第三部分：内容安全（第十六章：网络型攻击防范技术、第十七章：反病毒、第十八章：入侵检测/防御系统（IDS/IPS））

第三部分：内容安全

第十六章：网络型攻击防范技术

网络攻击介绍

​ 网络攻击：指的是入侵或破坏网络上的服务器（主机），盗取服务器的敏感数据或占用网络带宽。

​ 网络攻击分类：

• 流量型攻击
  • 网络层攻击
  • 应用层攻击
• 单包攻击
  • 畸形报文攻击 ---- 向目标主机发送有缺陷的IP报文，使得目标在处理这样的IP报文时发生错误或者造成系统崩溃。
  • 特殊报文攻击 ---- 这些报文都是合法的。攻击者利用合法的报文对网络进行侦探或者数据检测，但是这些报文很少使用。
  • 扫描窥探攻击 ---- 利用ping（轮询ping测，协议类型：ICMP或TCP）来识别出网络中存活的系统。从而定位潜在目标，然后利用TCP和UDP的端口扫描，检测出该系统上开启的潜在服务。攻击者根据这些服务所具备的潜在安全漏洞，为进一步入侵系统做准备。

流量型攻击 — Flood攻击

​ 消耗网络带宽或者是消耗服务器资源。

​ 特点：攻击者可以通过大量的无用数据占用过多的资源，达到服务器拒绝服务的目的。

​ 典型的流量型攻击行为 ---- DDoS分布式拒绝服务攻击

单包攻击及防御原理

扫描窥探攻击

​ 地址扫描攻击防范 — 处理方式：检测进入到防火墙的所有ICMP、TCP、UDP报文。根据源IP地址来统计表项，如果目标的IP地址与前一个报文的IP地址不同则将表项中的总报文个数+1。如果在一定时间内，该报文的个数到达阈值，则记录日志信息，并根据配置决定是否将源IP地址自动加入黑名单。

​ 端口扫描攻击防范 — Port Scan，向大范围主机的各个TCP/UDP端口发起连接。---- 处理方式：与地址扫描攻击相同。

白名单 ---- 不需要检查，直接放通
黑名单 ---- 不需要检查，直接拒绝

[FW1]firewall blacklist enable     ----- 开启黑名单

[FW1]firewall defend ip-sweep ?blacklist-timeout  specfied the timeout value in blacklist(minutes)enable             Enable the functionmax-rate           specfied the max rate(pps)

​ 扫描类攻击的源地址必须是真实的，因为攻击者需要得到反馈信息。---- 所以才可以使用黑名单的方式进行防御。

畸形报文攻击

Smurf攻击

​ 攻击者发送ICMP请求，该请求报文的目的地址是受害者网络的广播地址，源地址是服务器地址。该网络所有的主机都会回复ICMP请求报文，回应报文全部发送给服务器，导致服务器不能提供正常服务。

​ 处理方式 ---- 检查ICMP应答报文中的源地址是否为子网广播地址或子网网络地址，如果是，则直接拒绝。

Land攻击

​ 把TCP的源地址和目的地址都设定为同一个受害者的IP地址。导致受害者向自己发送一个SYN+ACK报文，并回复一个ACK报文，从而创建一个空连接，占用资源。

​ 处理方式：对每一个IP报文进行检测，如果源相同，或者源地址为127.0.0.1；都会丢弃报文。

Fraggle攻击

​ 类似于Smurt攻击，发送UDP应答报文。

​ 攻击介绍：使用UDP应答消息，UDP端口7或端口19.因为这两个端口在收到UDP报文后，会产生大量的无用的应答报文。

UDP端口7 --- 收到后，回应收到的内容
UDP端口19 --- 收到后，产生一串字节流

​ 处理方式：防火墙收到的UDP目的端口为7或19的报文，都会丢弃。

IP欺骗攻击

​ 攻击介绍：使用伪造的源地址进行目标访问。

​ 处理方式：检测每个接口流入的IP报文的源地址和目标地址，并对源地址进行反向路由查找，如果入接口与以该报文的源IP地址作为目的地址查找的出接口不同，则认为出现攻击行为，拒绝访问。

