安全防御 --- APT、密码学

APT

深度包检测技术:将应用层内容展开进行分析,根据不同的设定从而做出不同的安全产品。

深度流检测技术:与APS画像类似。会记录正常流量行为,也会将某些应用的行为画像描述出来。也可将加密流量进行判断,并执行相应措施。

1、什么是APT攻击?

指一种高度专业化的网络攻击形式,攻击者利用专业知识和技术手段,通过长时间的持续攻击,窃取机密信息、破坏网络安全或进行其他有害活动。APT攻击通常是有组织、有针对性的,攻击者会经过精心策划和长时间准备,采用多种攻击手段和技术,以达到其攻击目的。

2、特点

(1)高度专业化:

攻击者拥有先进的技术和专业知识,能够深入挖掘漏洞、规避防御措施,并利用各种手段进行攻击。

(2)长时间持续性攻击:

APT攻击是一种长期持续的攻击,攻击者会在较长时间内悄悄地进行攻击,以避免被发现和防御。

(3)针对性强:

APT攻击通常是有目的和针对性的,攻击者会针对特定目标进行攻击,并采取专门的攻击手段和技术。

(4)多重手段攻击:

APT攻击会采用多种攻击手段,如漏洞利用、社会工程学攻击、恶意软件等,以达到其攻击目的。

3、目的

APT是黑客以窃取核心资料为目的,针对客户发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为长期的经营与策划,并具备高度隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性的窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。

4、APT攻击的生命周期

(1)阶段一:侦察

攻击者收集目标信息,包括网络拓扑结构、系统和应用程序漏洞、系统和应用程序的弱点等。这个阶段的攻击方式包括电子邮件钓鱼、社交网络工程和网络扫描等。

(2)阶段二:投递

攻击者使用恶意软件传递技术将恶意软件传递到目标计算机上,这可能包括使用USB驱动器、恶意文档、电子邮件附件等方法。

(3)阶段三:植入

在投递恶意软件之后,攻击者将恶意软件植入目标计算机或网络中。这个阶段通常涉及使用漏洞、社交工程或钓鱼攻击等方式利用系统或应用程序的弱点。

(4)阶段四:控制

在恶意软件植入目标计算机或网络之后,攻击者可以通过远程访问控制(RAT)、远程访问工具(RAT)和其他方法来控制计算机或网络。

(5)阶段五:操作

在攻击者获得对目标系统的控制权之后,他们可以执行任意操作,包括窃取敏感信息、进行侦察、运行其他恶意软件、攻击其他目标等。

(6)阶段六:持久性

在攻击者获得对目标系统的控制权之后,他们可能会尝试保持对目标系统的控制权,以确保继续访问敏感信息并继续攻击其他目标。

(7)阶段七:擦痕

最后,在攻击者完成他们的任务后,他们可能会试图清除与攻击相关的任何痕迹,以防止被发现。这个阶段包括删除日志文件、清除恶意软件和关闭后门等。

5、APT与反病毒的差异

(1)反病毒:

通常是将病毒文件的特征与病毒特征库进行对比来识别一个文件是否为病毒文件。这种防御方式具有一定的局限性,只能针对已知病毒进行防御,无法识别未知攻击。

(2)区别:APT防御机制与反病毒不同

APT防御和反病毒都是保护计算机系统安全的关键方法,但两者的差异在于其处理安全威胁的方式和重点。反病毒主要通过检测病毒、恶意软件等已知威胁的特征码,来保护计算机系统的安全,而APT防御则主要针对未知威胁,通过分析威胁行为,制定相应的防御策略。

(3)特点:

  • 反病毒主要关注于已知威胁的防御,它会不断地升级病毒库,检测计算机系统中的病毒、恶意软件等特定的已知威胁。一旦发现特定的病毒或恶意软件,反病毒软件会立即进行拦截或者隔离。
  • APT防御则主要关注未知威胁的防御,通过使用沙箱技术、流量分析等多种手段,来检测网络中的异常行为。一旦发现异常行为,APT防御系统会通过实时监测、流量分析等技术,分析威胁行为的特征,并及时进行相应的防御措施。同时,APT防御也会关注网络中的恶意程序、漏洞利用等攻击手段,并对其进行相应的防御。

(4)总结:

反病毒系统时以被检测对象的特征来识别攻击对象,而APT防御系统是以被检测对象的行为来识别攻击对象。

6、防御APT

(1)最有效方法:沙箱技术

<1> 概念沙箱技术是指在计算机系统中创建一个隔离的、受控的运行环境,用来执行未知、不受信任的程序或代码,以便分析它们的行为、检测恶意行为和漏洞,从而保护系统和数据的安全。

