防御保护:防火墙内容安全

一、IAE(Intelligent Awareness Engine)引擎

二、深度检测技术(DFI和DPI)

1.DPI – 深度包检测技术

DPI主要针对完整的数据包(数据包分片,分段需要重组),之后对数据包的内容进行识别。(应用层)

(1)基于“特征字”的检测技术

(2)基于应用网关的检测技术

有些应用控制和数据传输是分离的,比如一些视频流。一开始需要TCP建立连接,协商参数,这一部分我们称为信令部分。之后,正式传输数据后,可能就通过UDP协议来传输,流量缺失可以识别的特征。所以,该技术就是基于前面信令部分的信息进行识别和控制。

(3)基于行为模式的检测技术

比如我们需要拦截一些垃圾邮件,但是,从特征字中很难区分垃圾邮件和正常邮件,所以,我们可以基于行为来进行判断。比如,垃圾邮件可能存在高频,群发等特性,如果出现,我们可以将其认定为垃圾邮件,进行拦截,对IP进行封锁。

2.DFI – 深度流检测技术

结论:
DFI仅对流量进行分析,所以,只能对应用类型进行笼统的分类,无法识别出具体的应用;DPI进行检测会更加精细和精准;如果数据包进行加密传输,则采用DPI方式将不能识别具体的应用,除非有解密 手段;但是,加密并不会影响数据流本身的特征,所以,DFI的方式不受影响。

三、入侵防御

IDS:侧重于风险管理的设备
IPS:侧重于风险控制的设备

1. IPS的作用

IPS是一种安全机制,通过分析网络流量来检测入侵(包括缓冲区溢出攻击、木马、蠕虫等),并通过一定的响应方式(自动丢弃入侵报文或阻断攻击源)来实时地中止入侵行为(既能发现又能阻止入侵行为),从根本上避免攻击行为。

2.IPS的优势

(1)实时的阻断攻击;
(2)深层防护 — 深入到应用层;
(3)全方位的防护 — IPS可以针对各种常见威胁做出及时的防御,提供全方位的防护;
(4)内外兼防 — 只要是通过设备的流量均可以进行检测,可以防止发自于内部的攻击。
(5)不断升级,精准防护

3.与传统IDS的区别

(1)IDS侧重于风险管理,IPS侧重于风险控制;
(2)IDS无法检测应用层内容,误报和漏报率居高不下,而日志和告警又过多,IPS可对报文层层剥离,进行协议识别和报文解析后再进行分类和特征匹配,保证检测的精确性;
(3)DS是被动检测攻击,只能通过响应机制报告给FW,再由FW来阻断攻击,IPS是积极主动的入侵防御阻止系统,可以自动将攻击包丢弃或将攻击源阻断,有效地实现了主动防御功能。

4.入侵检测

入侵防御实现机制

(1)重组应用数据:针对逃避入侵检测的行为,首先进行IP分片及TCP流的重组,确保应用层数据的连续性;
(2)协议识别和协议解析:可根据报文内容识别出多种常见应用层协议,再根据具体协议分析方案进行更为精细的分析,并深入提取报文特征;
(3)特征匹配:将解析后的报文特征与签名进行匹配,如果命中则进行响应;
(4)响应处理:完成检测后根据管理员配置的动作对匹配到签名的报文进行处理。

签名

签名用于描述网络中攻击行为的特征,通过将数据流与入侵防御签名进行比较来检测防范攻击。
预定义签名:入侵防御特征库中包含的签名,缺省动作包括放行、告警和阻断;
自定义签名:针对新的攻击类型或特殊目的进行配置,系统会自动对自定义规则的合法性和正则表达式进行检查,动作行为包括阻断和告警。

签名过滤器
满足指定过滤条件的集合,用于特征库升级后从大量签名中剔除本网络中没有该特征的签名或针对本网络中常出现的威胁过滤出该特征的签名。
例外签名:对签名过滤器批量过滤出的签名设置不同的动作。
入侵防御对数据流的处理:命中签名→查找签名对应的配置文件→是否命中例外签名→是否命中签名过滤器→结束入侵防御处理流程。