​ 反向查找路由表技术 ---- URPF技术

• 严格模式
• 松散模式

流量型攻击防御原理

DDoS通用攻击防范技术 ---- 首包丢弃

​ 因为DDoS攻击是攻击者不停变化源IP和源端口行为来发送报文，而抗D产品，只需要将第一个送到的报文丢弃，并记录一个三元组信息，即可防范。

​ 当正常用户发送的流量达到后，被丢弃，然后正常用户会触发重传行为，而第二个重传报文到达本地后，本地抗D产品会匹配三元组信息，如果匹配成功，则流量通过。

​ 该方式只能拦截部分流量；一般会将首包丢弃和源认证结合使用。

三元组 ---- 源IP地址、源端口、协议。
如果没有匹配三元组，认为是首包，则丢弃。
如果匹配三元组。会计算与上一个报文的时间间隔。如果在时间间隔内，则认为是正常的重传报文，则放通。如果在时间间隔外，则认为是首包，丢弃。

TCP类攻击

SYN Flood攻击

​ 利用三次握手机制发起攻击。发送大量的SYN报文，当服务器回复SYN+ACK后，不予理会。导致服务器上存在大量的半连接。

• 源认证
  • 工作过程：
    1. 防火墙先对SYN报文进行统计，如果发现访问频率过高，则启动TCP源认证（源探测）功能。
    2. 防火墙收到SYN报文后，会回复一个带有错误确认序列号的SYN+ACK报文。
       • 如果防火墙能收到RST报文，则认为对端是真实客户端。
       • 如果未收到，则认为对端是一个虚假的源。
    3. 如果是真实，则将真实源的IP地址加入白名单，在老化之前，都认为是合法的。
  • 源验证只会做一次，通过后，立即加入到白名单，后续不再做验证。
  • 一般情况下，会将原认证和首包丢弃功能一起使用。
• TCP代理
  • 代理 ---- 在源和目标之间增加一台设备，两者的数据转发全部依靠该设备进行。
  • 工作过程：
    1. 防火墙先对SYN报文进行统计，如果发现访问频率过高，则启动TCP代理功能
    2. 收到SYN报文后，FW会代替服务器回应SYN+ACK报文。
       • 如果收到的ACK报文，则认为是正常的连接。
       • 如果没有收到ACK报文，则认为是虚假的连接。
    3. 如果是正常的连接，则防火墙会代替客户与服务器建立TCP三次握手。
  • FW会对每一个SYN报文进行回复，会导致FW资源消耗过多。
  • TCP代理，只能应用在报文来回路径一致的场景中。

UDP类攻击

UDP Flood攻击

​ 属于带宽类攻击，攻击者通过僵尸网络向目标服务器发起大量的UDP报文，且每个UDP报文都是大包，速率非常快。

• 消耗网络带宽资源，造成链路拥塞。
• 大量变源端口的UDP报文会导致依靠会话转发的网络设备宕机。

防御方式：

• 限流

  • [FW]firewall defend udp-flood base-session max-rate 10     ---- 基于会话的限流方式。
    

• UDP指纹学习

  • 通过分析客户端发送的UDP报文的载荷部分，是否存在大量的一致信息，来判断报文是否异常。
  • 访问对去往服务器的UDP报文进行指纹学习 —> 对比相同特征。如果同一个特征频繁的出现，则会被学习为指纹。

第十七章：反病毒 — 防病毒网关

​ 基于杀毒软件的一种防御技术，是一种被动的防御技术。

​ 防病毒网关和主机上的杀毒软件在功能上互补和协作的关系。

​ 病毒：一般是感染或者附着在应用程序或文件中的；一般都是通过邮件或文件共享的方式进行传输，从而对主机进行破坏。

计算机病毒的基础

​ 病毒：是一个恶意代码。

​ 计算机病毒具备破坏性、复制性和传染性的。

分类

​ 恶意代码 ---- 是一种可执行程序，通过把代码在不被察觉的情况下，嵌入到另一段程序中，从而达到破坏电脑数据，感染电脑文件的目的。

​ 命名规则：<病毒前缀><病毒名><病毒后缀> ----> 用来体现病毒的分类。

• 病毒前缀 ----- 恶意代码的类型
  • 病毒、蠕虫、木马、后门、勒索、挖矿、广告…
  • win32、Linux、java…
• 病毒名 ----- 一般用恶意代码家族命名 ----> 代表病毒具有相似的功能或者相同的来源
• 病毒后缀 ----- 恶意代码的变种