<2> 分析方法

  • 静态分析中,分析人员将文件上传到沙箱中,并对其进行扫描、解析和分析,以查找其中是否包含恶意代码
  • 动态分析中,恶意文件或代码被在沙箱环境中运行,沙箱记录程序的行为并生成报告,以便进行进一步的分析和调查。

(2)防御过程:

  1. 黑客(攻击者)向企业内网发起APT攻击,FW从网络流量中识别并提取需要进行APT检测的文件类型。
  2. FW将攻击流量还原成文件送入沙箱进行威胁分析。
  3. 沙箱通过对文件进行威胁检测,然后将检测结果返回给FW
  4. FW获取检测结果后,实施相应的动作。如果沙箱分析除该文件是一种恶意攻击文件,FW侧则可以实施阻断操作,防止该文件进入企业内网,保护企业免遭攻击。

7、沙箱处理流程

(1)流量过滤:

先通过一些基本的过滤规则,如黑名单、白名单等,将可能的恶意流量过滤掉,以减轻后续处理的负担,提高处理效率。

(2)会话重组:

对于 TCP 和 UDP 等可靠和不可靠传输协议,会话重组是将同一会话的多个数据包进行重新组装,以便后续处理能够对完整的会话进行分析。

(3)协议解析:

对网络流量进行协议分析,根据流量的协议类型,将其交给相应的协议分析模块进行分析,如 HTTP 流量分析、SMTP 流量分析等。

(4)行为分析:

通过对协议数据包的解析和会话重组,对网络流量进行深入的分析和行为检测,以便发现可能的恶意行为。行为分析可以包括以下方面:

  • 恶意代码的动态行为分析
  • 网络连接行为分析
  • 文件行为分析
  • 协议异常行为分析
  • 用户行为分析

(5)恶意代码分析:

对发现的可能的恶意代码进行解码和反混淆,以便更好地理解其行为和实现方式,以及为后续处理提供参考。

(6)风险评估:

根据行为分析和恶意代码分析的结果,对流量进行风险评估,以便做出最终的处理决策。

(7)处理结果:

根据风险评估的结果,对恶意流量进行相应的处理,如封锁、隔离、删除等。同时,将处理结果记录到日志中,以便后续查询和分析。

8、配置APT防御

(1)升级文件信誉库

<1> 根据沙箱类型确认license状态

  • 云沙箱:依赖云沙箱检测License,请确认购买并成功激活支持文件信誉特征库升级服务的云沙箱检测license。
  • 本地沙箱:不依赖license

<2> 升级文件信誉特征库

  • 在线升级
  • 本地升级

<3> 升级文件信誉热点库

  • 文件信誉热点库:包含了华为安全中心最新发布的文件信誉信息,通过更新此热点库,防火墙可以有效识别并及时阻断网络中新出现的威胁文件。

(2)配置web信誉


添加可信/可疑网站

(3)本地沙箱联动

企业内网用户通过FW和路由器连接到Internet,企业内网中部署了本地沙箱,且本地沙箱与FW路由达。配置FW与本地沙箱联动,将FW识别出来存在风险的流量送往本地沙箱进行检测,FW定期去本地沙箱上获取检测结果,并根据检测结果更新设备缓存中的恶意文件和恶意URL列表,当具有相同特征的后续流量命中恶意文件或恶意URL列表时,直接进行阻断等处理,保护内网用户免受APT攻击。

  • 选择对象 > 安全配置文件 > APT防御 > 沙箱联动配置

  • 配置本地沙箱

  • 配置APT防御文件

  • 配置APT防御文件名称及描述

  • 配置沙箱检测相关参数

  • 安全策略中引入APT防御配置文件

  • 结果验证

【1】选择“对象 > 安全配置文件 > APT防御 > 沙箱联动配置 > 本地沙箱”,查看本地沙箱的连接状态为“连接成功”。

【2】点击“连接状态”后面的“登录本地沙箱”,登录本地沙箱后查看已经提交到本地沙箱的文件及检测结果。

(4)云沙箱联动

前6步与本地沙箱联动一致

  • 配置沙箱检测相关参数

  • 在安全策略中引入APT防御配置文件

  • 结果验证

【1】在“对象 > 安全配置文件 > APT防御 > 沙箱联动配置 > 云沙箱”查看连接状态为连接成功

【2】用云账户huawei登录isecurity.huawei.com,查看该FW往云沙箱提交过的文件的检测结果。

二、密码学

1、概述:

