第三部分：內容安全

第十六章：網絡型攻擊防范技術

網絡攻擊介紹

? 網絡攻擊：指的是入侵或破壞網絡上的服務器（主機），盜取服務器的敏感數據或占用網絡帶寬。

? 網絡攻擊分類：

• 流量型攻擊
  • 網絡層攻擊
  • 應用層攻擊
• 單包攻擊
  • 畸形報文攻擊 ---- 向目標主機發送有缺陷的IP報文，使得目標在處理這樣的IP報文時發生錯誤或者造成系統崩潰。
  • 特殊報文攻擊 ---- 這些報文都是合法的。攻擊者利用合法的報文對網絡進行偵探或者數據檢測，但是這些報文很少使用。
  • 掃描窺探攻擊 ---- 利用ping（輪詢ping測，協議類型：ICMP或TCP）來識別出網絡中存活的系統。從而定位潛在目標，然后利用TCP和UDP的端口掃描，檢測出該系統上開啟的潛在服務。攻擊者根據這些服務所具備的潛在安全漏洞，為進一步入侵系統做準備。

流量型攻擊 — Flood攻擊

? 消耗網絡帶寬或者是消耗服務器資源。

? 特點：攻擊者可以通過大量的無用數據占用過多的資源，達到服務器拒絕服務的目的。

? 典型的流量型攻擊行為 ---- DDoS分布式拒絕服務攻擊

單包攻擊及防御原理

掃描窺探攻擊

? 地址掃描攻擊防范 — 處理方式：檢測進入到防火墻的所有ICMP、TCP、UDP報文。根據源IP地址來統計表項，如果目標的IP地址與前一個報文的IP地址不同則將表項中的總報文個數+1。如果在一定時間內，該報文的個數到達閾值，則記錄日志信息，并根據配置決定是否將源IP地址自動加入黑名單。

? 端口掃描攻擊防范 — Port Scan，向大范圍主機的各個TCP/UDP端口發起連接。---- 處理方式：與地址掃描攻擊相同。

白名單 ---- 不需要檢查，直接放通
黑名單 ---- 不需要檢查，直接拒絕

[FW1]firewall blacklist enable     ----- 開啟黑名單

[FW1]firewall defend ip-sweep ?blacklist-timeout  specfied the timeout value in blacklist(minutes)enable             Enable the functionmax-rate           specfied the max rate(pps)

? 掃描類攻擊的源地址必須是真實的，因為攻擊者需要得到反饋信息。---- 所以才可以使用黑名單的方式進行防御。

畸形報文攻擊

Smurf攻擊

? 攻擊者發送ICMP請求，該請求報文的目的地址是受害者網絡的廣播地址，源地址是服務器地址。該網絡所有的主機都會回復ICMP請求報文，回應報文全部發送給服務器，導致服務器不能提供正常服務。

? 處理方式 ---- 檢查ICMP應答報文中的源地址是否為子網廣播地址或子網網絡地址，如果是，則直接拒絕。

Land攻擊

? 把TCP的源地址和目的地址都設定為同一個受害者的IP地址。導致受害者向自己發送一個SYN+ACK報文，并回復一個ACK報文，從而創建一個空連接，占用資源。

? 處理方式：對每一個IP報文進行檢測，如果源相同，或者源地址為127.0.0.1；都會丟棄報文。

Fraggle攻擊

? 類似于Smurt攻擊，發送UDP應答報文。

? 攻擊介紹：使用UDP應答消息，UDP端口7或端口19.因為這兩個端口在收到UDP報文后，會產生大量的無用的應答報文。

UDP端口7 --- 收到后，回應收到的內容
UDP端口19 --- 收到后，產生一串字節流

? 處理方式：防火墻收到的UDP目的端口為7或19的報文，都會丟棄。

IP欺騙攻擊

? 攻擊介紹：使用偽造的源地址進行目標訪問。

? 處理方式：檢測每個接口流入的IP報文的源地址和目標地址，并對源地址進行反向路由查找，如果入接口與以該報文的源IP地址作為目的地址查找的出接口不同，則認為出現攻擊行為，拒絕訪問。

