网络安全与防御

1. 什么是IDS？
IDS(入侵检测系统)：入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。主要针对防火墙涉及不到的部分进行检测。

入侵检测主要面对的三类用户：

合法用户
伪装用户
秘密用户
2. IDS和防火墙有什么不同？
防火墙是针对黑客攻击的一种被动的防御，旨在保护；IDS则是主动出击寻找潜在的攻击者，发现入侵行为。

防火墙可以允许内部的一些主机被外部访问，IDS则没有这些功能，只是监视和分析用户和系统活动。
防火墙是设置在保护网络(本地网络)和外部网络之间的一道防御系统。
防火墙只是防御为主，通过防火墙的数据便不再进行任何操作，IDS则进行实时的检测，发现入侵行为即可做出反应，是对防火墙弱点的修补。

3. IDS工作原理？

 识别入侵者

识别入侵行为

检测和监视已成功的入侵

为对抗入侵提供信息与依据，防止时态扩大

4. IDS的主要检测方法有哪些详细说明？
异常检测模型**（Anomaly Detection）

首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是 入侵。

误用检测模型**（Misuse Detection）

收集非正常操作的行为特征，建立相关的特征库，当检测的用户或系统行为与库中的记录相匹配时，系 统就认为这种行为是入侵，误用检测模型也称为特征检测（Signature-based detection）。

5. IDS的部署方式有哪些？
共享模式和交换模式：从HUB上的任意一个接口，或者在交换机上做端口镜像的端口上收集信息。
隐蔽模式：在其他模式的基础上将探测器的探测口IP地址去除，使得IDS在对外界不可见的情况下正常工作
Tap模式：以双向监听全双工以太网连接中的网络通信信息，能捕捉到网络中的所有流量，能记录完整的状态信息使得与防火墙联动或发送Reset包更加容易
In-Iine模式：直接将IDS串接在通信线路中，位于交换机和路由器之间。这种模式可以将威胁通信包丢弃，以实时阻断网络攻击
混合模式：通过监听所有连接到防火墙的网段，全面了解网络状况。

6. IDS的签名是什么意思？签名过滤器有什么作用？例外签名配置作用是什么？
IDS的签名：入侵防御签名用来描述网络中存在的攻击行为的特征，通过将数据流和入侵防御签名进行比较来检测和防范攻击。如果某个数据流匹配了某个签名中的特征项时，设备会按照签名的动作来处理数据流。入侵防御签名分为预定义和自定义签名。

签名过滤器作用：由于设备升级签名库后会存在大量签名，而这些签名没有进行分类，且有些签名所包含的特征本网络中不存在，需要设置签名过滤器对其进行管理，并过滤掉。

签名过滤器的动作：

阻断：丢弃命中签名的报文，并记录日志
告警：对命中签名的报文放行，但记录日志。
采用签名的缺省动作，实际动作以签名的缺省动作为准
例外签名：

作用：由于签名过滤器会批量过滤出签名，且通常为了方便管理会设置为统一的动作。如果管理员需要将某些 签名设置为与过滤器不同的动作时，可将这些签名引入到例外签名中，并单独配置动作。

动作：

阻断：丢弃命中签名的报文并记录日志
告警：对命中签名的报文放行，但记录日志
放行：对命中签名的报文放行，且不记录日志。

 1. 什么是恶意软件？

恶意软件(俗称“流氓软件”)是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其它终端上安装运行，侵犯用户合法权益的软件或代码。简而言之，就是会造成不良后果的软件或代码。恶意软件可以隐藏在合法的软件应用程序或文件中，或者其作者可以将其伪装成用户不知不觉下载的看似无害的应用程序。