按照传播方式进行分类

病毒

​ 病毒：基于硬件和操作系统的程序。

​ 病毒攻击的目标程序就是病毒的栖息地，这个程序也是病毒传播的目的地以及下一次感染的出发地。

​ 病毒特点：需要附加在其他的宿主程序上进行运行；为了去躲避电脑杀毒软件的查杀，病毒可以将自身分裂、变形或加密。将自身的每一部分都附加到宿主程序上。

​ 一旦病毒文件执行，它会将系统中所有满足感染条件的可执行文件都加入病毒代码，进而通过用户自身对感染文件的拷贝传递给其他人。

蠕虫

​ 主要通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码 ----> 是一个可以自我拷贝到另一台计算机上的程序。

​ 蠕虫传播方式：通过网络发送攻击数据包。

​ 蠕虫的工作原理：

• 蠕虫的工作方式一般是“扫描→攻击→复制”。

木马

​ 传播方式：一般采用捆绑传播或利用网页挂马传播。

捆绑：把一个有界面的正常程序，和一个恶意软件绑定
挂马：在某个网页打开的同时，打开另一个页面，而另一个网页

​ 木马：是攻击者通过一些欺骗的方法在用户不知情的情况下安装的。

按照功能分类

• 后门
  • 功能：文件管理、屏幕监控、键盘侦听、视频监控
  • 机制：远程控制软件通过开放并监听本地端口，实现与控制端的通信，来执行相关操作。
• 勒索
  • 定义：通过加密用户文件，使用户数据无法正常使用，并以此为条件向用户勒索赎金。
  • 加密 ---- 非对称加密；
  • 特点：虚拟货币交易；
• 挖矿
  • 定义：攻击者通过向被感染设备植入挖矿工具，消耗被感染设备的计算机资源进行挖矿，来获取数字货币。
  • 特点：不会对感染设备的数据和系统造成破坏的，只是会消耗大量的设备资源，对硬件设备造成损害。
• 广告
  • 定义：以流量为盈利来源的恶意代码，一般广告软件都是强制安装并不可卸载。
  • 一般在广告软件的背后，都会集成间谍软件。

项目	病毒	蠕虫	木马
存在形式	寄生	独立个体	有寄生性
复制机制	插入到宿主程序中	自我拷贝	没有复制性
传染性	宿主程序运行	系统存在漏洞时传染	依据载体或功能
传染目标	针对本地其他文件	针对网络上其他计算机	肉机或僵尸计算机
触发机制	计算机使用者	自身触发	远程控制
影响重点	文件系统	网络性能	信息窃取
防治措施	从宿主程序中摘除	打补丁	检测并防止

病毒的行为特征

• 下载与后门特性
  • 下载特性：自动连接某一个web站点，从这个web站点上去下载其他病毒文件。
  • 后门特性
  • 举例：下载器病毒：本身时捆绑了多种病毒文件的木马病毒。
• 信息收集特性
  • OO密码、聊天记录、游戏账号密码、银行账号密码、网页浏览器记录
  • 举例：火焰病毒 ---- 网络战争武器
• 自身隐蔽特性 ---- 很多病毒会将自己的属性设置为“隐藏”或者“只读”。
• 文件感染特性
• 网络攻击特性
  • 举例：爱虫病毒 —> 把自己伪装成情书。
    • windows outlook

病毒传输方式

• 电子邮件
• 网络共享
• P2P共享软件
• 系统漏洞
• 广告软件/灰色软件（流氓软件）
• 其他

恶意代码免杀技术

​ 免杀技术 ----- 免杀毒技术，是一种能使恶意代码免于被杀毒软件或杀毒设备查杀的技术。其本质还是对病毒内容的修改。

免杀技术 ----> 汇编语言（反汇编语言）、逆向工程、系统漏洞.....

