网络安全之防御保护（3）

防病毒网关 恶意软件 按照传播方式分类 病毒 病毒是一种基于硬件和操作系统的程序，具有感染和破坏能力，这与病毒程序的结构有关。病毒攻击的 宿主程序是病毒的栖身地，它是病毒传播的目的地，又是下一次感染的出发点。 计算机病毒感染的一般过程为： 当计算机运行染毒的宿主程序时，病毒夺取控制权； 寻找感染的突破 口； 将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似，它寄生在 宿主程序中，进入计算机并借助操作系统和宿主程序的运行，复制自身、大量繁殖。 病毒感染目标包括：硬盘系统分配表扇区 ( 主引导区 ) 、硬盘引导扇区、软盘引导扇区、可执行文件 （ .exe ）、命令文件（ .com ）、覆盖文件（ .ovl ）、 COMMAND 文件、 IBMBIO 文件、 IBMDOS 文件。 原理 计算机病毒感染的一般过程为： 当计算机运行染毒的宿主程序时，病毒夺取控制权； 寻找感染的突破 口； 将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似，它寄生在 宿主程序中，进入计算机并借助操作系统和宿主程序的运行，复制自身、大量繁殖。 主要传播方式∶感染文件传播 " 熊猫烧香 " 是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒，它不但能感染系统中 exe， com ， pif ， src ， html ， asp 等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为 gho 的文件。由于被其感染的文件图标会被替换成 " 熊猫烧香 " 图案，所以该病毒被称为 " 熊猫烧香 " 病毒。                      

 

 

蠕虫 蠕虫是主要通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码。一个能传染自身拷贝 到另一台计算机上的程序。

原理： 

 

传播方式∶ 通过网络发送攻击数据包 最初的蠕虫病毒定义是因为在 D0S 环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃 屏幕上的字母并将其改形。 永恒之蓝 :2017 年 4 月 14 日晚，黑客团体 Shadow Brokers （影子经纪人）公布一大批网络攻击工具，其 中包含" 永恒之蓝 " 工具， " 永恒之蓝 " 利用 Windows 系统的 SMB 漏洞可以获取系统最高权限。 5 月 12 日， 不法分子通过改造" 永恒之蓝 " 制作了 wannacry 勒索病毒，英国、俄罗斯、整个欧洲以及中国国内多个高 校校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金才能解密恢复文件。 木马 木马是攻击者通过欺骗方法在用户不知情的情况下安装的。木马系统软件一般由木马配置程序、控制程 序和木马程序（服务器程序）三部分组成。 原理：

 

传播过程： 黑客利用木马配置工具生成一个木马的服务端；通过各种手段如 Spam 、 Phish 、 Worm 等安装到用户终 端；利用社会工程学, 或者其它技术手段使得木马运行；木马窃取用户隐私信息发送给黑客；同时允许黑 客控制用户终端。 传播方式∶捆绑、利用网页

 

 

挂马代码的功能是在网页打开的时候，同时打开另外一个网页，当然这个网页可能包含大量的木马，也 可能仅仅是为了骗取流量。

 

