关键词：

终端安全风险

• 利用僵尸网络，来实现渗透、监视、窃取敏感数据等目的
• 僵尸网络的主要危害：
  • 看不见的风险
    • 各种病毒变种和恶意代码隐藏在应用流量中，传统的边界防御基于静态特征检测技术，会存在特征库不全、更新不及时、对于应用层内容缺乏有效识别技术等问题
  • 高级持续威胁
    • APT（高级持续性威胁）攻击的攻击目标明确、攻击时间周期长，攻击方法多，隐藏性很好，以便达到继续渗透、监视、敏感数据窃取的目的
  • 本地渗透扩散
    • 攻击者向被控主机传送新病毒、木马程序或其他恶意软件，从而实现在感染网络的内部渗透，以此达到控制更多主机或服务器的目的
  • 敏感信息窃取
    • 相当于黑客在僵尸主机上安装了间谍程序，能监视和记录被害主机的各种活动行为，也能窃取用户的敏感信息
  • 脆弱信息收集
    • 通过植入的僵尸程序或扫描程序进行内部业务系统的漏洞等信息的收集，把收集到的信息传递个攻击者，以便利用这些弱点，实现更多的入侵和信息窃取的目的
      

终端安全检测和防御技术

• 传统的安全防御技术只能根据IP、端口、特征进行检查数据是否安全，而这些方法已经无法区分数据是否安全
• 深信服基于7层应用的深度数据包检测，可以实现终端安全可控

• 应用控制策略可以针对应用/服务的访问做双向控制，NGAF存在一条默认策略，会拒绝所有服务/应用的控制策略
  • 基于应用的控制策略
    • 通过匹配数据包的特征来进行过滤动作
    • 需要一定数量的数据包通行后，才能进行判断应用类型，再进行拦截动作的判断
  • 基于服务的控制策略
    • 通过匹配数据包的五元组来进行过滤动作，对于任何数据包可以立即进行拦截动作判断

• AF防护策略的方向
  • 防护策略的对象是终端，则源区域是内网，目的区域是互联网
  • 防护策略的对象是服务器，则源区域是互联网，目的区域是内网

• Web过滤可以针对符合设定条件的访问网页数据进行过滤
  • URL过滤、文件过滤
  • 根据HTTP不同的动作进行过滤
  • 针对HTTPS URL进行过滤
    

僵尸网络检测和防御技术

僵尸网络

• 指黑客利用自己编写的分布式拒绝服务攻击程序，将很大数量的PC（即僵尸电脑或肉鸡）组织成一个个控制节点，用来发送伪造包或者是垃圾数据包，导致预定攻击目标瘫痪并拒绝服务
• 蠕虫病毒也可以被利用组成僵尸网络
• 僵尸网络的组成
  • 黑客控制端：黑客发起攻击指令的计算机
  • C&C服务器：肉鸡反弹连接的跳板机
  • 肉鸡：被黑客远程控制的计算机

僵尸网络形成过程

• 攻击者通过邮件、恶意链接等将木马病毒传播到网络中，感染终端
• 主机收到感染后，会请求连接C&C服务器，来获取指令
  • C&C服务器是攻击者为了隐藏自己，会将指令发送给C&C服务器，由C&C服务器再向受感染的终端发出指令
• C&C服务器向受感染的主机，扫描更多的网络，并且感染更多的主机
• 更多的主机被感染后，组成僵尸网络，连接C&C服务器，并获取指令
• 攻击者可以下发新的代码程序给C&C服务器，来更新僵尸网络

检测和防御技术

• 需要一种事后检测技机制，来发现和定位客户端受感染的机器，来降低客户端的安全风险，同时记录日志，以便有较高的可追溯性
• 当感染了病毒、木马后，其尝试与外界通信时，AF识别出来该流量，会根据用户的策略进行阻断和记录日志
• 僵尸网络检测原理
  • 行为特征检测
  • bot行为检测
  • 监控和流量数据特征匹配
    

木马远控

• 木马远控即用户感染木马后，攻击者可以在用户毫不知情的情况下，控制用户的PC
• 防护措施是对防护区域发出的数据以及收到的请求数据都进行木马远控的安全检查
  

恶意链接

• 即攻击者将木马程序上传至网页，诱导用户点击
• 防护措施是针对可能导致威胁的URL、病毒下载链接等进行检测拦截
• 恶意链接检测出
  • 首先匹配白名单（自行配置），匹配上直接放行
  • 未匹配上白名单的，匹配黑名单（AF内置规则库），匹配上，则根据策略配置执行动作
  • 如果黑白名单都匹配不成功，则会将该链接上传至云端，由云端进行分析。如果检测出恶意行为，则由云端下发给AF按策略执行动作
  • 云端扩充黑名单到新版本的恶意链接库中
• 云端的沙盒检测流程
  • 由AF将可以流量上传至云端
  • 云端在沙盒（相当于虚拟机）中访问该链接，进行测试，判断是否存在安全威胁
    • 沙盒检测环境包括：危险行为、进程操作、文件操作、网络行为、注册表操作
  • 云端根据测试结果，生成相应的安全规则，这些安全规则再下发回AF，同时会云同步更新给其他的AF