• 修改文件特征码
• 修改内存特征码
• 行为免查杀技术

杀毒软件检测方式

基于文件扫描的反病毒技术

• 第一代

  • 在文件中检索病毒特征序列。

  • print("hello world")
    

  • 该技术虽然出现的早，但是到现在为止，还是被各大厂商所使用的方案。

  • 字符串扫描技术 ---- 使用从病毒中提取出来的具有特征的一段字符来检测病毒，这些字符必须在一般程序中不太可能出现。

  • 通配符扫描技术 ---- 因为字符串扫描技术有执行速度和特征码长度的限制，所以逐渐被通配符扫描替代。

    • 正则表达式

    • 特征码：...020E 07BB %3 56C9....1、尝试匹配02
      2、尝试在上一步的基础上，匹配0E
      3、.....
      4、??标识忽略此字节...020E 07BB AA02 1111 56C9......020E 07BB AA02 花指令（10字节） 1111 56C9...
      

• 第二代 — 是在第一代的基础上，对检测精度上提出了更严格的要求。

  • 智能扫描法 ---- 类似于AI；基于人工智能和机器学习技术的扫描方式。分析上下文或者关联程序的行为模式。
  • 骨架扫描法 ---- 卡巴斯基公司搞出来的；采用逐行分析行为。在分析时，将所有的非必须字符丢弃，只剩下代码的骨架，对代码的骨架进行进一步的分析，在一定程度上可以增加了对变种病毒的检测能力。
  • 近似精确识别法
    • 多套特征码：采用至少两个字符串来检测每个病毒。
    • 校验和：让每一个无毒软件生成一个校验和，等待下一次扫描时在进行简单的校验和对比。如果校验和发生变化，则代表文件发生改变，需要对其进行完整扫描。
  • 精确识别法 ---- 是目前唯一一种能够保证扫描器精确识别病毒变种的方法。通常与第一代扫描技术结合使用。
    • 利用校验和。

• 第三代 ---- 算法扫描

基于内存扫描的反病毒技术

​ 内存扫描器：与实时监控扫描器协同工作。

​ 应用程序在运行后，都会将自身释放到内存中，导致释放后的文件结构和未执行的文件有较大的差异。

​ 内存扫描器和文件扫描器所使用的逻辑相同，但是使用的特征码不同。

​ 内存扫描器精确度高于文件扫描器。

基于行为监控的反病毒技术

​ 一般需要和虚拟机技术配置使用的。

​ 原理：在一个完全隔离的环境中，运行文件信息，监控文件的行为，并将其和其他病毒文件的行为进行分析对比，如果某些程序在执行时进行了一些可以的操作，那么认为是一个病毒文件。

​ 可以检测出来新生病毒。

所谓的行为 ---- 指的是应用程序运行后的操作。
行为特征 ---- 一个程序按照某种顺序执行某一系列操作所具备的特征。

基于新兴技术的反病毒技术

• 云查杀 ---- “可信继承，群策群力”。

  • 思路：以服务器为脑，所有用户的机器为触角；使得服务器可以随时随地知道每个用户的情况，如果其中一个用户和其他用户对比产生差异，那么服务器发出指令，让发生异常的机器进行检查，并将问题反馈给服务器。

• 可信继承

  • 进程A 具有根的数字签名的根可信进程，那么他在被用户执行时，就不会触发任何杀毒软件的操作，而由A进程创建的新的进程，也称为可信进程。
    进程B 是一个非可信程序，那么被执行时，就会被用户严密监控，如果存在敏感行为，则停止，并立即上报给服务器。
    

• 群策群力

  • 某一台PC发现病毒，立即上报给服务器；服务器会将该信息通知给所有信任网络中的PC。
  • 云计算和病毒木马 ----> 分布式。
  • 病毒木马感染的速度越快、感染的面积越大，则被云查杀捕获到的可能性越大。