2. 恶意软件有哪些特征？

恶意软件所具有的特征如下：

1）下载特征
很多木马、后们程序见得软件会自动连接到Inrternet某Web站点，然后下载其他的病毒文件或该病毒自身的更新版本/其他变种

2）后门特征
后们程序及很多木马、蠕虫和间谍软件会在首感染的系统中开启并且监听某个端口，允许远程恶意用户来对系统进行远程操作。
某些情况下，病毒还会自动连接到某IRC站点某频道中，使得该频道中特定的恶意用户远程访问受感染的计算机。
3）信息收集特征
QQ密码和聊天记录
网络游戏账号密码
网上银行账号密码
用户网页浏览记录和上网习惯
4）自身隐藏特征
多数病毒会讲资审文件的属性设置为”隐藏“、”系统“和“只读”，更有一些病毒会通过修改注册表，从而修改用户对系统的文件夹访问权限、显示权限等，来让病毒更加隐藏不易被发现。

5）文件感染特征
病毒会讲恶意代码插入到系统中正常的可执行文件当中，将系统的正常文件进行破坏，导致文件的无法正常运行，或者让系统正常文件感染病毒变成了病毒体，通过分享等方式扩散
有的文件型病毒会感染系统中其他类型的文件
6）网络攻击特征
木马和蠕虫病毒会修改计算机的网络设置，导致计算机无法访问到网络
木马和蠕虫还会像网络中其他计算机攻击、发送大量数据包来阻塞网络，甚至通过散布虚假网关地址的广播包来七篇网络中其他的计算机，导致网络瘫痪
3.恶意软件的可分为那几类？
按照传播方式分类
1）病毒
定义： 病毒是指编译者在计算机程序中插入了一个会破坏计算机功能或者破坏数据，影响计算机正常使用并且能够自我复制的一组计算机指令或程序代码； 被病毒攻击的宿主程序是病毒的栖息地，它是病毒传播的目的地，对于下一个感染的出发点
感染过程： 当计算机运行已经感染了的宿主程序的时候，病毒会夺取控制权，寻找是否有可以被感染的地方，然后将在将病毒程序放到缺口处，完成了感染；
主要传播方式：
1）通过移动存储设备进行病毒传播；比如说U盘、光碟、移动硬盘等。
2）通过网络传播；比如说网页、电子邮件、qq等
3）利用计算机系统和应用软件的弱点进行传播；
4）通过依附在文件上进行传播
特征

破坏性：病毒入侵计算机后，可能会将计算机中的数据信息删除或者破坏掉，严重的话会造成大面积的计算机瘫痪，对 计算机用户造成很大的损失。
传染性： 病毒可以通过U盘，软盘等移动设备进行传播，入侵到计算机上，在入侵之后，它会自我复制，实现病毒扩散，然后感染越来越多的计算机
寄生性：病毒是需要依附在文件或者其他宿主上才可以存活，并且发挥自己的破坏性来干扰计算机的正常功能。

可执行性：计算机病毒和其他正常程序是一样的，它是一个可以执行成功的程序，但不是完整的，它需要靠依附在其他可以执行的程序上面，才能得到一切程序都能得到的权力。
病毒的类型：

网络病毒：通过网络等上网方式进行传播感染的病毒
文件病毒：主要是针对计算机中的文件
引导型病毒：是一种主攻感染扇区和硬盘系统引导扇区的病毒
2）蠕虫
定义： 蠕虫是主要通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码，一个能够自我复制，然后在将复制过后的传播到另一台计算机上的程序
传播过程： 蠕虫会长时间的存在一个或者多个机器里面，并且具有复制的能力，如果它检测到某个网络中的某一台机器没有被占用，它就会吧自身的替身复制到这个计算机里面，并且每一个蠕虫都可以把自己的替身复制到重新定位于另一台机器中，并且能够识别它占用的哪台机器。
蠕虫的结构

