终端安全检测与防御

1. 终端安全风险

• 主要问题：企业网络中80%的安全事件源于终端，终端成为黑客攻击的重要目标。

• 攻击手段：

  • 勒索病毒：直接勒索用户。

  • 横向渗透：通过受控终端攻击内部服务器。

• 僵尸网络危害：

  • 信息窃取、钓鱼网站引导、攻击跳板。

  • 看不见的风险、高级持续威胁、本地渗透扩散、敏感信息窃取、脆弱信息收集。

  • APT攻击常利用僵尸网络进行渗透、监视和数据窃取。

2. 终端安全检测和防御技术

• 传统防御的局限性：仅依赖IP/端口/特征无法区分新型攻击或异常行为。

• 深度数据包检测（7层应用）：

  • 可视化应用管控：识别合法/非法业务，进行带宽管理或阻断。

  • 应用安全防护：漏洞防护、终端防护、病毒防护。

• 应用控制策略：

  • 双向控制（应用/服务），NDAF存在一条默认拒绝所有服务/应用的控制策略。

  • 基于应用：匹配数据包特征（需多包判断：一定数量的包通行后才能判断应用类型）。

  • 基于服务：匹配五元组（即时拦截）。

• WEB过滤：

  网关杀毒功能优势：

  基于应用层过滤病毒；过滤出入网关的数据 ；网关阻断病毒传输，主动防御病毒于网络之外；部署简单，方便管理， 维护成本低 ；与杀毒软件联动，建立多层防护

  其他检测方式：

  1.与僵尸网络连接是最基础的判定方式，信息来源包括：上万台在线设备收 集、与google等机构合作共享

  2. 对于未知的僵尸网络（存在大量DGA生成的C&C域名），通过模拟DGA算法 总结特征/总结一般正常域名的构成方式来判定未知的僵尸网络

  3. 危险的外联方式检测，如使用已知的（IRC、HFS）与僵尸网络进行通讯

  4. 使用标准端口传输非标准协议（如：在80端口中传输RDP协议）

  5. 对外发起CC攻击

  6. 对外传播恶意文件

  7. 对外发送shellcode

  8. 检测出下载恶意文件、恶意PDF等行为

  9. 检测出下载文件与后缀名不符

  10.上下行流量不符

  5.总结

  • URL过滤、文件过滤，支持HTTPS检测。

    3. 网关杀毒技术

  • 病毒定义：编制或者在计算机程序中能插入的破坏计算机 功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程 序代码

  • 病毒工作过程：

  • 

  • 杀毒产品类型：

    • 单机版杀毒软件：被动防御，需频繁更新。

    • 杀毒网关：主动拦截进出数据，构建立体防护体系。

  • 实现方式：

    • 代理扫描：将所有经过网关的需要进行病毒检测的数据报文透明的转交给网关自 身的协议栈，通过网关自身的协议栈将文件全部缓存下来后，再送入 病毒检测引擎进行病毒检测。

    • 流扫描：依赖于状态检测技术以及协议解析技术，简单的提取文件的特征与本 地签名库进行匹配。

  • 配置流程：新建策略→选择对象→协议→文件类型。

  • 4. 僵尸网络检测和防御技术

  • 僵尸网络定义：由受控主机（肉鸡）组成的网络，用于DDoS攻击或数据窃取。

  • 检测挑战：传统防毒墙对APT（高级持续性威胁）攻击无效。

  • 检测手段：

    • 恶意链接匹配：白名单放行，黑名单拦截，黑白名单匹配不上- >云端分析未知链接。

    • 云端沙盒检测：可疑流量上报→沙盒分析（行为监控）→生成规则→云同步更新+下发防御。

    • 异常流量检测：分析协议行为偏离度，检测SYN/ICMP/DNS/UDP Flood攻击。

    • 其他方式：DGA域名特征分析、非标准协议检测、流量异常分析等。

  • 终端安全需结合深度检测、应用管控、网关杀毒和僵尸网络防御。

  • 云端协同和沙盒技术是应对新型威胁（如APT）的关键。

  • 立体化防御体系（终端+网关+云端）能有效降低安全风险。