免杀技术思路原理

​ 最基本的思想时破坏特征，这个特征可能是特征码，也可能是行为特征，只要是破坏了病毒或木马的固有特征，并保证其原有功能没有被破坏，那么一次免杀就完成了。

​ 特征码：病毒文件中独一无二的字符。如果某一个文件具有这个特征码，那么反病毒软件就会认为这个文件是病毒。反之，就是一个正常的文件。

修改文件特征码免杀技术

​ 加壳、加花指令、直接修改特征码

• 直接修改特征码

  • 特征码：是能够识别一个程序的，不大于64字节的字符。

  • 第一种思想，改特征码。-----> 免杀的最初方法。

  • 		文件1
    1.aaaaaaaaaaaaaaaaaaa
    2.bbbbbbbbbbbbbbbbbbb
    3.ccccccccccccccccccc
    4.灰鸽子上线成功！
    5.ddddddddddddddddddd文件2
    1.aaaaaaaaaaaaaaaaaaa
    2.bbbbbbbbbbbbbbbbbbb
    3.ccccccccccccccccccc
    4.
    5.ddddddddddddddddddd
    

  • 特征码		文件第四行若有“灰鸽子上线成功！”字段，则此文件有毒
    文件		 文件1		文件2
    结果		 有毒			无毒
    

  • 第二种思想，主要针对校验和查杀的免杀思想。

    • 校验和：也是根据病毒文件中与众不同的代码计算出来的，如果文件某个特定位置的校验和符合病毒库中的特征，那么反病毒软件会告警。

    • 		文件1
      1.aaaaaaaaaaaaaaaaaaa
      2.bbbbbbbbbbbbbbbbbbb
      3.ccccccccccccccccccc
      4.灰鸽子上线成功
      5.ddddddddddddddddddd文件2
      1.aaaaaaaaaaaaaaaaaaa
      2.bbbbbbbbbbbbbbbbbbb
      3.ccccccccccccccccccc
      4.上线成功
      5.ddddddddddddddddddd
      

• 加壳修改特征码

  • 软件加壳 ---- 软甲加密或者软件压缩。一般的加密是为了防止陌生人随意访问我们的数据，但是加壳的目的是减少被加壳应用程序的体积，或避免让程序遭到不法分子的破坏和利用。
  • 壳是增加的一个保护机制，它并不会破坏里面的程序。当我们运行加壳的程序时，系统首先会运行程序的“壳”，然后由“壳”来将加密的程序逐步的还原到内存中，最后运行程序。

• 加花指令修改特征码

  • 花指令：指的是一段毫无意义的指令（垃圾指令）。
    • 花指令是否存在对程序结果没有影响，所以它存在的唯一目的就是阻止反汇编。
    • 加了花指令后，杀毒软件对木马静态反汇编时，木马的代码就不会正常显示出来，加大杀毒软件的查杀难度。
  • 花指令会严重影响反病毒软件的i就按测机制；黑客为一个程序添加了一段花指令后，程序的部分偏移会受到影响，如果反病毒软件无法识别这段花指令，那么它检测特征码的偏移量会整体位移一段位置，自然就无法正常检测木马了。
  • 花指令的本质：扰乱程序运行顺序。