检测方向

安全策略的方向是会话发起的方向,而不是攻击流量的方向。

异常检测

异常检测基于一个假定,即用户行为是可以预测的,遵循一致性模式的

误用检测

误用检测其实就是创建了一个异常行为的特征库。我们将一些入侵行为记录下来,总结成为特征,之后,检测流量和特征库进行对比,来发现威胁。

总结:
在进行IPS模块检测之前,首先需要重组IP分片报文和TCP数据流; — 增加检测的精准性
在此之后需要进行应用协议的识别。这样做主要为了针对特定的应用进行对应精细的解码,并深入报文提取特征。
最后,解析报文特征和签名(特征库里的特征)进行匹配。再根据命中与否做出对应预设的处理方案。

四、防病毒网关(AV)

病毒:一种恶意代码,可感染或附着在应用程序或文件中,一般通过邮件或文件共享等协议进行传播,表现为耗尽主机资源、占用网络带宽、控制主机权限、窃取数据或对硬件造成破坏。
反病毒:一种安全机制,通过凭借庞大且不断更新的病毒特征库识别和处理病毒文件来保证网络安全,一般部署在企业网入口

代理扫描 — 文件需要全部缓存 — 可以完成更多的如解压,脱壳之类的高级操作,并且,检测率高,但是,效率较低,占用资源较大。
流扫描 — 基于文件片段进行扫描 — 效率较高,但是这种方法检测率有限。

病毒杀链

病毒的工作原理

C&C服务器 — 命令控制服务器

防病毒处理流量

1.进行应用和协议的识别
2.判断这个协议是否支持防病毒的检测,如果不是支持的防病毒协议,则文件将直接通过。

3.之后,需要进行白名单的比对。如果命中白名单,则将不进行防病毒检测,可以同时进行其他模块的检测。
4.如果没有命中白名单,则将进行特征库的比对。如果比对上了,则需要进行后续处理。如果没有比对上,则可以直接放行。
这个病毒库也是可以实时对接安全中心进行升级,但是,需要提前购买License进行激活。
5.如果需要进行后续处理,首先进行“病毒例外“的检测。 — 这个病毒例外,相当于是病毒的一个白名单,如果是添加在病毒例外当中的病毒,比对上之后,将直接放通。 ---- 过渡防护
6.之后,进行应用例外的比对。 — 类似于IPS模块中的例外签名。针对例外的应用执行和整体配置不同的动作。
7.如果没有匹配上前面两种例外,则将执行整体配置的动作。
宣告:仅针对邮件文件生效。仅支持SMTP和POP3协议。对于携带病毒的附件,设备允许文件通过,但是,会在邮件正文中添加病毒的提示,并生成日志。
删除附件:仅针对邮件文件生效,仅支持SMTP和POP3协议。对于携带病毒的附件,设备会删除掉邮件的附件,同时会在邮件正文中添加病毒的提示,并生成日志。

防病毒的配置

需求:假设内网用户需要通过外网的web服务器和pop3邮件服务器下载文件和邮件,内网的FTP服务器也需要接受外网用户上传的文件。针对该场景进行防病毒的防护。

五、URL过滤

1.作用

URL ---- 资源定位符, 通过允许或禁止用户访问某些网络资源,达到规范上网行为的目的,可以设置生效时间段,也可以设置动作为放行、告警或阻断。

静态网页
动态网页 — 需要于数据库进行结合
URI — 统一资源标识符

2.过滤的方法

作用:黑名单是不允许用户访问的URL列表,白名单是允许用户访问的URL列表;
黑白名单与URL分类:白名单>黑名单>自定义URL分类>预定义URL分类,黑白名单可以看做是特殊的(动作不可更改)自定义URL分类,另外自定义URL分类会被URL过滤配置文件自动引用,而黑白名单不具备共用性;
内嵌白名单功能:当大型网页中内嵌了其它网页链接时,如果只将主网页加入白名单,则该主网页下内嵌的其它网页都将无法正常访问,内嵌白名单功能通过用户HTTP请求中的referer字段(标识用户从哪个网页跳转过来)去匹配内嵌白名单从而实现对内嵌网页的访问,其包括以下两种方式;
方式一:使用用户手工配置的referer-host与HTTP请求中的referer字段进行匹配,此时如果未能匹配,则用户还可以选择是否将referer字段继续匹配白名单;
方式二:使用白名单与referer字段进行匹配,该项默认开启。
仅支持白名单模式功能:仅匹配白名单,匹配即放行,不匹配则阻断。