密码学之于信息传输 --- 在不安全的环境下建立信息传输通道

密码---明文-->算法+密钥--->密文

举例:
明文 ok
凯撒密码
算法:对字母进行平移可以左也可以右,移动若干位
密钥:向右平移3个字母
密文 rn

2、密码的分类

(1)对称加密

<1> 加解密用同一个密钥,数学角度是一个双向函数;对称加密要保证算法足够复杂以及密钥传输足够安全

<2> 加密信息传递有两个通道:

  • 密文传输通道
  • 密钥传输通道

对称加密算法解决信息的安全传输通道

(2)非对称加密算法 --- (互联网时代我们希望能够在网上公开途径传递密钥)

diff和hellmen开创了非对称加密算法 --- DH算法

非对称加密算法解决对称加密算法密钥的安全传输通道

(3)DH算法解决了公开场合的密钥传递问题

<1> 对称和非对称的优缺点:

  • 对称加密:速度快,密钥不安全
  • 非对称加密:速度慢,密钥安全

<2> 最佳解决:用非对称加密算法去传递对称加密算法的密钥,保证传递过程中对称密钥不会泄露。  

3、非对称加密产生的过程及原因

(1)对称加密的困境

密钥安全传输 ---- 对称加密算法的缺陷

  • 密钥传输风险

密钥传输时需要使用安全信道传输对称密钥,但是消息传输的通道是不安全的。

  • 密钥管理难

如果没有非对称加密,百度企业和用户做安全传输时,至少需要保存3-5亿个密钥。

非对称算法只需要一把公钥,对称需要亿以上的密钥。

(2)常见算法

  • 对称

  • 非对称

(3)机密性最佳解决方案:用非对称加密算法加密对称加密算法的密钥

(4)完整性与身份认证的最佳解决方案:

  • 核心原理:私钥加密,公钥解密
  • 过程:

对明文a进行hash运算得到定长值h,然后对h进行非对称运算用私钥加密得到值k,然后对明文值a进行对称运算得到y,传输时同时传输给y和k,收到后用非对称公钥解开k得到h`,然后用堆成算法解开y得到a,然后对a进行hash得到h``,如果h`与h``相同, 则证明完整性与身份认证。

4、密码学的应用

(1)身份认证技术的应用

  • 身份认证:通过标识和鉴别用户身份,防止攻击者假冒合法用户来获取访问权限
  • 身份认证技术:在网络总确认操作者身份的过程产生有效的解法。

(2)如何确认信息发送者是本人?

  • 传输方传送公钥的环节确保是安全的
  • 证明传输方的公钥一定是传输方的

5、漏洞

(1)漏洞查出:



  • 黑客攻击:替换Alice的公钥


(2)解决方案:可信机构提供数字证书

公钥的《身份证》 ---- 数字证书


(3)CA可信度 --- PKI体系

<1> PKI体系

  • 概念:是一种遵循标准的利用非对称加密技术为电子商务的开展提供一套安全基础平台的技术和规范。

简单来说就是利用公钥技术建立的提供安全服务的基础设施。通过第三方的可信机构,CA认证中心把用户的公钥与用户的其他标识信息捆绑在一起放在用户证书中,在互联网上验证用户身份。

  • 作用:PKI是创建、办法、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书,核心执行代码是CA认证机构。

<2> CA中心

  • 概念:即证书授权中心(Certificate Authority),或称证书授权机构,作为电子商务交易中受信任的第三方。

6、认证 --- 数字证书

(1)包含:

  • 用户身份信息
  • 用户公钥信息
  • 身份验证机构的信息及签名数据

(2)分类:

  • 签名证书 --- 身份验证,不可抵赖性
  • 加密证书 --- 加密,完整性与机密性

7、密码学完整应用

附:8、SSL协议分析

SSL协议是由美国网景通信(Netscape)公司自1990年开发,用于保证WWW通信安全。

(1)无客户端认证的握手过程

<1> 可能遭受到的攻击重放攻击

重放攻击(Replay Attacks)又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。

<2> PreMasterKey密钥参数:合成对称密钥的前置数值

<3> 初始化向量

(2)有客户端认证的握手过程

(3)会话恢复过程(之前已经建立过会话,再次进行数据传输)