目标定位：为了在网络上快速传播，蠕虫是具有发现没有被感染的计算机的能力。
感染传播：蠕虫的重要组成是会把自己传输到新系统并且进行远程控制系统的策略，
远程控制和更新接口：
蠕虫会利用通信模块进行远程控制，如果没有这个模块，蠕虫的创作者就不能通过给蠕虫复制信息来控制整个网络。
更新和差几案接口允许在被感染的计算机系统上更新蠕虫代码。
生命周期管理：部分蠕虫的创作者希望蠕虫在某个时间段内进行工作，就会事先设定一个时间让他工作。
3）木马
定义： 木马时攻击者通过欺骗的方式在用户不知道的情况下安装的。然后用来进行一个远程操控被中了木马的计算机。
**传播过程：**黑客利用木马配置工具生成一个木马的服务端，然后通过各种手段安装用户终端，在利用一些其他手段，让木马启动运行；然后远程操作窃取用户隐私然后发送给自己或者黑客；同时给黑客提供权限，可以操作计算机的更多方式。
特征
1）隐蔽性
木马可以长期存在，他会将自己伪装成为合法的应用程序，让用户难以分辨，这个也是木马的一个重要特征
2）欺骗性
木马病毒隐藏主要手段是欺骗，经常使用伪装的手段将自己合法化。
3）顽固性
木马病毒为了保障自己可以不断蔓延，往往像毒瘤一样驻留在被感染的计算机中，有多个备份文件存在，与i但主要文件被删除，便马上可以恢复。
4）危害性
只要被木马病毒感染，别有用心的黑客便可以执行任意操作，就像在本地使用计算机一样，对被控制的计算机的破坏可想而知。
传播过程

利用下载进行传播，在下载的过程中进入程序，当下载完毕打开文件就会将病毒植入到电脑当中
利用系统漏洞进行传播，当计算机存在漏洞的时候，就会成为木马的攻击的对象
利用邮件进行传播，很多陌生邮件里面就掺杂了病毒种子，一旦邮件被打开，邮件里面的病毒就被激活
利用远程连接进行传播
利用网页进行传播
按照功能分类
1）后门
定义： 后们是指绕过安全控制来获取对程序或系统访问权限的方法；后门的主要目的就是为了方便以后可以再次进入或者控制系统（在不被发现的情况下）
来源

攻击者利用欺骗的手段，通过电子邮件或者文件等方式，诱使主机的操作源打开或者运行藏有木马程序的邮件或者文件，这些木马程序就会在主机上面创建一个后门
攻击者攻陷一台主角及，获取到主机的控制权限，在主机上直接建立后门，方便以后的操作。
典型功能 文件管理，屏幕控制，键盘监控，视频监控，命令执行等
典型家族 灰鸽子、pCshare
2）勒索
定义：
勒索病毒是一种新型的电脑病毒，它主要是通过邮件、程序木马、网页挂马的形式来进行传播。这种病毒危害极大，一旦被感染，将给用户带来无法估量的损失。
这种病毒式利用各种加密算法对文件进行加密，被感染者一般是无法解密的，必须要拿到解密的私钥才有可能破解。
攻击对象

针对且也用户
针对所有用户
加密特点
主要采用非对称加密的方式
对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密
啊通过比特币或者其他虚拟货币进行传播
利用钓鱼邮件和baoprdp口令进行传播
典型家族 Wannacry、GandCrab、Globelmposter
3）挖矿
定义
攻击者通过向被感染设备植入挖矿工具，消耗被感染设备的巨酸资源进行挖矿，来获取到数字货币收益的恶意代码
特点：

不会对感染设备的数据和系统造成破坏
因为消耗设备资源，所以可能会对设备硬件造成损害
危害
1)直接危害
主机会长时间执行高性能计算，浪费网络贷款，CPU和内存占用较高，不能及时处理用户的正常请求或任务
点亮消耗增加，加快了电脑CPU、内存等硬件老化速度。
2）潜在危害
-黑客通过挖矿程序窃取机密信息