? 反向查找路由表技術 ---- URPF技術

• 嚴格模式
• 松散模式

流量型攻擊防御原理

DDoS通用攻擊防范技術 ---- 首包丟棄

? 因為DDoS攻擊是攻擊者不停變化源IP和源端口行為來發送報文，而抗D產品，只需要將第一個送到的報文丟棄，并記錄一個三元組信息，即可防范。

? 當正常用戶發送的流量達到后，被丟棄，然后正常用戶會觸發重傳行為，而第二個重傳報文到達本地后，本地抗D產品會匹配三元組信息，如果匹配成功，則流量通過。

? 該方式只能攔截部分流量；一般會將首包丟棄和源認證結合使用。

三元組 ---- 源IP地址、源端口、協議。
如果沒有匹配三元組，認為是首包，則丟棄。
如果匹配三元組。會計算與上一個報文的時間間隔。如果在時間間隔內，則認為是正常的重傳報文，則放通。如果在時間間隔外，則認為是首包，丟棄。

TCP類攻擊

SYN Flood攻擊

? 利用三次握手機制發起攻擊。發送大量的SYN報文，當服務器回復SYN+ACK后，不予理會。導致服務器上存在大量的半連接。

• 源認證
  • 工作過程：
    1. 防火墻先對SYN報文進行統計，如果發現訪問頻率過高，則啟動TCP源認證（源探測）功能。
    2. 防火墻收到SYN報文后，會回復一個帶有錯誤確認序列號的SYN+ACK報文。
       • 如果防火墻能收到RST報文，則認為對端是真實客戶端。
       • 如果未收到，則認為對端是一個虛假的源。
    3. 如果是真實，則將真實源的IP地址加入白名單，在老化之前，都認為是合法的。
  • 源驗證只會做一次，通過后，立即加入到白名單，后續不再做驗證。
  • 一般情況下，會將原認證和首包丟棄功能一起使用。
• TCP代理
  • 代理 ---- 在源和目標之間增加一臺設備，兩者的數據轉發全部依靠該設備進行。
  • 工作過程：
    1. 防火墻先對SYN報文進行統計，如果發現訪問頻率過高，則啟動TCP代理功能
    2. 收到SYN報文后，FW會代替服務器回應SYN+ACK報文。
       • 如果收到的ACK報文，則認為是正常的連接。
       • 如果沒有收到ACK報文，則認為是虛假的連接。
    3. 如果是正常的連接，則防火墻會代替客戶與服務器建立TCP三次握手。
  • FW會對每一個SYN報文進行回復，會導致FW資源消耗過多。
  • TCP代理，只能應用在報文來回路徑一致的場景中。

UDP類攻擊

UDP Flood攻擊

? 屬于帶寬類攻擊，攻擊者通過僵尸網絡向目標服務器發起大量的UDP報文，且每個UDP報文都是大包，速率非常快。

• 消耗網絡帶寬資源，造成鏈路擁塞。
• 大量變源端口的UDP報文會導致依靠會話轉發的網絡設備宕機。

防御方式：

• 限流

  • [FW]firewall defend udp-flood base-session max-rate 10     ---- 基于會話的限流方式。
    

• UDP指紋學習

  • 通過分析客戶端發送的UDP報文的載荷部分，是否存在大量的一致信息，來判斷報文是否異常。
  • 訪問對去往服務器的UDP報文進行指紋學習 —> 對比相同特征。如果同一個特征頻繁的出現，則會被學習為指紋。

第十七章：反病毒 — 防病毒網關

? 基于殺毒軟件的一種防御技術，是一種被動的防御技術。

? 防病毒網關和主機上的殺毒軟件在功能上互補和協作的關系。

? 病毒：一般是感染或者附著在應用程序或文件中的；一般都是通過郵件或文件共享的方式進行傳輸，從而對主機進行破壞。

計算機病毒的基礎

? 病毒：是一個惡意代碼。

? 計算機病毒具備破壞性、復制性和傳染性的。

分類

? 惡意代碼 ---- 是一種可執行程序，通過把代碼在不被察覺的情況下，嵌入到另一段程序中，從而達到破壞電腦數據，感染電腦文件的目的。

? 命名規則：<病毒前綴><病毒名><病毒后綴> ----> 用來體現病毒的分類。

• 病毒前綴 ----- 惡意代碼的類型
  • 病毒、蠕蟲、木馬、后門、勒索、挖礦、廣告…
  • win32、Linux、java…
• 病毒名 ----- 一般用惡意代碼家族命名 ----> 代表病毒具有相似的功能或者相同的來源
• 病毒后綴 ----- 惡意代碼的變種