(4)SSL协议的细节

<1> 协议位置

<2> 体系结构

<3> SSL两个概念

  • 连接:一个连接是一个提供一种合适类型服务的传输(OSI分层的定义)。SSL是点对点的关系。连接是暂时的,每一个连接和一个会话关联。
  • 会话:一个SSL会话是在客户与服务器之间的一个关联。会话由handshake protocol创建。会话定义了一组可供多个连接共享的密码安全参数。会话用以避免为每个连接提供新的安全参数所需的昂贵的协商代价。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/7877.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

程序员必知必会7种UML图(类图、序列图、组件图、部署图、用例图、状态图和活动图)画法盘点

众所周知&#xff0c;软件开发是一个分阶段进行的过程。不同的开发阶段需要使用不同的模型图来描述业务场景和设计思路&#xff0c;在不同的阶段输出不同的设计文档也是必不可少的&#xff0c;例如&#xff0c;在需求分析阶段需要输出领域模型和业务模型&#xff0c;在架构阶段…

2023疫情当头,3个月转行软件测试拿下8k+offer,我心满意足了

从2020年的疫情开始&#xff0c;全世界好像按下了暂停键一般&#xff0c;大量新网民涌入互联网。我们的生活方式也随之改变&#xff0c;失业也如洪流般席卷整个世界&#xff0c;宅家的人数在变多&#xff0c;当然大多数人开始寻求新的工作方式&#xff0c;随之进军互联网的人开…

域名过户操作流程及常见问题

模板添加及模板过户操作流程&#xff1a; 一、添加模板操作流程&#xff1a; 1.在业务管理-域名管理-模板管理中找到“添加模板” 2.选择所有者类型&#xff08;个人或是企业/组织&#xff09;&#xff0c;填写新的域名所有者资料&#xff0c;填写无误后点击“确定”。 目前…

记录分享vscode里面非常好用的两个markdown插件

文章目录Markdown PDFMarkdown All in One效果图Markdown PDF 主要用于将markdown文件转为pdf文件 使用方法 安装此插件编辑区鼠标右键就会出来一个弹框,在弹框里面选择 Markdown All in One 我主要用它来生成文章的目录结构,然后转为pdf文件后,目录结构默认就是pdf文章目录,…

告别至暗时刻,高端与全系列手机市场前景可期

作者|落笔 近年来&#xff0c;智能手机用户换机周期持续拉长&#xff0c;市场出货量逐年走低&#xff0c;IDC数据显示&#xff0c;2022年全年中国智能手机市场出货量约2.86亿台&#xff0c;同比下降13.2%&#xff0c;创有史以来最大降幅&#xff0c;全球智能手机发展已进入成熟…

大厂研发成本大曝光,研发占大头

近日&#xff0c;腾讯发布《2022 年腾讯研发大数据报告》&#xff0c;披露了 2022 年腾讯在研发投入、研发效能、开源协同等方面的重要数据。 《报告》显示&#xff0c;2022 年腾讯内部研发人员占比达到 74%&#xff0c;这意味着&#xff0c;平均每四个腾讯员工中&#xff0c;…

linux 共享内存 shmget

专栏内容&#xff1a;linux下并发编程个人主页&#xff1a;我的主页座右铭&#xff1a;天行健&#xff0c;君子以自强不息&#xff1b;地势坤&#xff0c;君子以厚德载物&#xff0e;目录 前言 概述 原理机制 系统命令 接口说明 代码演示 结尾 前言 本专栏主要分享linu…

【深度解刨C语言】内存管理(详)

文章目录前言一.动态内存1.动态内存的用处2.内存的布局简单证明内存布局栈向下生长的证明堆向上增长的证明3.malloc与free进一步理解总结前言 前提: 内存有基本的认识 内存函数基本的了解 如果你对内存与内存函数太不清楚可以看:动态内存管理 目标: 为什么要用动态内存&…

我体验了首个接入GPT-4的代码编辑器,太炸裂了

最近一款名为Cursor的代码编辑器已经传遍了圈内&#xff0c;受到众多编程爱好者的追捧。 它主打的亮点就是&#xff0c;通过 GPT-4 来辅助你编程&#xff0c;完成 AI 智能生成代码、修改 Bug、生成测试等操作。 确实很吸引人&#xff0c;而且貌似也能大大节省人为的重复工作&…

vue尚品汇商城项目-day04【29.加入购物车操作(难点)】

文章目录29.加入购物车操作&#xff08;难点&#xff09;29.1加入购物车按钮29.2addCartSuce29.3购物车29.3.1 向服务器发送ajax请求&#xff0c;获取购物车数据29.3.2UUID临时游客身份29.3.3动态展示购物车29.4修改购物车产品的数量&#xff08;需要发请求&#xff1a;参数理解…