黑客控制主机作为“肉机”攻击互联网上的其他单位，违反网络安全法
黑客利用已经控制的机器，作为继续对业务系统区域渗透的跳板，产生更严重的网络安全攻击事件。
4. 恶意软件的免杀技术有哪些？
免杀技术：
免杀技术又称为免杀病毒技术，是防止恶意代码免于被杀毒设备查杀的技术，主流免杀技术有

修改文件特征码
修改内存特征码
行为免查杀技术
文件免杀：
黑客们研究木马免杀的最终目标就是在保证原文件功能正常的前提下，通过一定的更改，使得原本会被
查杀的文件免于被杀。要达到不再被杀的目的方法有很多种，其中最直接的方法就是让反病毒软件停止工作，或使病毒木马“变”为一个正常的文件。然而如何使一个病毒或木马变成一个正常文件，对于黑客们来说其实是一个比较棘手的问题，不过只要学会了一种免杀原理，其他的免杀方案也就触类旁通了。

内存免杀：
一般情况下内存是数据进入CPU之前的最后一个可控的物理存储设备。 在这里，数据往往都已经被处理成可以直接被CPU执行的形式了，像我们前面讲的加壳免杀原理在这里也许就会失效了。
我们知道，CPU不可能是为某一款加壳软件而特别设计的， 因此某个软件被加壳后的可执行代码CPU是读不懂的。这就要求在执行外壳代码时，要先将原软件解密,并放到内存里，然后再通知CPU执行。
如果是这样，那么从理论上来讲任何被加密的可执行数据在被CPU执行前，肯定是会被解密的,否则CPU就无法执行。也正是利用这个特点，反病毒公司便在这里设了一个关卡.这就使得大部分运用原有文件免杀技巧处理过的病

行为免杀：
当文件查杀与内存查杀都相继失效后，反病毒厂商便提出了行为查杀的概念,从最早的“文件防火墙”发展到后来的“主动防御"，再到现在的部分”云查杀”，其实都应用了行为查杀技术。而对于行为查杀，黑客们会怎样破解呢?我们都知道一个应用程序之 所以被称为病毒或者木马，就是因为它们执行后的行为与普通软件不一样。因此从2007年行为查杀相继被大多数反病毒公司运用成熟后，黑客免杀技术这个领域的门槛也就一下提高到了顶层。反病毒公司将这场博弈彻底提高到了软件领域最深入的一-层一系统底层, 这就使得黑客们需要掌握的各种高精尖知识爆炸式增长，这-举动将大批的黑客技术的初学者挡在了门外。

5. 反病毒技术有哪些？
反病毒：
反病毒是指一种安全机制，它可以通过识别和处理病毒文件来保证网络安全，必免因为病毒文件引起的数据破坏、权限更改和系统崩溃等情况的发生.