按照功能分类 后门 具有感染设备全部操作权限的恶意代码。 典型功能∶ 文件管理、屏幕监控、键盘监控、视频监控、命令执行等。 典型家族∶ 灰鸽子、 pCshare 勒索 通过加密文件，敲诈用户缴纳赎金。 加密特点∶ 主要采用非对称加密方式 对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密 其他特点∶ 通过比特币或其它虚拟货币交易 利用钓鱼邮件和爆破 rdp 口令进行传播 典型家族∶ Wannacry 、 GandCrab 、 Globelmposter 挖矿 攻击者通过向被感染设备植入挖矿工具，消耗被感染设备的计算资源进行挖矿，以获取数字货币收益的 恶意代码。特点∶ 不会对感染设备的数据和系统造成破坏。 由于大量消耗设备资源，可能会对设备硬件造成损害。 恶意代码的特征 病毒感染系统后，无疑会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出网页、 占用高CPU 资源、自动弹出 / 关闭窗口、自动终止某些进程等各种不正常现象。 下载特征 很多木马、后门程序间谍软件会自动连接到 Internet 某 Web 站点，下载其他的病毒文件或该病毒自身的 更新版本/ 其他变种。 后门特征 后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启 并侦听某个端口，允许远程恶意用 户来对该系统进行远程操控； 某些情况下，病毒还会自动连接到某 IRC 站点某频道中，使得该频道中特定的恶意用户远程访问受 感染的计算机。 信息收集特性 QQ 密码和聊天记录； 网络游戏帐号密码； 网上银行帐号密码； 用户网页浏览记录和上网习惯； 自身隐藏特性 多数病毒会将自身文件的属性设置为 “ 隐藏 ” 、 “ 系统 ” 和 “ 只读 ” ，更有一些病毒会通过修改注册表，从而修 改用户对系统的文件夹访问权限、显示权限等，以使病毒更加隐蔽不易被发现。 文件感染特性 病毒会将恶意代码插入到系统中正常的可执行文件中，使得系统正常文件被破坏而无法运行，或使 系统正常文件感染病毒而成为病毒体； 有的文件型病毒会感染系统中其他类型的文件。 Wannacry 就是一种典型的文件型病毒，它分为两部分，一部分是蠕虫部分，利用 windows 的 “ 永恒 之蓝 ” 漏洞进行网络传播。一部分是勒索病毒部分，当计算机感染 wannacry 之后，勒索病毒部分就 会自动安装并且加密计算机中包括音频、图像、文档等各种类型的文件。与此同时弹出勒索框进行 勒索。 网络攻击特性 木马和蠕虫病毒会修改计算机的网络设置，使该计算机无法访问网络； 木马和蠕虫还会向网络中其他计算机攻击、发送大量数据包以阻塞网络，甚至通过散布虚假网关地 址的广播包来欺骗网络中其他计算机，从而使得整个网络瘫痪。 爱虫病毒是一种利用 Windows outlook 邮件系统传播的蠕虫病毒，将自己伪装成一封情书，邮件主 题设置为 “I LOVE YOU” ，诱使受害者打开，由此得名。当爱虫病毒运行后迅速找到邮箱通信簿里的 50个联系人再进行发送传播。传播速度非常之快，致使大量电子邮件充斥了整个网络，不仅会导致 邮件服务器崩溃，也会让网络受影响变慢。从而达到攻击网络的目的。 病毒威胁场景

 

