为两种模式:异常检测和误用检测。前者先要建立一个系统访问正常行为的模型,凡是访问者不符合这个模型的行为将被断定为入侵;后者则相反,先要将所有可能发生的不利的不可接受的行为归纳建立一个模型,凡是访问者符合这个模型的行为将被断定为入侵。
旁挂:需要在部署旁挂设备上使用端口镜像的功能,把需要采集的端口流量镜像到IDS旁挂口。 也可以使用集线器、分光器实现流量复制。
IDS签名:入侵防御签名用来描述网络种存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。
签名过滤器的作用: 由于设备长时间工作,累积了大量签名,需要对其进行分类,没有价值会被过滤器过滤掉。起到筛选的作用。
例外签名作用:
就是为了更加细化的进行流量的放行,精准的控制。
恶意软件是旨在恶意破坏网络、计算机、服务器、客户端的正常运行或对其造成损害的软件的统称
按照传播方式分类
病毒
病毒是一种基于硬件和操作系统的程序,具有感染和破坏能力,这与病毒程序的结构有关。病毒攻击的 宿主程序是病毒的栖身地,它是病毒传播的目的地,又是下一次感染的出发点。
原理 计算机病毒感染的一般过程为: 当计算机运行染毒的宿主程序时,病毒夺取控制权; 寻找感染的突破 口; 将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似,它寄生在 宿主程序中,进入计算机并借助操作系统和宿主程序的运行,复制自身、大量繁殖。
病毒感染目标包括:硬盘系统分配表扇区(主引导区)、硬盘引导扇区、软盘引导扇区、可执行文件 (.exe)、命令文件(.com)、覆盖文件(.ovl)、COMMAND文件、IBMBIO文件、IBMDOS文件。
例如:熊猫烧香"熊猫烧香" 是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,它不但能感染系统中 exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho 的文件。由于被其感染的文件图标会被替换成 "熊猫烧香"图案,所以该病毒被称为"熊猫烧香"病毒。
蠕虫
蠕虫是主要通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码。一个能传染自身拷贝 到另一台计算机上的程序。
例如:永恒之蓝:2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其 中包含"永恒之蓝"工具,"永恒之蓝"利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日, 不法分子通过改造"永恒之蓝"制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高 校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。
木马
木马是攻击者通过欺骗方法在用户不知情的情况下安装的。木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成。
传播过程: 黑客利用木马配置工具生成一个木马的服务端;通过各种手段如Spam、Phish、Worm等安装到用户终 端;利用社会工程学,或者其它技术手段使得木马运行;木马窃取用户隐私信息发送给黑客;同时允许黑 客控制用户终端。
传播方式∶捆绑、利用网页
按照功能分类
后门
具有感染设备全部操作权限的恶意代码。
典型功能∶文件管理、屏幕监控、键盘监控、视频监控、命令执行等。
典型家族∶ 灰鸽子、pCshare
勒索
通过加密文件,敲诈用户缴纳赎金。
加密特点∶ 主要采用非对称加密方式
对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密
其他特点∶ 通过比特币或其它虚拟货币交易
利用钓鱼邮件和爆破rdp口令进行传播
典型家族∶Wannacry、GandCrab、Globelmposter
挖矿
攻击者通过向被感染设备植入挖矿工具,消耗被感染设备的计算资源进行挖矿,以获取数字货币收益的恶意代码。