反病毒的技术
单机反病毒
1）可以使用检测工具

单机反病毒可以通过使用杀毒软加的方式来进行防御，也可以通过专业的防病毒工具实现
病毒检测工具用于检测病毒、木马、蠕虫等恶意代码，有些检测工具同时提供修复的功能
常见的病毒检测工具有：
TCP View
Regmon
Filemon
Process Explorer
IceSword
Process Monitor
Wsyscheck
SREng
Wtool
Malware Defender
2）杀毒软件
杀毒软件主要通过一些引擎技术来实现病毒的查杀比如说主流的查杀技术：
特征码技术：杀毒软件存在病毒特征库，包含了各种病毒的特征码；特征码是一段特殊的程序，从病毒样本中抽取出来，与正常的程序不太一样，把被扫描的信息与特征库进行对比，如果匹配到了特征库，则认为扫描的信息为病毒
行为查杀技术：病毒在运行的时候会有各种行为特征，比如会在系统里面增加有特殊后缀的文件，监控用户的行为等，当检测到某被检测信息有这些特征行为的时候，会认为这个检测的信息是病毒
网关反病毒
内网用户可以访问外网，并且经常需要从外网下载文件
内网部署的服务器经常接受外网用户上传的文件。
6. 反病毒网关的工作原理是什么？
首包检测技术
通过提取PE系统下可以移植的执行体，包括exe，dll等文件类型、文件头部特征判断文件是否是病毒文件，提取PE文件头部数剧，这些数据通常带有某些特殊操作，并且采用hash算法生成文件头部签名，与反病毒首包规则签名进行比较，能匹配的话就判定为是病毒
启发式检测技术
启发检测是指对传输文件进行反病毒检测时，发现该文件的程序存在潜在风险，极有可能是
病毒文件。比如说文件加壳，当这些与正常文件不一致的行为达到一定的阈值，则认为该文件是病毒
启发检测的响应动作与对应协议的病毒检测的响应动作相同，启发式检测可以提升网络环境的安全性，消除安全隐患，但是这个功能会降低病毒检测的性能，并且存在误报风险，所以系统默认情况下这个功能是关闭状态。
文件信誉检测技术
文件信誉检测时计算全文MD5，通过MD5值与文件信誉特征库匹配进行加测，文件信誉特征库里面包含了大量的知名的病毒文件的MD5值，话温载文件信誉检测技术方面主要依赖于文件信誉静态上级更新以及与沙箱联动，然后自学到的动态缓存。
7. 反病毒网关的工作过程是什么？
1.网络流量进入智能感知引擎后，首先智能感知引擎对流量进行深层分析，识别出流量对协议类型和文件传输的方向。
2.判断文件传输所使用的协议和文件传输的方向是否支持病毒检测
3.判断是否命中白名单，命中白名单单后，防火墙将不会对文件进行病毒检测
4.针对域名和URL，白名单规则有以下4种匹配方式：
前缀匹配：host-text或url-text配置为“example”的形式，即只要域名或URL的前缀是
“example”就命中白名单规则。
后缀匹配：host-text或url-text配置为“example”的形式，即只要域名或URL的后缀是
“example”就命中白名单规则。
关键字匹配：host-text或url-text配置为“example”的形式，即只要域名或URL中包含
“example”就命中白名单规则。
精确匹配：域名或URL必须与host-text或url-text完全一致，才能命中白名单规则
5.病毒检测

智能感知引擎对符合病毒检测的文件进行特征提取，提取后的特征与病毒特征库中的特征进行
匹配。如果匹配，则认为该文件为病毒文件，并按照配置文件中的响应动作进行处理。如果不
匹配，则允许该文件通过。当开启联动检测功能时，对于未命中病毒特征库的文件还可以上送
沙箱进行深度检测。如果沙箱检测到恶意文件，则将恶意文件的文件特征发送给FW，FW将此
恶意文件的特征保存到联动检测缓存。下次再检测到该恶意文件时，则按照配置文件中的响应
动作进行处理。
病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。该特征库对各种常见的病毒特
征进行了定义，同时为每种病毒特征都分配了一个唯一的病毒ID。当设备加载病毒特征库
后，即可识别出特征库里已经定义过的病毒。同时，为了能够及时识别出最新的病毒，设备上
的病毒特征库需要不断地从安全中心平台（sec.huawei.com）进行升级。
6.当NGFW检测出传输文件为病毒文件时，需要进行如下处理：
判断该病毒文件是否命中病毒例外。如果是病毒例外，则允许该文件通过。
病毒例外，即病毒白名单。为了避免由于系统误报等原因造成文件传输失败等情况的发生，当用户认为已检测到的某个病毒为误报时，可以将该对应的病毒ID添加到病毒例外，使该病毒规则失效。如果检测结果命中了病毒例外，则对该文件的响应动作即为放行。
如果不是病毒例外，则判断该病毒文件是否命中应用例外。如果是应用例外，则按照应用例外的响应动作（放行、告警和阻断）进行处理。
应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上，同一协议上可以承载多种应用。
由于应用和协议之间存在着这样的关系，在配置响应动作时也有如下规定：
如果只配置协议的响应动作，则协议上承载的所有应用都继承协议的响应动作。
如果协议和应用都配置了响应动作，则以应用的响应动作为准。
如果病毒文件既没命中病毒例外，也没命中应用例外，则按照配置文件中配置的协议和传输方向对应的响应动作进行处理。
8. 反病毒网关的配置流程是什么？
申请并激活license
加载特征库
配置AV Profile
配置安全策略
其他配置