3.匹配方式

精确>后缀>前缀>关键字

4.识别方式

六、DNS过滤

1.作用

通过允许或禁止用户访问某些网络资源,达到规范上网行为的目的,可以设置生效时间段,也可以设置动作为放行、告警或阻断。

2.机制

DNS请求报文中提取域名→白名单→黑名单→自定义DNS分类→本地缓存中的预定义DNS分类→远程服务器是否可用→远程服务器查询是否超时→按返回的预定义分类控制动作处理→是否被阻断→是否配置重定向→重定向到有效地址→结束。

七、内容安全过滤技术

1.文件过滤技术

指针对文件的类型进行的过滤,而不是文件的内容。

作用:根据文件类型对特定文件进行过滤,防止公司机密信息和用户个人信息泄露。

机制:

当通过FW的文件(流量)匹配了一条安全策略规则(动作为permit)且引用了文件过滤配置文件时将进行文件过滤检测,以对特定类型的文件进行阻断或告警。
(1)文件过滤配置:包括承载文件的应用、文件传输方向、文件类型和文件扩展名。
(2)文件识别异常配置:定义了文件类型识别结果异常时的处理动作。
(3)动作:根据文件识别的结果和文件识别异常的响应动作来决定。

压缩

文件过滤技术的处理流程

文件过滤的位置是在AV扫描之前,主要是可以提前过滤掉部分文件,减少AV扫描的工作量,提高工作效率。

2. 内容过滤技术

文件内容的过滤:比如我们上传下载的文件中,包含某些关键字(可以进行精准的匹配,也可以通过正则表达式去实现范围的匹配。)

应用内容的过滤

比如微博或者抖音提交帖子的时候,包括我们搜索某些内容的时候,其事只都是通过HTTP之类的协议中规定的动作来实现的,包括邮件附件名称,FTP传递的文件名称,这些都属于应用内容的过滤。

注意:对于一些加密的应用,比如我们HTTPS协议,则在进行内容识别的时候,需要配置SSL代理(中间人解密)才可以识别内容。但是,如果对于一些本身就加密了的文件,则无法进行内容识别。

内容识别的动作包括:告警,阻断,按权重操作:我们可以给每一个关键字设计一个权重值,如果检测到多个关键字的权重值超过预设值,则执行告警或者阻断的动作。

3.邮件过滤技术

主要是用来过滤垃圾邮件的。—所谓垃圾邮件,就是收件人事先没有提出要求或者同意接受的广告,电子刊物,各种形式的宣传的邮件。包括,一些携带病毒,木马的钓鱼邮件,也属于垃圾邮件。

作用:使用IP地址检查和邮件内容过滤技术防止垃圾邮件泛滥、匿名邮件非法传播和信息泄密。


统计法 — 基于行为的深度检测技术

贝叶斯算法 — 一种基于预测的过滤手段

基于带宽的统计 — 统计单位时间内,某一个固定IP地址试图建立的连接数,限制单位时间内单个IP地址发送邮件的数量。

基于信誉评分 — 一个邮件服务器如果发送垃圾邮件,则将降低信誉分,如果信誉比较差,则将其发出的邮件判定为垃圾邮件。

列表法 — 黑,白名单

RBL(Real-time Blackhole List) — 实时黑名单 — RBL服务器所提供,这里面的内容会实时根据检测的结果进行更新。我们设备在接收到邮件时,可以找RBL服务器进行查询,如果发现垃圾邮件,则将进行告知。 — 这种方法可能存在误报的情况,所以,谨慎选择丢弃动作。
源头法