病毒一般是以文件为载体进行传播的。 病毒传播途径 电子邮件 HTML 正文可能被嵌入恶意脚本； 邮件附件携带病毒压缩文件； 利用社会工程学进行伪装； 增大病毒传播机会；快捷传播特性。 网络共享 病毒会搜索本地网络中存在的共享，包括默认共享，如 ADMIN$ 、 IPC$ 、 E$ 、 D$ 、 C$ ； 通过空口令或弱口令猜测，获得完全访问权限； 病毒自带口令猜测列表； 将自身复制到网络共享文件夹中； 通常以游戏、 CDKEY 等相关名字命名。 P2P 共享软件 将自身复制到 P2P 共享文件夹； 通常以游戏 ,CDKEY 等相关名字命名； 通过 P2P 软件共享给网络用户； 利用社会工程学进行伪装，诱使用户下载。 系统漏洞 由于操作系统固有的一些设计缺陷，导致被恶意用户通过畸形的方式利用后，可执行任意代 码。 病毒往往利用系统漏洞进入系统，达到传播的目的。 一些大家熟知的漏洞： 微软 IIS 漏洞 快捷方式文件解析漏洞 RPC 远程执行漏洞 打印机后台程序服务漏洞 广告软件 / 灰色软件 灰色软件是指不被认为是病毒木马，但对用户的计算机会造成负面影响的软件。比如说广告软 件，它们有时候是由用户主动安装，更多的是与其他正常软件进行绑定而被安装。 其他 网页感染； 与正常软件捆绑； 用户直接运行病毒程序； 由其他恶意程序释放。 恶意代码的免杀技术 恶意代码希望能顺利绕过杀毒软件与防火墙，在受害者的计算机中长期隐藏下去，并能在必要的时候向 攻击者提供有用的信息。 免杀技术又称为免杀毒（ Anti Anti- Virus ）技术，是防止恶意代码免于被杀毒设备查杀的技术。主流免 杀技术如下∶ 修改文件特征码 修改内存特征码 行为免查杀技术 原理 免杀的最基本思想就是破坏特征，这个特征有可能是特征码，有可能是行为特征，只要破坏了病毒与木 马所固有的特征，并保证其原有功能没有改变，一次免杀就能完成了。 特征码就是反病毒软件用于判断文件是否带病毒的一段独一无二的代码，这些特征码在不同的反病毒软 件的病毒库中不尽相同。 特征码就是一种只在病毒或木马文件内才有的独一无二的特征，它或是一段字符，或是在特定位置调用 的一个函数。总之，如果某个文件具有这个特征码，那反病毒软件就会认为它是病毒。反过来，如果将 这些特征码从病毒、木马的文件中抹去或破坏掉，那么反病毒软件就认为这是一个正常文件了。 文件免杀原理 黑客们研究木马免杀的最终目标就是在保证原文件功能正常的前提下，通过一定的更改，使得原本会被 查杀的文件免于被杀。 要达到不再被杀的目的方法有很多种，其中最直接的方法就是让反病毒软件停止工作，或使病毒木马 “变 ” 为一个正常的文件。 然而如何使一个病毒或木马变成一个正常文件，对于黑客们来说其实是一个比较棘手的问题，不过只要 学会了一种免杀原理，其他的免杀方案也就触类旁通了。 改特征码免杀原理 所谓的特征码，我们可以将其理解为反病毒软件的黑名单。黑客们显然无法将木马从反病毒软件的黑名 单中删除，所以他们要让病毒改头换面！例如原来黑名单中有“ 灰鸽子 ” 这么一款木马，黑客们将其改头 换面后不叫灰鸽子了，比如叫“ 白鸽子 ” ！当然，这只是一个例子，现实中仅仅依靠改名是骗不了反病毒 软件的。 就目前的反病毒技术来讲，更改特征码从而达到免杀的效果事实上包含着两种思想。 一种思想是改特征码，这也是免杀的最初方法。例如一个文件在某一个地址内有 “ 灰鸽子上线成功！ ” 这 么一句话，表明它就是木马，只要将相应地址内的那句话改成别的就可以了，如果是无关痛痒的，直接 将其删掉也未尝不可。

第二种是针对目前推出的校验和查杀技术提出的免杀思想，它的原理虽然仍是特征码，但是已经脱离纯 粹意义上特征码的概念，不过万变不离其宗。其实校验和也是根据病毒文件中与众不同的区块计算出来 的，如果一个文件某个特定区域的校验和符合病毒库中的特征，那么反病毒软件就会报警。所以如果想 阻止反病毒软件报警，只要对病毒的特定区域进行一定的更改，就会使这一区域的校验和改变，从而达 到欺骗反病毒软件的目的，如图所示。这就是在定位特征码时，有时候定位了两次却得出不同结果的原 因所在。

 