 1. 什么是APT？

APT攻击即高级可持续威胁攻击,也称为定向威胁攻击，指某组织对特定对象展开的持续有效的攻击活
动。

APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商
业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐匿
自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情
报的行为，就是一种“网络间谍”的行为。

APT攻击是一个集合了多种常见攻击方式的综合攻击。综合多种攻击途径来尝试突破网络防御，通常是
通过Web或电子邮件传递，利用应用程序或操作系统的漏洞，利用传统的网络保护机制无法提供统一的
防御。除了使用多种途径，高级定向攻击还采用多个阶段穿透一个网络，然后提取有价值的信息，这使
得它的攻击更不容易被发现。

2.APT的入侵过程
第一阶段：扫描探测
在APT攻击中，攻击者会花几个月甚至更长的时间对"目标"网络进行踩点，针对性地进行信息收集，目标
网络环境探测，线上服务器分布情况，应用程序的弱点分析，了解业务状况，员工信息等等。

第二阶段：工具投送
在多数情况下，攻击者会向目标公司的员工发送邮件，诱骗其打开恶意附件，或单击一个经过伪造的恶
意URL，希望利用常见软件(如Java或微软的办公软件)的0day漏洞，投送其恶意代码。一旦到位，恶意软
件可能会复制自己，用微妙的改变使每个实例都看起来不一样，并伪装自己，以躲避扫描。有些会关闭
防病毒扫描引擎，经过清理后重新安装，或潜伏数天或数周。恶意代码也能被携带在笔记本电脑、USB
设备里，或者通过基于云的文件共享来感染一台主机，并在连接到网络时横向传播。

第三阶段：漏洞利用
利用漏洞，达到攻击的目的。攻击者通过投送恶意代码，并利用目标企业使用的软件中的漏洞执行自
身。而如果漏洞利用成功的话，你的系统将受到感染。普通用户系统忘记打补丁是很常见的，所以他们
很容易受到已知和未知的漏洞利用攻击。一般来说，通过使用零日攻击和社会工程技术，即使最新的主
机也可以被感染，特别是当这个系统脱离企业网络后。

第四阶段：木马植入
随着漏洞利用的成功，更多的恶意软件的可执行文件——击键记录器、木马后门、密码破解和文件采集
程序被下载和安装。这意味着，犯罪分子现在已经建成了进入系统的长期控制机制。

第五阶段：远程控制
一旦恶意软件安装，攻击者就已经从组织防御内部建立了一个控制点。攻击者最常安装的就是远程控制
工具。这些远程控制工具是以反向连接模式建立的，其目的就是允许从外部控制员工电脑或服务器，即
这些工具从位于中心的命令和控制服务器接受命令，然后执行命令，而不是远程得到命令。这种连接方
法使其更难以检测，因为员工的机器是主动与命令和控制服务器通信而不是相反。

第六阶段：横向渗透
一般来说，攻击者首先突破的员工个人电脑并不是攻击者感兴趣的，它感兴趣的是组织内部其它包含重
要资产的服务器，因此，攻击者将以员工个人电脑为跳板，在系统内部进行横向渗透，以攻陷更多的pc
和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。

第七阶段：目标行动
也就是将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。在发现有价值的数据后，APT
攻击者往往要将数据收集到一个文档中，然后压缩并加密该文档。此操作可以使其隐藏内容，防止遭受
深度的数据包检查和DLP技术的检测和阻止。然后将数据从受害系统偷运出去到由攻击者控制的外部。
大多数公司都没有针对这些恶意传输和目的地分析出站流量。那些使用工具监控出站传输的组织也只是
寻找"已知的"恶意地址和受到严格监管的数据。