SPF技术 — 这是一种检测伪造邮件的技术。可以反向查询邮件的域名和IP地址是否对应。如果对应不上,则将判定为伪造邮件。
意图分析

通过分析邮件的目的特点,来进行过滤,称为意图分析。(结合内容过滤来进行。)

机制:分为基于IP的过滤和基于邮件内容的过滤。

SMTP — 简单邮件传输协议,TCP 25,他主要定义了邮件该如何发送到邮件服务器中。
POP3 — 邮局协议,TCP 110,他定义了邮件该如何从邮件服务器(邮局)中下载下来。
IMAP — TCP 143,也是定义了邮件 该如何从邮件服务器中获取邮件。
(使用POP3则客户端会将邮件服务器中未读的邮件都下载到本地,之后进行操作。邮件服务器上会将这些邮件删除掉。如果是IMAP,用户可以直接对服务器上的邮件进行操作。而不需要将邮件下载到本地进行操作。)

4.应用行为控制技术

常用于企业内部对内网用户的HTTP/FTP/IM行为进行更为精确的控制。
主要针对HTTP和FTP协议。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/265647.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

10_Vue

文章目录 Vue快速入门Vue的指令Vue的插值表达式V指令v-bind(单向绑定)v-model(双向绑定)v-on(事件监听)v-for(循环)v-text、v-htmlv-show(显示/隐藏)v-if&…

JetBrains系列工具,配置PlantUML绘图

PlantUML是一个很强大的绘图工具,各种图都可以绘制,具体的可以去官网看看,或者百度。 PlantUML简述 https://plantuml.com/zh/ PlantUML语言参考指引 https://plantuml.com/zh/guide PlantUML语言是依赖Graphviz进行解析的。Graphviz是开源…

SAP PP学习笔记04 - BOM1 - BOM创建,用途,形式,默认值,群组BOM等

本章开始讲BOM的内容。 1,BOM的定义 (Bill of Materials) 物料清单(Bill of Materials,简称BOM)是描述企业产品组成的技术文件。在加工资本式行业,它表明了产品的总装件、分装件、组件、部件、…

python自动化学习--3.8python操作EXCEL文件python日志收集处理

1、Excel文件处理 安装 openpxl 第三方库 openpxl 模块三大组件: 1、工作簿 (包含多个sheet工作表) 2、工作表 (某个数据包含在某个工作表) 3、单元格 1、创建excel工作簿 import openpyxl"""Excel表格的创建…

练习 2 Web [ACTF2020 新生赛]BackupFile 1

[ACTF2020 新生赛]BackupFile 1 Web常规题目 首先尝试查找常见的前端页面index.php之类的,没找到 题目有个“BackupFile”——备份文件 尝试用工具遍历查找相关的文件 御剑没扫出来,搜索搭建好dirsearch后,扫出来的index.php.bak 扫描工…

SPA首屏加载速度慢的怎么解决?

什么时首屏加载 首屏时间,指的是浏览器从响应用户输入网址地址,到首屏内容渲染完成的时间,此时整个网页不一定要全部渲染完成,但需要展示当前视图需要的内容。首屏加载可以说是用户体验中最重要的环节 如何计算首屏时间 通过DOM…

可观测性在威胁检测和取证日志分析中的作用

在网络中,威胁是指可能影响其平稳运行的恶意元素,因此,对于任何希望避免任何财政损失或生产力下降机会的组织来说,威胁检测都是必要的。为了先发制人地抵御来自不同来源的任何此类攻击,需要有效的威胁检测情报。 威胁…

【Vue的单选按钮不选中已解决亲测】

伙计,你是否因为后台给vue前端已经传入了对应的单选按钮的数据,为啥还是不选中呢!? 这个问题实话我百度乐很多都不能解决我的问题,最后机智如我的发现乐vue的自身的问题,后端返回的数据类型如果是数字int类…

浙江大学主办!2024年第7届信息通信与信号处理国际会议( ICICSP2024)征稿开启!