按照傳播方式進行分類

病毒

? 病毒：基于硬件和操作系統的程序。

? 病毒攻擊的目標程序就是病毒的棲息地，這個程序也是病毒傳播的目的地以及下一次感染的出發地。

? 病毒特點：需要附加在其他的宿主程序上進行運行；為了去躲避電腦殺毒軟件的查殺，病毒可以將自身分裂、變形或加密。將自身的每一部分都附加到宿主程序上。

? 一旦病毒文件執行，它會將系統中所有滿足感染條件的可執行文件都加入病毒代碼，進而通過用戶自身對感染文件的拷貝傳遞給其他人。

蠕蟲

? 主要通過網絡使惡意代碼在不同設備中進行復制、傳播和運行的惡意代碼 ----> 是一個可以自我拷貝到另一臺計算機上的程序。

? 蠕蟲傳播方式：通過網絡發送攻擊數據包。

? 蠕蟲的工作原理：

• 蠕蟲的工作方式一般是“掃描→攻擊→復制”。

木馬

? 傳播方式：一般采用捆綁傳播或利用網頁掛馬傳播。

捆綁：把一個有界面的正常程序，和一個惡意軟件綁定
掛馬：在某個網頁打開的同時，打開另一個頁面，而另一個網頁

? 木馬：是攻擊者通過一些欺騙的方法在用戶不知情的情況下安裝的。

按照功能分類

• 后門
  • 功能：文件管理、屏幕監控、鍵盤偵聽、視頻監控
  • 機制：遠程控制軟件通過開放并監聽本地端口，實現與控制端的通信，來執行相關操作。
• 勒索
  • 定義：通過加密用戶文件，使用戶數據無法正常使用，并以此為條件向用戶勒索贖金。
  • 加密 ---- 非對稱加密；
  • 特點：虛擬貨幣交易；
• 挖礦
  • 定義：攻擊者通過向被感染設備植入挖礦工具，消耗被感染設備的計算機資源進行挖礦，來獲取數字貨幣。
  • 特點：不會對感染設備的數據和系統造成破壞的，只是會消耗大量的設備資源，對硬件設備造成損害。
• 廣告
  • 定義：以流量為盈利來源的惡意代碼，一般廣告軟件都是強制安裝并不可卸載。
  • 一般在廣告軟件的背后，都會集成間諜軟件。

項目	病毒	蠕蟲	木馬
存在形式	寄生	獨立個體	有寄生性
復制機制	插入到宿主程序中	自我拷貝	沒有復制性
傳染性	宿主程序運行	系統存在漏洞時傳染	依據載體或功能
傳染目標	針對本地其他文件	針對網絡上其他計算機	肉機或僵尸計算機
觸發機制	計算機使用者	自身觸發	遠程控制
影響重點	文件系統	網絡性能	信息竊取
防治措施	從宿主程序中摘除	打補丁	檢測并防止

病毒的行為特征

• 下載與后門特性
  • 下載特性：自動連接某一個web站點，從這個web站點上去下載其他病毒文件。
  • 后門特性
  • 舉例：下載器病毒：本身時捆綁了多種病毒文件的木馬病毒。
• 信息收集特性
  • OO密碼、聊天記錄、游戲賬號密碼、銀行賬號密碼、網頁瀏覽器記錄
  • 舉例：火焰病毒 ---- 網絡戰爭武器
• 自身隱蔽特性 ---- 很多病毒會將自己的屬性設置為“隱藏”或者“只讀”。
• 文件感染特性
• 網絡攻擊特性
  • 舉例：愛蟲病毒 —> 把自己偽裝成情書。
    • windows outlook

病毒傳輸方式

• 電子郵件
• 網絡共享
• P2P共享軟件
• 系統漏洞
• 廣告軟件/灰色軟件（流氓軟件）
• 其他

惡意代碼免殺技術

? 免殺技術 ----- 免殺毒技術，是一種能使惡意代碼免于被殺毒軟件或殺毒設備查殺的技術。其本質還是對病毒內容的修改。

免殺技術 ----> 匯編語言（反匯編語言）、逆向工程、系統漏洞.....