特点∶ 不会对感染设备的数据和系统造成破坏,由于大量消耗设备资源,可能会对设备硬件造成损害。
通过首包检测技术、启发式检测技术、文件信誉检测技术来检测带病毒的文件,然后采取阻断或警告的手段进行干预,从而保证内网用户和服务器接收文件的安全
1、网络流量进入智能感知引擎后,首先智能感知引擎对流量进行深层分析,识别出流量对应的协议类型和文件传输的方向。
2、判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。
3、判断是否命中白名单。命中白名单后,FW将不对文件做病毒检测。
针对域名和URL,白名单规则有以下4种匹配方式:
前缀匹配
后缀匹配
关键字匹配
精确匹配
4、病毒检测:设备对传输文件进行特征提取,并将提取后的特征与病毒特征库中的特征进行匹配。如果匹配成功,则判定该文件为病毒文件,并送往反病毒处理模块进行处理;如果特征不匹配,则直接放行该文件
5、响应处理:设备检测出传输的文件为病毒文件后,通常有如下2种处理动作。
告警:允许病毒文件通过,同时记录病毒日志,供网络管理员分析并采取进一步措施。
阻断:禁止病毒文件通过,同时记录病毒日志,供网络管理员分析并采取进一步措施。
1、新建策略
2、新建反病毒配置文件
3、全局配置
APT攻击即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。
APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和有组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
第一阶段:扫描探测
在APT攻击中,攻击者会花几个月甚至更长的时间对"目标"网络进行踩点,针对性地进行信息收集,目标网络环境探测,线上服务器分布情况,应用程序的弱点分析,了解业务状况,员工信息等等。
第二阶段:工具投送
在多数情况下,攻击者会向目标公司的员工发送邮件,诱骗其打开恶意附件,或单击一个经过伪造的恶 意URL,希望利用常见软件(如Java或微软的办公软件)的0day漏洞,投送其恶意代码。一旦到位,恶意软 件可能会复制自己,用微妙的改变使每个实例都看起来不一样,并伪装自己,以躲避扫描。有些会关闭 防病毒扫描引擎,经过清理后重新安装,或潜伏数天或数周。恶意代码也能被携带在笔记本电脑、USB 设备里,或者通过基于云的文件共享来感染一台主机,并在连接到网络时横向传播。
第三阶段:漏洞利用
利用漏洞,达到攻击的目的。攻击者通过投送恶意代码,并利用目标企业使用的软件中的漏洞执行自 身。而如果漏洞利用成功的话,你的系统将受到感染。普通用户系统忘记打补丁是很常见的,所以他们 很容易受到已知和未知的漏洞利用攻击。一般来说,通过使用零日攻击和社会工程技术,即使最新的主 机也可以被感染,特别是当这个系统脱离企业网络后。
第四阶段:木马植入
随着漏洞利用的成功,更多的恶意软件的可执行文件——击键记录器、木马后门、密码破解和文件采集 程序被下载和安装。这意味着,犯罪分子现在已经建成了进入系统的长期控制机制。
第五阶段:远程控制
一旦恶意软件安装,攻击者就已经从组织防御内部建立了一个控制点。攻击者最常安装的就是远程控制 工具。这些远程控制工具是以反向连接模式建立的,其目的就是允许从外部控制员工电脑或服务器,即 这些工具从位于中心的命令和控制服务器接受命令,然后执行命令,而不是远程得到命令。这种连接方 法使其更难以检测,因为员工的机器是主动与命令和控制服务器通信而不是相反。
第六阶段:横向渗透
一般来说,攻击者首先突破的员工个人电脑并不是攻击者感兴趣的,它感兴趣的是组织内部其它包含重 要资产的服务器,因此,攻击者将以员工个人电脑为跳板,在系统内部进行横向渗透,以攻陷更多的pc 和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。
第七阶段:目标行动