• 改变程序入口点修改特征码

  • 程序入口点 ---- 程序最开始执行的函数。
  • 特点：与其他免杀方式结合。

​ 基于文件的免杀技术，基本上就是在破坏原有程序的特征，无论是直接修改还是加信息，最后的目的只有一个，就是打乱或加密可执行文件内部的数据。

修改内存特征码的免杀技术

​ 内存 ----- 在安全领域非常重要。

​ 内存复杂的原因 ---- 内存一般情况下是数据进入CPU之前的最后一个可控的物理存储设备。

​ 从理论上讲，任何被加密的可执行数据在被CPU执行前，肯定是会被解密的，否则CPU无法执行。

​ 因为即将被执行的程序，肯定比为被执行的程序威胁更大。

​ 与文件特征码免杀技术相同，除了加壳。

行为免查杀技术

​ 文件防火墙 -----> 主动防御 -----> 云查杀

​ 为什么会将程序称为病毒或木马？----> 因为这些程序运行后的行为与正常程序不同。

​ 行为 ---- 牵扯到操作系统底层。

​ 内核级病毒

​ 0day（漏洞）----> 黑客将能够躲避主动防御的方法。

反病毒

​ 单机反病毒、网关发病毒。

​ 反病毒方式：对文件进行查杀。必修要先接收文件，然后缓存文件，对文件进行查杀。

​ 缓存 ---- 消耗内存资源，降低工作效率。

​ 理念：基于流的文件检查；基于文件片段来执行检测。会将文件进行分片重组操作，然后基于片段进行扫描，来提高检查效率。

代理扫描 ---- 所有文件都需要被防火墙自身进行缓存，然后再送到病毒检测引擎中进行检测。

流扫描 ---- 依赖于状态检测技术，以及协议解析技术，提取文件的特征和本地特征库进行匹配。

1. 先识别出流量对应的协议类型和文件传输方向

2. 识别完成后，先对协议进行判断，看是否支持反病毒检测

   • FW支持：FTP、HTTP、POP3、IMAP、SMTP、NFS、SMB
     

   • 如果在上述支持的协议内，则会进入后续的检查，否则流量不进行反病毒检测，而是进行其他检测机制。

   • 同时，会判断文件的传输方向 ----> 防火墙支持不同方向的防病毒检测。文件的上传和下载。

3. 与白名单进行对比

   • 白名单是可以自行设置的，命中则不检查，未命中则检查。

4. 接下来，病毒检测（特征库对比）。

   • 先针对文件进行特征的提取，然后将提取出来的特征与本地特征库进行匹配。
   • 特征库 ---- 是由华为公司分析各种常见的病毒特征而形成的。
     • 病毒库对各种常见的病毒特征都做了定义，并且都分配了一个唯一的病毒ID。
     • 病毒的特征库是需要向厂商购买license。

5. 检测到病毒后

   • 如果配置了病毒例外；这相当于是某种病毒的白名单，为了避免由于系统误报等原因造成文件传输失败的情况发生，当用户认为检测到的某个病毒是误报时，可以将该病毒ID加入到病毒例外中，此时会对该文件进行放通。

6. 如果不在病毒例外名单中

   • 则判断改病毒文件是否命中应用例外。相当于给某一款应用设定的特殊动作；对某些应用设定的例外动作。

   • 应用 = 协议
     应用承载与协议之上，同一个协议可以承载多种应用。
     

   • 应用例外的动作规定

     • 如果只配置了协议动作，则协议上所有的应用都继承改动作。
     • 如果协议和应用都配置了动作，则以应用为主。

7. 如果没有命中病毒例外和应用例外，则按照配置文件中配置的协议和传输方向对应的响应动作来处理文件。

   • 告警 ---- 允许病毒通过，但是生成日志。
   • 阻断 ---- 对于任何协议的病毒文件，全部阻止通过，同时生成病毒日志。
   • 宣告 — 针对邮件文件；允许文件通过，但是会在邮件正文中，添加检测到病毒的提示信息，生成日志。
   • 删除附件 — 针对邮件文件；允许文件通过，但是设备会删除邮件的附件内容，并在邮件正文中添加宣告，生成病毒日志。

第十八章：入侵检测/防御系统（IDS/IPS）

​ 所谓的“网络威胁”，经常是融合了病毒、黑客攻击、木马、僵尸、间谍…一系列危害于一身的混合体。

​ 为了针对引用层的内容进行安全检测以及防御 ----> 设计的安全产品IDS—入侵检测系统。可理解为一个“网络摄像头”。

​ IDS更多的是一种侧重于风险管理的设备。IDS本身可以发现威胁，却不能消除威胁。

​ IDS缺陷：一些重要的风险数据往往夹杂在正常的数据中，这就会导致IDS在分析时，经常把完全正常的文件数据认为是威胁，倒是误报率非常高。

​ IDS优势：部署非常灵活，因为不需要直接对流量做防御手段，所以IDS可以选择旁挂在网络中，通过镜像接口来分析流量即可。

​ 入侵防御系统 — IPS；对网络流量进行检测，发现网络的入侵行为，并且在第一时间丢弃入侵报文或者阻断攻击源。

​ IPS更多的是侧重于风险控制的设备。

网络入侵

​ 入侵 — 指的是未经授权而尝试访问信息系统资源、篡改信息系统中的数据，使得信息系统不可靠或不能使用的行为。---- 本质逻辑就是破坏了CIA（机密性、完整性、可用性）。