• 修改文件特征碼
• 修改內存特征碼
• 行為免查殺技術

殺毒軟件檢測方式

基于文件掃描的反病毒技術

• 第一代

  • 在文件中檢索病毒特征序列。

  • print("hello world")
    

  • 該技術雖然出現的早，但是到現在為止，還是被各大廠商所使用的方案。

  • 字符串掃描技術 ---- 使用從病毒中提取出來的具有特征的一段字符來檢測病毒，這些字符必須在一般程序中不太可能出現。

  • 通配符掃描技術 ---- 因為字符串掃描技術有執行速度和特征碼長度的限制，所以逐漸被通配符掃描替代。

    • 正則表達式

    • 特征碼：...020E 07BB %3 56C9....1、嘗試匹配02
      2、嘗試在上一步的基礎上，匹配0E
      3、.....
      4、??標識忽略此字節...020E 07BB AA02 1111 56C9......020E 07BB AA02 花指令（10字節） 1111 56C9...
      

• 第二代 — 是在第一代的基礎上，對檢測精度上提出了更嚴格的要求。

  • 智能掃描法 ---- 類似于AI；基于人工智能和機器學習技術的掃描方式。分析上下文或者關聯程序的行為模式。
  • 骨架掃描法 ---- 卡巴斯基公司搞出來的；采用逐行分析行為。在分析時，將所有的非必須字符丟棄，只剩下代碼的骨架，對代碼的骨架進行進一步的分析，在一定程度上可以增加了對變種病毒的檢測能力。
  • 近似精確識別法
    • 多套特征碼：采用至少兩個字符串來檢測每個病毒。
    • 校驗和：讓每一個無毒軟件生成一個校驗和，等待下一次掃描時在進行簡單的校驗和對比。如果校驗和發生變化，則代表文件發生改變，需要對其進行完整掃描。
  • 精確識別法 ---- 是目前唯一一種能夠保證掃描器精確識別病毒變種的方法。通常與第一代掃描技術結合使用。
    • 利用校驗和。

• 第三代 ---- 算法掃描

基于內存掃描的反病毒技術

? 內存掃描器：與實時監控掃描器協同工作。

? 應用程序在運行后，都會將自身釋放到內存中，導致釋放后的文件結構和未執行的文件有較大的差異。

? 內存掃描器和文件掃描器所使用的邏輯相同，但是使用的特征碼不同。

? 內存掃描器精確度高于文件掃描器。

基于行為監控的反病毒技術

? 一般需要和虛擬機技術配置使用的。

? 原理：在一個完全隔離的環境中，運行文件信息，監控文件的行為，并將其和其他病毒文件的行為進行分析對比，如果某些程序在執行時進行了一些可以的操作，那么認為是一個病毒文件。

? 可以檢測出來新生病毒。

所謂的行為 ---- 指的是應用程序運行后的操作。
行為特征 ---- 一個程序按照某種順序執行某一系列操作所具備的特征。

基于新興技術的反病毒技術

• 云查殺 ---- “可信繼承，群策群力”。

  • 思路：以服務器為腦，所有用戶的機器為觸角；使得服務器可以隨時隨地知道每個用戶的情況，如果其中一個用戶和其他用戶對比產生差異，那么服務器發出指令，讓發生異常的機器進行檢查，并將問題反饋給服務器。

• 可信繼承

  • 進程A 具有根的數字簽名的根可信進程，那么他在被用戶執行時，就不會觸發任何殺毒軟件的操作，而由A進程創建的新的進程，也稱為可信進程。
    進程B 是一個非可信程序，那么被執行時，就會被用戶嚴密監控，如果存在敏感行為，則停止，并立即上報給服務器。
    

• 群策群力

  • 某一臺PC發現病毒，立即上報給服務器；服務器會將該信息通知給所有信任網絡中的PC。
  • 云計算和病毒木馬 ----> 分布式。
  • 病毒木馬感染的速度越快、感染的面積越大，則被云查殺捕獲到的可能性越大。