203. 移除链表元素

1、题目 给你一个链表的头节点 head 和一个整数 val &#xff0c;请你删除链表中所有满足 Node.val val 的节点&#xff0c;并返回 新的头节点 。 示例 1&#xff1a; 输入&#xff1a;head [1,2,6,3,4,5,6], val 6 输出&#xff1a;[1,2,3,4,5]示例 2&#xff1a; 输入&…

File 类的用法和 InputStream, OutputStream,System 类的用法

&#x1f389;&#x1f389;&#x1f389;点进来你就是我的人了 博主主页&#xff1a;&#x1f648;&#x1f648;&#x1f648;戳一戳,欢迎大佬指点!人生格言&#xff1a;当你的才华撑不起你的野心的时候,你就应该静下心来学习! 欢迎志同道合的朋友一起加油喔&#x1f9be;&am…

Typescript学习笔记(一)

什么是TypeScript? TypeScript 是添加了类型系统的 JavaScript&#xff0c;适用于任何规模的项目。 TypeScript 是一门静态类型、弱类型的语言。 安装TypeScript npm install -g typescript编译 tsc hello.tsTypeScript 只会在编译时对类型进行静态检查&#xff0c;如果发…

iOS 内存管理机制与原理

内存分区 内存一般分为五大区&#xff1a;栈区、堆区、常量区、全局区、代码区。如图 1.栈区 是由编译器自动分配并释放的&#xff0c;主要用来存储局部变量、函数的参数等&#xff0c;是一块连续的内存区域&#xff0c;遵循先进后出&#xff08;FILO&#xff09;原则。一般在…

WebAssembly 助力云原生:APISIX 如何借助 Wasm 插件实现扩展功能?

本文将介绍 Wasm&#xff0c;以及 Apache APISIX 如何实现 Wasm 功能。 作者朱欣欣&#xff0c;API7.ai 技术工程师 原文链接 什么是 Wasm Wasm 是 WebAssembly 的缩写。WebAssembly/Wasm 是一个基于堆栈的虚拟机设计的指令格式。 在 Wasm 未出现之前&#xff0c;浏览器中只能…

Hadoop(伪分布式)+Spark(local模式)搭建Hadoop和Spark组合环境

一、安装Hadoop环境使用Ubuntu 14.04 64位 作为系统环境&#xff08;Ubuntu 12.04&#xff0c;Ubuntu16.04 也行&#xff0c;32位、64位均可&#xff09;&#xff0c;请自行安装系统。Hadoop版本: Hadoop 2.7.4创建hadoop用户如果你安装 Ubuntu 的时候不是用的 "hadoop&qu…

研究的艺术 (The craft of research) 读书笔记

前言 如果你对这篇文章感兴趣&#xff0c;可以点击「【访客必读 - 指引页】一文囊括主页内所有高质量博客」&#xff0c;查看完整博客分类与对应链接。 对于研究者而言&#xff0c;写作是一件很重要的事&#xff0c;好的写作不仅能让更多人愿意读&#xff0c;获得更大影响力&…

Windows系统配置SSH服务

1.安装OpenSSH 打开【设置】-【应用】 选择【管理可选功能】 点击【添加可选功能】 选择【OpenSSH 服务端】&#xff0c;切记不是【OpenSSH 客户端】&#xff08;如果安装一个不行&#xff0c;就都安装&#xff0c;我都安装了可以用&#xff09;&#xff0c;然后点击下载即可 …

ERP系统如何让项目管理更轻松?

项目管理是许多企业的首要任务&#xff0c;通常有一个ERP系统来协助他们。然而&#xff0c;一些企业仍然没有意识到&#xff0c;ERP解决方案可以使他们的项目管理更容易。项目管理需要有一个目标&#xff0c;并在你朝着完成项目前进的过程中控制变量&#xff0c;而ERP系统指导你…

成都北大青鸟怎么样?

对于任何一个培训机构的了解大概的流程是&#xff1a;听说名字——网上搜索&#xff0c;可以看到机构官网&#xff0c;也会看到机构广告&#xff0c;当然也会看到各种有好有坏的评论&#xff0c;到这里会对机构形成初印象&#xff1b;然后如果身边有培训出身的小伙伴会去询问对…