5-终端安全检测和防御技术

终端安全检测和防御技术

一 终端安全风险

二 终端安全检测和防御技术

• 通过认证的用户不一定合法

• 通过防火墙的流量不一定安全

  

• 基于7层应用的深度数据包检测可实现终端安全可控

  

对于终端来说只有两类软件，根据软件所连接的服务器来分：浏览器（连接的服务器不一样，不固定）和其他

• 应用控制策略服务

  • 应用控制策略可对应用/服务的访问做双向控制。NGAF存在一条默认拒绝所有服务/应用的控制策略。

    • **基于应用的控制策略：**通过匹配数据包特征来进行过滤动作，需要一定数量的包通行后才能判断应用类型，然后进行拦截动作的判断。（因为基于服务有时候识别不到端口（端口封装），所以基于应用用得多）

    • **基于服务的控制策略：**通过匹配数据包的五元组（源地址、目的地址、源端口、目的端口、协议号）来进行过滤动作，对于任何包可以立即进行拦截动作判断。

• WEB过滤

  • WEB过滤是指针对符合设定条件的访问网页数据进行过滤

    • 包括URL过滤、文件过滤（上网行为管理）。根据HTTP不同动作进行区分。可以针对HTTPS URL进行过滤

    

三 网关杀毒技术

1. 计算机病毒

• 定义

  计算机病毒，是编制或者在计算机程序中能插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

  

• 计算机病毒工作步骤

  

2. 杀毒防御产品

• 网络版杀毒软件：

  基于当前病毒的代码特征进行检测

  基于当前病毒的行为特征检测

3. 网关杀毒

• 网关杀毒功能优势

  

• 网关杀毒实现方式

  • 流扫描方式

    依赖于状态检测技术以及协议解析技术，简单的提取文件的特征与本地签名库进行匹配。

  • 代理扫描方式（资源消耗多）

    将所有经过网关的需要进行病毒检测的数据报文透明的转交给网关自身的协议栈，通过网关自身的协议栈将文件全部缓存下来后，再送入病毒检测引擎进行病毒检测。

    

• 网关杀毒配置思路

  

• 网关杀毒消毒展示

  

四 僵尸网络检测和防御技术

• 僵尸定义

  僵尸网络（Botnet，亦译为丧尸网络、机器人网络）是指骇客利用自己编写的分布式拒绝服务攻击程序将数万个沦陷的机器，即黑客常说的僵尸电脑或肉鸡组织成一个个控制节点用来发送伪造包或者是垃圾数据包，使预定攻击目标瘫痪并“拒绝服务”。通常蠕虫病毒也可以被利用组成僵尸网络。

  

• 僵尸网络检测和防御技术

  传统防毒墙和杀毒软件查杀病毒木马的效果有限，在APT（高级持续性威胁）场景下，传统防毒墙和杀毒软件更是形同虚设。（C&C：命令与控制服务器）

  

• 需要一种事后检测机制用于发现和定位客户端受感染的机器，以降低客户端安全风险。同时，记录的日志要求有较高的可追溯性。

• 感染了病毒、木马的机器，其病毒、木马试图与外部网络通信时，AF（应用防火墙）识别出该流量，并根据用户策略进行阻断和记录日志。

  

• 防御技术

  

  • 恶意链接匹配流程

    

  • 黑白名单不匹配则上报云端。云端沙盒检测，检测流程

    

  • 异常流量检测

    

• 其他检测方式