免殺技術思路原理

? 最基本的思想時破壞特征，這個特征可能是特征碼，也可能是行為特征，只要是破壞了病毒或木馬的固有特征，并保證其原有功能沒有被破壞，那么一次免殺就完成了。

? 特征碼：病毒文件中獨一無二的字符。如果某一個文件具有這個特征碼，那么反病毒軟件就會認為這個文件是病毒。反之，就是一個正常的文件。

修改文件特征碼免殺技術

? 加殼、加花指令、直接修改特征碼

• 直接修改特征碼

  • 特征碼：是能夠識別一個程序的，不大于64字節的字符。

  • 第一種思想，改特征碼。-----> 免殺的最初方法。

  • 		文件1
    1.aaaaaaaaaaaaaaaaaaa
    2.bbbbbbbbbbbbbbbbbbb
    3.ccccccccccccccccccc
    4.灰鴿子上線成功！
    5.ddddddddddddddddddd文件2
    1.aaaaaaaaaaaaaaaaaaa
    2.bbbbbbbbbbbbbbbbbbb
    3.ccccccccccccccccccc
    4.
    5.ddddddddddddddddddd
    

  • 特征碼		文件第四行若有“灰鴿子上線成功！”字段，則此文件有毒
    文件		 文件1		文件2
    結果		 有毒			無毒
    

  • 第二種思想，主要針對校驗和查殺的免殺思想。

    • 校驗和：也是根據病毒文件中與眾不同的代碼計算出來的，如果文件某個特定位置的校驗和符合病毒庫中的特征，那么反病毒軟件會告警。

    • 		文件1
      1.aaaaaaaaaaaaaaaaaaa
      2.bbbbbbbbbbbbbbbbbbb
      3.ccccccccccccccccccc
      4.灰鴿子上線成功
      5.ddddddddddddddddddd文件2
      1.aaaaaaaaaaaaaaaaaaa
      2.bbbbbbbbbbbbbbbbbbb
      3.ccccccccccccccccccc
      4.上線成功
      5.ddddddddddddddddddd
      

• 加殼修改特征碼

  • 軟件加殼 ---- 軟甲加密或者軟件壓縮。一般的加密是為了防止陌生人隨意訪問我們的數據，但是加殼的目的是減少被加殼應用程序的體積，或避免讓程序遭到不法分子的破壞和利用。
  • 殼是增加的一個保護機制，它并不會破壞里面的程序。當我們運行加殼的程序時，系統首先會運行程序的“殼”，然后由“殼”來將加密的程序逐步的還原到內存中，最后運行程序。

• 加花指令修改特征碼

  • 花指令：指的是一段毫無意義的指令（垃圾指令）。
    • 花指令是否存在對程序結果沒有影響，所以它存在的唯一目的就是阻止反匯編。
    • 加了花指令后，殺毒軟件對木馬靜態反匯編時，木馬的代碼就不會正常顯示出來，加大殺毒軟件的查殺難度。
  • 花指令會嚴重影響反病毒軟件的i就按測機制；黑客為一個程序添加了一段花指令后，程序的部分偏移會受到影響，如果反病毒軟件無法識別這段花指令，那么它檢測特征碼的偏移量會整體位移一段位置，自然就無法正常檢測木馬了。
  • 花指令的本質：擾亂程序運行順序。