也就是将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。在发现有价值的数据后,APT 攻击者往往要将数据收集到一个文档中,然后压缩并加密该文档。此操作可以使其隐藏内容,防止遭受 深度的数据包检查和DLP技术的检测和阻止。然后将数据从受害系统偷运出去到由攻击者控制的外部。 大多数公司都没有针对这些恶意传输和目的地分析出站流量。那些使用工具监控出站传输的组织也只是 寻找"已知的"恶意地址和受到严格监管的数据。
沙箱技术
通过沙箱技术构造一个隔离的威胁检测环境,然后将 网络流量送入沙箱进行隔离分析并最终给出是否存在威胁的结论。如果沙箱检测到某流量为恶意流量, 则可以通知FW实施阻断
针对APT攻击的防御过程如下∶
黑客向企业内网发起APT攻击,FW从网络流量中识别并提取需要进行APT检测的文件类型。
FW将攻击流量还原成文件送入沙箱进行威胁分析。
沙箱通过对文件进行威胁检测,然后将检测结果返回给FW。
FW获取检测结果后,实施相应的动作。如果沙箱分析出该文件是一种恶意攻击文件,FW侧则 可以实施阻断操作,防止该文件进入企业内网,保护企业内网免遭攻击。
APT防御与反病毒的差异。
反病毒系统通常是将病毒文件的特征与病毒特征库进行对比来识别一个文件是否为病毒文件。 这种防御方式具有一定的局限性,就是只能针对已知病毒进行防御,而无法识别未知攻击。 APT防御机制则有别于反病毒系统。
APT防御系统中的沙箱可以看做是一个模拟真实网络建造的虚拟检测系统,未知文件放入沙箱以后将会被运行,沙箱中的收集程序会记录该文件被运行 以后的行为。沙箱通过将未知文件的行为和沙箱独有的行为模式库进行匹配,最后给出该程序 是否为恶意程序的定性结论。沙箱的行为模式库是通过分析大量的病毒、漏洞、威胁特征,提 炼出各种恶意行为的规律和模式,并形成一套判断规则,因此能提供准确的检测结果。 总体来看,反病毒系统是以被检测对象的特征来识别攻击对象,APT防御系统是以被检测对象的行 为来识别攻击对象。
A和B通过同一种密钥加密或解密
B要给A传信息,B先用A的公钥进行加密,只有通过A的私钥才能打开
身份认证:通过标识和鉴别用户身份,防止攻击者假冒合法用户来获取访问权限。
身份认证技术:在网络总确认操作者身份的过程而产生的有效解决方法。
如何确认信息的发送者一定是他本人?
发送者是 alice ,使用非对称算法,生成私钥 A ,公钥 B 。
1. alice 把公钥给 bob
2. alice 发送信息 hello , world !
3. alice 把发送的信息用对称加密算法加密到加密信息 C 。
4. alice 把发送的 hello , world !先用 hash 算法计算得到 hash 值 D 。
5. alice 把 hash 值 D 用非对称加密计算得到 E 。 E 值就是用于身份验证的。
6. alice 把 C , E 一起发给 bob 。
7. bob 收到 C,E 值,先用非对称的公钥对 E 进行解密,如果能正常解开则证明 C 值是 alice 的。
上述 1 中如果黑客偷换了 alice 的公钥,那么就会出现身份认证漏洞。
解决:
alice 把公钥给 bob 的环节能确保是安全的,一定是 alice 给的。
想办法证明 alice 的公钥一定是 alice 的。
私钥加密公钥解密就能解决
完整性与身份认证最佳解决:对明文 a 进行 hash 运算得到定长值 h ,然后对 h 进行非对称运算用私钥加密得到值k ,然后对明文 a 进行对称运算得到 y ,传输时同时传输 y 和 k ,收到后用非对称公钥解开 k 得到 h‘ ,然后用对称算法解开y 得到 a ,然后对 a 进行 hash 得到 h‘‘ 如果 h‘ 与 h‘’ 相同,则证明完整性与身份认证。
公钥的 “ 身份证 ”----- 数字证书
PKI(公开密钥体系,Public Key Infrastructure )是一种遵循标准的利用非对称加密技术为电子商务的 开展提供一套安全基础平台的技术和规范。
简单说就是利用公钥技术建立的提供安全服务的基础设施。通过第三方的可信机构, CA 认证中心把用户的公钥与用户的其他标识信息捆绑在一起放在用户证书中,在互联网上验证用户身份。
PKI 体系
PKI 是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书,核心执行者是CA 认证机构。