• 未授权访问
• 拒绝服务
• 假冒和欺骗 — 进行权限获取。
  • 欺骗 — 非法用户冒充合法用户。
  • 假冒 — 权限低的用户冒充权限高的用户。
• 窃听 — 线路窃听
• 病毒
• 木马
• 后门
• 电磁辐射
• 盗窃

入侵检测系统IDS

​ 入侵检测 — ID，通过检测各种操作，分析和审计各种数据现象来实现检测入侵行为的过程。

​ 入侵检测系统 — IDS，用于入侵检测的所有软硬件系统；IDS是通过分析网络中的流量或日志，识别潜在的攻击行为的安全系统。

​ 核心任务：发现攻击→发出报警→记录证据。

IDS如何工作？

1. 数据采集
   • NIDS ---- 探针（监听网络流量）
   • HIDS ---- 监控软件（服务器上zabbix监控软件），监控主机日志。
2. 数据分析（分析引擎）
   • 签名检测 ---- 对比已知的特征库
   • 异常检测 ---- 建立一种正常行为的基线，当网络流量偏离基线则告警。
3. 报警与响应
   • 由软硬件设备，通过告警邮件/短信，生成一些日志报告

异常检测模型

​ 异常检测基于一个假定：用户的行为是可以预测的，遵循一致性模型。

​ 入侵行为的前兆 ---- 用户的异常行为。异常检测模块会首先基于用户行为的收集，建立一条用户行为的基线。

误用检测模型 — 签名（特征）检测

​ 误用检测 ---- 其实就是创建了一个异常行为的特征库。我们将一些入侵行为记录下来，总结成特征，之后，我们检测流量和特征库进行对比，来发现威胁。

​ 一个是基于行为，一个是基于特征的。

异常检测	误用检测
优点： 不需要专用的操作系统缺陷特征库； 有效检测对合法用户的冒充检测。	优点： 可检测所有已知入侵行为。 能够明确入侵行为并提示防范方法。
缺点： 建立正常的行为轮廓和确定异常行为轮廓的阀值困难。 不是所有的入侵行为都会产生明显的异常。	缺点： 缺乏对未知入侵行为的检测。 对内部人员的越权行为无法进行检测。

类型	监控对象	部署位置	典型场景
NIDS	网络流量	网络边界（在防火墙之后）	DDoS、端口扫描…
HIDS	主机行为	服务器/主机	提权操作、勒索软件…

优点：1.实时监控2.证据留存3.灵活部署
缺点：1.误报2.漏报

​ 核心价值：IDS是网络安全的第一道防线，但需要与其他工具协同构建纵深防御。

​ 没有绝对的安全，但是有持续的守护。

入侵防御系统IPS

​ IPS ---- 智能门卫 ---- 实时监控，主动拦截，守护安全之门。

​ 功能：实时分析网络流量，主动拦截攻击的安全设备/软件。

​ 核心能力：检测→分析→阻断→记录。

智能门，如果智能门误判好人（阻拦合法流量），会有什么后果？

​ IPS也会存在误报的情况，那么在使用IPS的时候，就需要平衡安全性和业务的连续性。

IPS如何工作？

1. 流量捕获
   • 需要接收网络中所有的流量。部署在网络的关键节点上。
2. 攻击识别 ---- 与IDS相同
   • 签名
   • 行为
3. 实施阻断 ---- 丢弃恶意数据包，重置连接，屏蔽IP。
4. 记录日志