• 改變程序入口點修改特征碼

  • 程序入口點 ---- 程序最開始執行的函數。
  • 特點：與其他免殺方式結合。

? 基于文件的免殺技術，基本上就是在破壞原有程序的特征，無論是直接修改還是加信息，最后的目的只有一個，就是打亂或加密可執行文件內部的數據。

修改內存特征碼的免殺技術

? 內存 ----- 在安全領域非常重要。

? 內存復雜的原因 ---- 內存一般情況下是數據進入CPU之前的最后一個可控的物理存儲設備。

? 從理論上講，任何被加密的可執行數據在被CPU執行前，肯定是會被解密的，否則CPU無法執行。

? 因為即將被執行的程序，肯定比為被執行的程序威脅更大。

? 與文件特征碼免殺技術相同，除了加殼。

行為免查殺技術

? 文件防火墻 -----> 主動防御 -----> 云查殺

? 為什么會將程序稱為病毒或木馬？----> 因為這些程序運行后的行為與正常程序不同。

? 行為 ---- 牽扯到操作系統底層。

? 內核級病毒

? 0day（漏洞）----> 黑客將能夠躲避主動防御的方法。

反病毒

? 單機反病毒、網關發病毒。

? 反病毒方式：對文件進行查殺。必修要先接收文件，然后緩存文件，對文件進行查殺。

? 緩存 ---- 消耗內存資源，降低工作效率。

? 理念：基于流的文件檢查；基于文件片段來執行檢測。會將文件進行分片重組操作，然后基于片段進行掃描，來提高檢查效率。

代理掃描 ---- 所有文件都需要被防火墻自身進行緩存，然后再送到病毒檢測引擎中進行檢測。

流掃描 ---- 依賴于狀態檢測技術，以及協議解析技術，提取文件的特征和本地特征庫進行匹配。

1. 先識別出流量對應的協議類型和文件傳輸方向

2. 識別完成后，先對協議進行判斷，看是否支持反病毒檢測

   • FW支持：FTP、HTTP、POP3、IMAP、SMTP、NFS、SMB
     

   • 如果在上述支持的協議內，則會進入后續的檢查，否則流量不進行反病毒檢測，而是進行其他檢測機制。

   • 同時，會判斷文件的傳輸方向 ----> 防火墻支持不同方向的防病毒檢測。文件的上傳和下載。

3. 與白名單進行對比

   • 白名單是可以自行設置的，命中則不檢查，未命中則檢查。

4. 接下來，病毒檢測（特征庫對比）。

   • 先針對文件進行特征的提取，然后將提取出來的特征與本地特征庫進行匹配。
   • 特征庫 ---- 是由華為公司分析各種常見的病毒特征而形成的。
     • 病毒庫對各種常見的病毒特征都做了定義，并且都分配了一個唯一的病毒ID。
     • 病毒的特征庫是需要向廠商購買license。

5. 檢測到病毒后

   • 如果配置了病毒例外；這相當于是某種病毒的白名單，為了避免由于系統誤報等原因造成文件傳輸失敗的情況發生，當用戶認為檢測到的某個病毒是誤報時，可以將該病毒ID加入到病毒例外中，此時會對該文件進行放通。

6. 如果不在病毒例外名單中

   • 則判斷改病毒文件是否命中應用例外。相當于給某一款應用設定的特殊動作；對某些應用設定的例外動作。

   • 應用 = 協議
     應用承載與協議之上，同一個協議可以承載多種應用。
     

   • 應用例外的動作規定

     • 如果只配置了協議動作，則協議上所有的應用都繼承改動作。
     • 如果協議和應用都配置了動作，則以應用為主。

7. 如果沒有命中病毒例外和應用例外，則按照配置文件中配置的協議和傳輸方向對應的響應動作來處理文件。

   • 告警 ---- 允許病毒通過，但是生成日志。
   • 阻斷 ---- 對于任何協議的病毒文件，全部阻止通過，同時生成病毒日志。
   • 宣告 — 針對郵件文件；允許文件通過，但是會在郵件正文中，添加檢測到病毒的提示信息，生成日志。
   • 刪除附件 — 針對郵件文件；允許文件通過，但是設備會刪除郵件的附件內容，并在郵件正文中添加宣告，生成病毒日志。

第十八章：入侵檢測/防御系統（IDS/IPS）

? 所謂的“網絡威脅”，經常是融合了病毒、黑客攻擊、木馬、僵尸、間諜…一系列危害于一身的混合體。

? 為了針對引用層的內容進行安全檢測以及防御 ----> 設計的安全產品IDS—入侵檢測系統。可理解為一個“網絡攝像頭”。

? IDS更多的是一種側重于風險管理的設備。IDS本身可以發現威脅，卻不能消除威脅。

? IDS缺陷：一些重要的風險數據往往夾雜在正常的數據中，這就會導致IDS在分析時，經常把完全正常的文件數據認為是威脅，倒是誤報率非常高。

? IDS優勢：部署非常靈活，因為不需要直接對流量做防御手段，所以IDS可以選擇旁掛在網絡中，通過鏡像接口來分析流量即可。

? 入侵防御系統 — IPS；對網絡流量進行檢測，發現網絡的入侵行為，并且在第一時間丟棄入侵報文或者阻斷攻擊源。

? IPS更多的是側重于風險控制的設備。

網絡入侵

? 入侵 — 指的是未經授權而嘗試訪問信息系統資源、篡改信息系統中的數據，使得信息系統不可靠或不能使用的行為。---- 本質邏輯就是破壞了CIA（機密性、完整性、可用性）。