如何防御APT
目前，防御APT攻击最有效的方法就是沙箱技术，通过沙箱技术构造一个隔离的威胁检测环境，然后将
网络流量送入沙箱进行隔离分析并最终给出是否存在威胁的结论。如果沙箱检测到某流量为恶意流量，
则可以通知FW实施阻断

APT防御技术–沙箱
针对APT攻击的防御过程如下∶
黑客（攻击者）向企业内网发起APT攻击，FW从网络流量中识别并提取需要进行APT检测的文件类型。
FW将攻击流量还原成文件送入沙箱进行威胁分析。
沙箱通过对文件进行威胁检测，然后将检测结果返回给FW。
FW获取检测结果后，实施相应的动作。如果沙箱分析出该文件是一种恶意攻击文件，FW侧则可以实施阻断操作，防止该文件进入企业内网，保护企业内网免遭攻击。
APT防御与反病毒的差异。
反病毒系统通常是将病毒文件的特征与病毒特征库进行对比来识别一个文件是否为病毒文件。
这种防御方式具有一定的局限性，就是只能针对已知病毒进行防御，而无法识别未知攻击。
APT防御机制则有别于反病毒系统。APT防御系统中的沙箱可以看做是一个模拟真实网络建造
的虚拟检测系统，未知文件放入沙箱以后将会被运行，沙箱中的收集程序会记录该文件被运行
以后的行为。沙箱通过将未知文件的行为和沙箱独有的行为模式库进行匹配，最后给出该程序
是否为恶意程序的定性结论。沙箱的行为模式库是通过分析大量的病毒、漏洞、威胁特征，提
炼出各种恶意行为的规律和模式，并形成一套判断规则，因此能提供准确的检测结果。
总体来看，反病毒系统是以被检测对象的特征来识别攻击对象，APT防御系统是以被检测对象的行
为来识别攻击对象。

  4. 什么是对称加密？

对称加密：也称为对称密码,是指在加密和解密时使用同一密钥得加密方式

5. 什么是非对称加密？

非对称加密是一种保证区块链安全的基础技术。该技术含有两个密钥：公钥和私钥，首先，系统按照某种密钥生成算法，将输入经过计算得出私钥，然后，采用另一个算法根据私钥生成公钥，公钥的生成过程不可逆。

6. 私密性的密码学应用

身份认证技术的应用 身份认证：通过标识和鉴别用户身份，防止攻击者假冒合法用户来获取访问权限。 身份认证技术：在网络总确认操作者身份的过程而产生的有效解决方法。 如何确认信息的发送者一定是他本人？ 发送者是alice，使用非对称算法，生成私钥A，公钥B。 1. alice把公钥给bob 2. alice发送信息hello，world！ 3. alice把发送的信息用对称加密算法加密到加密信息C。 4. alice把发送的hello，world！先用hash算法计算得到hash值D。 5. alice把hash值D用非对称加密计算得到E。E值就是用于身份验证的。 6. alice把C，E一起发给bob。 7. bob收到C,E值，先用非对称的公钥对E进行解密，如果能正常解开则证明C值是alice的。 上述1中如果黑客偷换了alice的公钥，那么就会出现身份认证漏洞。 解决： alice把公钥给bob的环节能确保是安全的，一定是alice给的。 想办法证明alice的公钥一定是alice的。

SSL连接（connection)一个连接是一个提供一种合适类型服务的传输（OSI分层的定义）。SSL的连接是 点对点的关系。连接是暂时的，每一个连接和一个会话关联。 SSL会话（session）一个SSL会话是在客户与服务器之间的一个关联。会话由Handshake Protocol创 建。会话定义了一组可供多个连接共享的密码安全参数。会话用以避免为每一个连接提供新的安全参数 所需昂贵的协商代价。