IPS部署

• 内联部署 — 类似于桥梁，所有流量必须经过IPS。
• 旁路部署 — 类似于摄像头，流量不需要经过，但是会拍照。

维度	IPS	IDS
角色	防御者	监控者
部署方式	内联	旁路
相应速度	毫秒级切断	依赖人工响应
风险	误报导致业务中断	误报仅产生告警，不影响业务

​ 一般在企业中，都会同时部署IDS和IPS产品，IPS阻断已知攻击行为，IDS辅助发现未知威胁，形成互补。

​ 核心价值：宁可错拦，不可放过。

防火墙IPS模块

1. 重组IP分片和TCP分段数据流。

2. 对重组后的流量进行特征提取。

3. 将提起到的特征与签名进行比对，用预先设定好的动作来处理。

   签名 ---- 理解为我们针对网络上的攻击特征的描述。

   签名可以理解为将特征进行HASH后的结果。

• 预定义签名 ---- 设备上自带的特征库，需要激活license后才可以获取的
  • 签名库里面的签名是实时从华为提供的安全服务中心获取的最新的入侵防御版本来更新库文件，并且该库文件不能修改。
    • 签名的特征是无法修改的，但是签名的动作可以修改
• 自定义签名 ---- 可以由网络管理员根据自身需求的定义的威胁签名。
  • 设置的动作：1.阻断；2.告警；3.放行。

• 对象：代表签名所检测的对象，也可以用来描述网络威胁的攻击对象
  • 服务端、客户端、二者均有。
• 严重性：分为高中低三种
• 协议：IPS用于协议识别的
  • 与后续的应用程序一起，描述攻击目标。
• 应用程序：IPS用于应用识别的
  • 描述网络威胁，使用的应用程序。
• 对策：针对此漏洞，被攻击者应该做出的防范措施。
  • 安全设备只是拦截的问些，并不是解决了威胁。
  • 真正消除漏洞的方法：升级系统，打补丁。

​ 关联签名 ---- 可以关联一个预定义签名。

• 关联之后，自定义签名就只能配置严重性和执行动作了
• 因为此时，这个自定义签名就会变成了按照关联签名匹配到次数而触发执行动作的一个签名了。
  • 预定义签名为威胁
  • 自定义签名相当于在预定义之上，更加具体。
• 如果在“检查周期”内触发超过“匹配次数”或阻断超过“阻断时间”，则认为是匹配该自定义签名。

• 检测范围
  • 报文 — 逐包检测
  • 消息 — 基于一个完整的消息进行检测
    • 一个消息可能由多个报文组成，分多次发送，一个报文也可能包含多个消息。
  • 流 — 基于数据流进行检测
    • 只能是运行在TCP协议之上的应用层协议才能有效。
• 按顺序检测 ---- 可选项
  • 与“检查下列表”有关；检查项列表 —> ACL规则
    • 如果勾选，自上而下，逐一匹配。
    • 如果没有勾选，所有规则之间属于“且”关系。所有规则都要匹配。

• 字段 ---- 与前面写的“协议”有关。

• 操作符 ---- 定义的是匹配规则

  • 匹配 ---- 完全命中设定的数值
  • 前缀匹配 ---- 匹配以“xxx”开头的数值

• 匹配方向 ---- 与访问方向有关

  • both ---- 双向
  • from-client ---- 来自于客户端
  • from-server ---- 来自于服务端

• 偏移/搜索字节数 ---- 一起关注

  • 偏移一般为0，直接按照“值”来匹配

  • 如果向匹配的是从“值”后的3个字节开始的5个字节
    偏移量=3，字节数=5
    

​ 入侵防御的策略是在安全策略中调用，而签名是在入侵防御策略中调用。

​ 入侵防御的策略 —> 其实就是对签名的引用。因为不同的需求，需要去检查的签名是不同的。

​ 暴力破解 ---- 一个IP发送大量的数据包的情况。

例外签名

​ 因为签名过滤器里面进行选择时，是一种分类批量操作的行为，并且配置的动作都是统一的。这样虽然方便，但是，也有些签名希望可以被区别对待，做出和整体设定不一样的动作，此时，就可以把这个签名，添加到例外签名中。

​ 阻断 and 隔离源IP 和 阻断 and 隔离目的IP 动作，阻断流量，并且将IP放入黑名单，按照超过时间隔离。

​ 例外签名用于解决一些过度防御的场景。

​ 如果命中多个签名，签名实际动作都为告警时，则最后动作就是告警。如果由一个签名动作作为阻断，则最终为阻断。