• 未授權訪問
• 拒絕服務
• 假冒和欺騙 — 進行權限獲取。
  • 欺騙 — 非法用戶冒充合法用戶。
  • 假冒 — 權限低的用戶冒充權限高的用戶。
• 竊聽 — 線路竊聽
• 病毒
• 木馬
• 后門
• 電磁輻射
• 盜竊

入侵檢測系統IDS

? 入侵檢測 — ID，通過檢測各種操作，分析和審計各種數據現象來實現檢測入侵行為的過程。

? 入侵檢測系統 — IDS，用于入侵檢測的所有軟硬件系統；IDS是通過分析網絡中的流量或日志，識別潛在的攻擊行為的安全系統。

? 核心任務：發現攻擊→發出報警→記錄證據。

IDS如何工作？

1. 數據采集
   • NIDS ---- 探針（監聽網絡流量）
   • HIDS ---- 監控軟件（服務器上zabbix監控軟件），監控主機日志。
2. 數據分析（分析引擎）
   • 簽名檢測 ---- 對比已知的特征庫
   • 異常檢測 ---- 建立一種正常行為的基線，當網絡流量偏離基線則告警。
3. 報警與響應
   • 由軟硬件設備，通過告警郵件/短信，生成一些日志報告

異常檢測模型

? 異常檢測基于一個假定：用戶的行為是可以預測的，遵循一致性模型。

? 入侵行為的前兆 ---- 用戶的異常行為。異常檢測模塊會首先基于用戶行為的收集，建立一條用戶行為的基線。

誤用檢測模型 — 簽名（特征）檢測

? 誤用檢測 ---- 其實就是創建了一個異常行為的特征庫。我們將一些入侵行為記錄下來，總結成特征，之后，我們檢測流量和特征庫進行對比，來發現威脅。

? 一個是基于行為，一個是基于特征的。

異常檢測	誤用檢測
優點： 不需要專用的操作系統缺陷特征庫； 有效檢測對合法用戶的冒充檢測。	優點： 可檢測所有已知入侵行為。 能夠明確入侵行為并提示防范方法。
缺點： 建立正常的行為輪廓和確定異常行為輪廓的閥值困難。 不是所有的入侵行為都會產生明顯的異常。	缺點： 缺乏對未知入侵行為的檢測。 對內部人員的越權行為無法進行檢測。

類型	監控對象	部署位置	典型場景
NIDS	網絡流量	網絡邊界（在防火墻之后）	DDoS、端口掃描…
HIDS	主機行為	服務器/主機	提權操作、勒索軟件…

優點：1.實時監控2.證據留存3.靈活部署
缺點：1.誤報2.漏報

? 核心價值：IDS是網絡安全的第一道防線，但需要與其他工具協同構建縱深防御。

? 沒有絕對的安全，但是有持續的守護。

入侵防御系統IPS

? IPS ---- 智能門衛 ---- 實時監控，主動攔截，守護安全之門。

? 功能：實時分析網絡流量，主動攔截攻擊的安全設備/軟件。

? 核心能力：檢測→分析→阻斷→記錄。

智能門，如果智能門誤判好人（阻攔合法流量），會有什么后果？

? IPS也會存在誤報的情況，那么在使用IPS的時候，就需要平衡安全性和業務的連續性。

IPS如何工作？

1. 流量捕獲
   • 需要接收網絡中所有的流量。部署在網絡的關鍵節點上。
2. 攻擊識別 ---- 與IDS相同
   • 簽名
   • 行為
3. 實施阻斷 ---- 丟棄惡意數據包，重置連接，屏蔽IP。
4. 記錄日志