会议官网 IEEE | ICICSP 2024 学术会议查询-学术会议交流服务平台-爱科会易 (uconf.com)​www.uconf.com/

JavaEE:多线程(3):案例代码

目录 案例一:单例模式 饿汉模式 懒汉模式 思考:懒汉模式是否线程安全? 案例二:阻塞队列 可以实现生产者消费者模型 削峰填谷 接下来我们自己实现一个阻塞队列 1.先实现一个循环队列 2. 引入锁,实现线程安全 …

ETH开源PPO算法学习

前言 项目地址:https://github.com/leggedrobotics/rsl_rl 项目简介:快速简单的强化学习算法实现,设计为完全在 GPU 上运行。这段代码是 NVIDIA Isaac GYM 提供的 rl-pytorch 的进化版。 下载源码,查看目录,整个项目…

Redis 16种妙用

1、缓存 2、数据共享分布式 3、分布式锁 4、全局ID 5、计数器 6、限流 7、位统计 8、购物车 9、用户消息时间线timeline 10、消息队列 11、抽奖 12、点赞、签到、打卡 13、商品标签 14、商品筛选 15、用户关注、推荐模型 16、排行榜 1、缓存 String类型 例如:热点…

提示emp.dll丢失怎么办?emp.dll的多种解决方法

在计算机游戏运行过程中,如果系统提示“emp.dll文件丢失”,这可能会引发一系列影响游戏正常运行的问题。由于emp.dll是动态链接库文件中的一种,它通常承载着游戏核心功能的重要模块或组件,一旦缺失,意味着相关功能将无…

Flask——基于python完整实现客户端和服务器后端流式请求及响应

文章目录 本地客户端Flask服务器后端客户端/服务器端流式接收[打字机]效果 看了很多相关博客,但是都没有本地客户端和服务器后端的完整代码示例,有的也只说了如何流式获取后端结果,基本没有讲两端如何同时实现流式输入输出,特此整…

Linux:Ansible的常用模块

模块帮助 ansible-doc -l 列出ansible的模块 ansible-doc 模块名称 # 查看指定模块的教程 ansible-doc command 查看command模块的教程 退出教程时候建议不要使用ctrlc 停止,某些shell工具会出现错误 command ansible默认的模块,执行命令,注意&#x…

Docker数据卷-自定义镜像

一.数据卷 1.1数据卷的基本使用 数据卷是一个特殊的目录,用于在Docker容器中持久化和共享数据。 数据卷的主要特点包括: 数据持久性:数据卷允许您在容器的生命周期之外保持数据的持久性。即使容器被删除,数据卷中的数据依然存在&…

小程序框架(概念、工作原理、发展及应用)

引言 移动应用的普及使得用户对于轻量级、即时可用的应用程序需求越来越迫切。在这个背景下,小程序应运而生,成为一种无需下载安装、即点即用的应用形式,为用户提供了更便捷的体验。小程序的快速发展离不开强大的开发支持,而小程…

基于YOLOv8/YOLOv7/YOLOv6/YOLOv5的活体人脸检测系统(Python+PySide6界面+训练代码)

摘要:本篇博客详细讲述了如何利用深度学习构建一个活体人脸检测系统,并且提供了完整的实现代码。该系统基于强大的YOLOv8算法,并进行了与前代算法YOLOv7、YOLOv6、YOLOv5的细致对比,展示了其在图像、视频、实时视频流和批量文件处…

如何做代币分析:以 TRX 币为例

作者:lesleyfootprint.network 编译:cicifootprint.network 数据源:TRX 代币仪表板 (仅包括以太坊数据) 在加密货币和数字资产领域,代币分析起着至关重要的作用。代币分析指的是深入研究与代币相关的数据…

c# .net8 香橙派orangepi + hc-04蓝牙 实例

这些使用c# .net8开发,硬件 香橙派 orangepi 3lts和 hc-04蓝牙 使用场景:可以通过这个功能,手机连接orangepi进行wifi等参数配置 硬件: 1、带USB口的linux开发板orangepi 2、USB 转TTL 中转接蓝牙(HC-04) 某宝上买…