异常流量

• 即一些标准端口，运行了非该端口的协议，即可判断很大可能是由于木马程序使用该端口与外界进行通信
  • 例如Windows的445端口是文件传输，3389是远程桌面（RDP协议）
• 防护措施是针对包含非标准端口运行对应协议的检测、反弹检测、启发式的DOS攻击检测等手段
• 异常流量检测
  • 通过对当前的网络层及应用层行为与安全模型进行偏移度分析，发现隐藏的网络异常行为，根据这些行为特征，确定攻击的类型
  • 外发流量异常检测时一种启发式的DOS攻击检测手段，能够检测源IP不变的Flood（洪水攻击）
• 外发流量异常功能的原理
  • 当特定协议的外发包pps超过配置的阈值时，会基于5分钟左右的抓包样本检测数据包是否未单向流量、是否有正常相应内容 ，然后得出分析结论，将发现的攻击提交日志显示

• 异常流量检测只进行检测，不会进行拦截

移动安全

• 即针对手机移动端的攻击
• 防火措施是启用包含APK包杀毒功能和移动僵尸网络检测功能
  

对于误判的排除

• 添加全局放行名单
  • 当一个终端的流量被AF僵尸网络规则误判，可以再AF上排除此IP地址，之后这个IP将不会收到僵尸网络策略的拦截
  • 如果真的会有攻击者，攻击此主机，AF也不能发现并拦截
• 禁用导致误判的规则
  • 发现是某个规则引起的误判，导致拦截了所有的内网终端流量，可以找到该规则后，禁用该规则。之后所有的僵尸网络策略都不会再对此规则做拦截
  • 如果攻击者使用此方式进行攻击，AF也不能发现并拦截
• 在日志中心中的日志中添加例外
  • 当终端的流量被AF误判后，可以在内置日志中心中，查询到该日志，将其“添加例外”进行排除
    

网关杀毒技术

计算机病毒

• 是编制或者在计算机程序中能插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码
• 计算机病毒具有隐蔽性、破坏性、潜伏性、不可预见性、繁殖性、传染性等特征
• 计算机病毒工作过程

网关杀毒功能优势

• 基于应用层过滤病毒
• 过滤出入网关的数据
• 网关阻断病毒传输，主动防御病毒于网络之外
• 部署简单，方便管理，维护成本低
• 与杀毒软件联动，建立多层防护
  

网关杀毒的实现方式

• 代理扫描
  • AF把数据包缓存并发送至杀毒引擎进行病毒检测
• 流扫描
  • 依赖于状态检测技术和协议解析技术
  • AF简单的提取数据包的特征，将其与本地规则库进行对于

配置思路

• 新建策略
• 选择适用的对象
• 选择杀毒的协议
• 选择文件类型

• 因为防护的是终端，所以防护策略的源是内网，目的是互联网
• 在配置时，需要取消附件过滤和文件过滤，选择附件杀毒和文件杀毒

【AF 终端安全防护实验】

---

以上内容均属原创，如有不详或错误，敬请指出。

本文作者： 坏坏 本文链接： http://t.csdn.cn/AYY4N 版权声明： 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请联系作者注明出处并附带本文链接！

20165309《网络对抗技术》实验九：web安全基础(代码片段)

...九：Web安全基础1.基础问题回答(1)SQL注入攻击原理，如何防御。(2)XSS攻击的原理，如何防御。(3)CSRF攻击原理，如何防御。2.实践总结与体会(1)遇到的问题与解决(2)实验感受3.实践过程记录(1)前期准备：WebGoat(2)XSS攻击PhishingwithXSSStor... 查看详情

网络安全-webshell详解（原理攻击检测与防御）(代码片段)

...句话木马phpaspaspxjsp攻击WebShell管理工具webshell隐藏检测与防御静态检测参考webshellwebshell查杀参考简介Webshell是通过服务器开放的端口获取服务器的某些权限。webshell又称脚本木马，一般分为大马、小马、一句话木马。大马࿰... 查看详情

网络安全思维导图

.../730.html本文包含以下思维导图：●网络安全绪论●扫描与防御技术●网络监听及防御技术●口令破解及防御技术●欺骗攻击及防御技术●拒绝服务供给与防御技术●缓冲区溢出攻击及防御技术●Web攻击及防御技术●木马攻击与防... 查看详情

网络安全-反弹shell详解（攻击，检测与防御）(代码片段)