IPS部署

• 內聯部署 — 類似于橋梁，所有流量必須經過IPS。
• 旁路部署 — 類似于攝像頭，流量不需要經過，但是會拍照。

維度	IPS	IDS
角色	防御者	監控者
部署方式	內聯	旁路
相應速度	毫秒級切斷	依賴人工響應
風險	誤報導致業務中斷	誤報僅產生告警，不影響業務

? 一般在企業中，都會同時部署IDS和IPS產品，IPS阻斷已知攻擊行為，IDS輔助發現未知威脅，形成互補。

? 核心價值：寧可錯攔，不可放過。

防火墻IPS模塊

1. 重組IP分片和TCP分段數據流。

2. 對重組后的流量進行特征提取。

3. 將提起到的特征與簽名進行比對，用預先設定好的動作來處理。

   簽名 ---- 理解為我們針對網絡上的攻擊特征的描述。

   簽名可以理解為將特征進行HASH后的結果。

• 預定義簽名 ---- 設備上自帶的特征庫，需要激活license后才可以獲取的
  • 簽名庫里面的簽名是實時從華為提供的安全服務中心獲取的最新的入侵防御版本來更新庫文件，并且該庫文件不能修改。
    • 簽名的特征是無法修改的，但是簽名的動作可以修改
• 自定義簽名 ---- 可以由網絡管理員根據自身需求的定義的威脅簽名。
  • 設置的動作：1.阻斷；2.告警；3.放行。

• 對象：代表簽名所檢測的對象，也可以用來描述網絡威脅的攻擊對象
  • 服務端、客戶端、二者均有。
• 嚴重性：分為高中低三種
• 協議：IPS用于協議識別的
  • 與后續的應用程序一起，描述攻擊目標。
• 應用程序：IPS用于應用識別的
  • 描述網絡威脅，使用的應用程序。
• 對策：針對此漏洞，被攻擊者應該做出的防范措施。
  • 安全設備只是攔截的問些，并不是解決了威脅。
  • 真正消除漏洞的方法：升級系統，打補丁。

? 關聯簽名 ---- 可以關聯一個預定義簽名。

• 關聯之后，自定義簽名就只能配置嚴重性和執行動作了
• 因為此時，這個自定義簽名就會變成了按照關聯簽名匹配到次數而觸發執行動作的一個簽名了。
  • 預定義簽名為威脅
  • 自定義簽名相當于在預定義之上，更加具體。
• 如果在“檢查周期”內觸發超過“匹配次數”或阻斷超過“阻斷時間”，則認為是匹配該自定義簽名。

• 檢測范圍
  • 報文 — 逐包檢測
  • 消息 — 基于一個完整的消息進行檢測
    • 一個消息可能由多個報文組成，分多次發送，一個報文也可能包含多個消息。
  • 流 — 基于數據流進行檢測
    • 只能是運行在TCP協議之上的應用層協議才能有效。
• 按順序檢測 ---- 可選項
  • 與“檢查下列表”有關；檢查項列表 —> ACL規則
    • 如果勾選，自上而下，逐一匹配。
    • 如果沒有勾選，所有規則之間屬于“且”關系。所有規則都要匹配。

• 字段 ---- 與前面寫的“協議”有關。

• 操作符 ---- 定義的是匹配規則

  • 匹配 ---- 完全命中設定的數值
  • 前綴匹配 ---- 匹配以“xxx”開頭的數值

• 匹配方向 ---- 與訪問方向有關

  • both ---- 雙向
  • from-client ---- 來自于客戶端
  • from-server ---- 來自于服務端

• 偏移/搜索字節數 ---- 一起關注

  • 偏移一般為0，直接按照“值”來匹配

  • 如果向匹配的是從“值”后的3個字節開始的5個字節
    偏移量=3，字節數=5
    

? 入侵防御的策略是在安全策略中調用，而簽名是在入侵防御策略中調用。

? 入侵防御的策略 —> 其實就是對簽名的引用。因為不同的需求，需要去檢查的簽名是不同的。

? 暴力破解 ---- 一個IP發送大量的數據包的情況。

例外簽名

? 因為簽名過濾器里面進行選擇時，是一種分類批量操作的行為，并且配置的動作都是統一的。這樣雖然方便，但是，也有些簽名希望可以被區別對待，做出和整體設定不一樣的動作，此時，就可以把這個簽名，添加到例外簽名中。

? 阻斷 and 隔離源IP 和 阻斷 and 隔離目的IP 動作，阻斷流量，并且將IP放入黑名單，按照超過時間隔離。

? 例外簽名用于解決一些過度防御的場景。

? 如果命中多個簽名，簽名實際動作都為告警時，則最后動作就是告警。如果由一個簽名動作作為阻斷，則最終為阻斷。