目录简介原理反弹shellbashncpythonphpperlrubylua telnet检测防御参考简介如果我们需要到服务器上执行Shell命令，但是因为防火墙等原因，无法由客户端主动发起连接的情况，就可以使用反弹Shell来满足登陆和操作的需求。... 查看详情

csrf理解与防御(代码片段)

一、说明记得以前去面试技术也不太会但你总得讲点东西，让面试时间长一些让面试官觉得你基础还可以，当时选的就是名头比较大的OWASPTOP10。TOP10嘛你总得拿出至少三个点来讲的细一些以证明你是真的知道而不是背概念。纵观... 查看详情

网络安全思维导图（全套11张）

本文包含以下思维导图：●网络安全绪论●扫描与防御技术●网络监听及防御技术●口令破解及防御技术●欺骗攻击及防御技术●拒绝服务供给与防御技术●缓冲区溢出攻击及防御技术●Web攻击及防御技术●木马攻击与防御技术... 查看详情

2017-2018-220179223《密码与安全新技术》第五次作业(代码片段)

...用这些缺陷破坏系统的安全策略。安全漏洞是网络攻击和防御的关键点。攻击：根据目标 查看详情

2018-2019-2网络对抗技术20165228exp9web安全基础实践(代码片段)

...8Exp9Web安全基础实践回答问题（1）SQL注入攻击原理，如何防御原理：通过在用户名、密码登输入框中输入特殊字符，在处理字符串与sql语句拼接过程中实现引号闭合、注释部分SQL语句，利用永真式，从而达到登录、显示信息等目... 查看详情

技术分享-swift防御编程(代码片段)

技术分享-swift防御编程1前言2防御性编程的习惯3.swift中一些需要注意的点3.1可选类型OptionalType3.2OC默认非空声明对Swift的影响3.3多个运算符结合时，请使用括号显式进行结合3.4闭包中调用self要避免循环引用3.5Swift与OC混编时反... 查看详情

漏洞防御与修复工作(代码片段)

...用早已形成了产业化，攻击者利用漏洞的时间窗远远小于防御者完成漏洞修复的时间窗。其次，随着信息技术的发展，大量应用的推广必然会带来大量的漏洞爆发。怎样提高企业的漏洞管理水平成了安全管理人员需要去思考的问... 查看详情

信息安全工程师笔记-网络安全主动防御技术与应用

入侵防御系统（IPS）入侵防御系统（IntrusionPreventionSystem）是一种主动的、积极的入侵防范及阻止系统（防火墙是被动的），它部署在网络的进出口处，当检测到攻击企图后，自动地将攻击包丢... 查看详情

安全防御---apt密码学(代码片段)

...有先进的技术和专业知识，能够深入挖掘漏洞、规避防御措施，并利用各种手段进行攻击。（2）长时间持续性攻击：APT攻击是一种长期持续的攻击，攻击者会在较长时间内悄悄地进行攻击，以避免被发... 查看详情

[系统安全]三十六.apt系列apt攻击溯源防御与常见apt组织的攻击案例(代码片段)

您可能之前看到过我写的类似文章，为什么还要重复撰写呢？只是想更好地帮助初学者了解病毒逆向分析和系统安全，更加成体系且不破坏之前的系列。因此，我重新开设了这个专栏，准备系统整理和深入学... 查看详情

beef介绍与安装使用(代码片段)

...安全高级指南》中为我们提供了一个全方位的互联网安全防御理论与实战，里面提到一个很有意思的话题，即很多做安全架构的乙方，其实只是在纸上谈兵，因为他们连如何gongji的方法都不清楚，又如何去防呢？所以本篇文档将... 查看详情

勒索病毒防御

...料，采取以下步骤或可以最大程度的避免：一、及时加强终端、服务器防护。所有服务器、终端应强行实施复杂密码策略，杜绝弱口令；安装杀毒软件、终端安全管理软件并及时更新病毒库；及时安装补丁；服务器开启关键日志... 查看详情

arp渗透与攻防之arp攻击防御(代码片段)

...)之限制网速攻击ARP渗透与攻防(七)之EttercapDns劫持ARP攻击防御1.ARP防御方法简介ARP攻击的原理是向网关和靶机不停的发送ARP欺骗报文，我们的计算机或者网关就会实时更新ARP缓存表，从而出现安全漏洞。假如对这种欺骗报... 查看详情

服务器安全检测和防御技术(代码片段)

服务器安全风险不必要的访问–应用识别和控制如只提供HTTP服务，就关闭其他的服务，提供的服务越多，越容易遭受攻击外网发起IP或端口扫描、DDoS攻击等–防火墙发起攻击之前，会进行IP或端口扫描，收集... 查看详情

“网络安全智能防御新技术”报告受欢迎

...、研究生和部分教师，做了一次精彩的"网络安全智能防御新技术"学术报告,报告在郑州大学北院小礼堂举行，报告会由郑州大学软件与应用科学与技术学院李学相院长、教授主持。此次报告属于邀请大学及企事业知名专... 查看详情