花指令免杀原理 花指令其实就是一段毫无意义的指令，也可以称之为垃圾指令。花指令是否存在对程序的执行结果没有 影响，所以它存在的唯一目的就是阻止反汇编程序，或对反汇编设置障碍。 然而这种障碍对于反病毒软件来说同样也是致命的，如果黑客们的花指令添加得足够高明，就可以使木 马很轻松地逃脱查杀！ 但是，为什么它会影响反病毒软件的判断呢？通过前面的学习大家都已经知道，大多数反病毒软件是靠 特征码来判断文件是否有毒的，而为了提高精度，现在的特征码都是在一定偏移量限制之内的，否则会 对反病毒软件的效率产生严重的影响！而在黑客们为一个程序添加一段花指令之后，程序的部分偏移会 受到影响，如果反病毒软件不能识别这段花指令，那么它检测特征码的偏移量会整体位移一段位置，自然也就无法正常检测木马了。 当然，这也仅仅是针对第一代扫描技术的方法，不过即便是反病毒软件采用虚拟机分析、校验和扫描或 启发式分析，花指令同样会起到一定的作用，针对每种检测方法的不同，花指令所起到的作用亦不相 同。它最根本的思想就是扰乱程序运行顺序，并为破解者（反病毒人员）设下陷阱。而如果花指令可以 成功保护软件真正代码不被轻易反汇编，那么对于反病毒软件来说，它所检测的自然也就不是木马文件 中真正的内容了。 加壳免杀原理 说起软件加壳，简单地说，软件加壳其实也可以称为软件加密（或软件压缩），只是加密（或压缩）的 方式与目的不一样罢了。 一般的加密是为了防止陌生人随意访问我们的数据。但是加壳就不一样了，它的目的是减少被加壳应用 程序的体积，或避免让程序遭到不法分子的破坏与利用，例如最常见的共享软件，如果不对软件加以保 护，那么这个软件就会很轻易地被破解，也就没有人去向软件的作者购买注册码了。 既然加壳后的软件还能正常运行，那么这些壳究竟将软件的哪些部分加密了呢？其实，我们可以从 “ 加 壳” 这个词语本身着手，为什么不叫加密、防盗或其他的名称，而偏偏称其为加壳呢？ 我们可以将未加壳的软件想象成美味的食物，太多的人想要得到它，想借此大饱口福！于是食物的主人 就将其保存了起来，放到一个只有他能打开的硬壳里，这样就可以避免其他人打它的主意。而当自己的 客人到来时，他可以很轻松地打开这个硬壳，供客人品尝…… 上面所说壳就是我们加的保护，它并不会破坏里面的程序，当我们运行这个加壳的程序时，系统首先会 运行程序的“ 壳 ” ，然后由壳将加密的程序逐步还原到内存中，最后运行程序。这样一来，在我们看来， 似乎加壳之后的程序并没有什么变化，然而它却达到了加密的目的，这就是壳的作用。 现在，我们再回头看看反病毒软件，如果说加壳之后的文件我们都无法将其还原，那么反病毒软件自然 也就“ 看 ” 不懂了。加密后的文件结构已经产生了天翻地覆的变化，原有的特征码早已不知去处，反病毒 软件自然也就会认为它是一个正常的文件了。 由以上 3 种方法可知，基于文件的免杀基本上就是破坏原有程序的特征，无论是直接修改特征码还是加上 一段花指令，抑或是将其加壳，其最后的目的只有一个，那就是打乱或加密可执行文件内部的数据。 内存免杀原理 自从文件免杀的方法在黑客圈子内部流传开后，反病毒公司将这场博弈升级到了另一个层次 — 内存中。 内存在计算机安全领域中向来就是兵家必争之地，从信息截取、软件破解，到内核Hook 、修改内核，再 到缓冲区溢出等，其主要战场都在内存中，由此可见内存是一个多么复杂而又变幻莫测的地方。之所以说内存复杂，是因为一般情况下内存是数据进入 CPU 之前的最后一个可控的物理存储设备。这 里，数据往往都已经被处理成可以直接被 CPU 执行的形式了，像我们前面讲的加壳免杀原理在这里也许 就会失效了。 我们知道， CPU 不可能是为某一款加壳软件而特别设计的，因此某个软件被加壳后的可执行代码 CPU 是 读不懂的。这就要求在执行外壳代码时，要先将原软件解密，并放到内存里，然后再通知CPU 执行。 如果是这样，那么从理论上来讲任何被加密的可执行数据在被 CPU 执行前，肯定是会被解密的，否则 CPU就无法执行。也正是利用这个特点，反病毒公司便在这里设了一个关卡，这就使得大部分运用原有 文件免杀技巧处理过的病毒木马纷纷被杀。 其实，与上面这个原因相比较，反病毒公司选择扫描内存更多是从战略角度出发的。 因为将要被执行的程序肯定比未执行程序的威胁更大。即便是再厉害的病毒木马，只要能保证它不被执 行，它在用户的计算机中最多也就算是一个垃圾文件，就不会对用户及网络构成任何威胁。 但是黑客们又是如何对抗内存查杀的呢？其实套路与文件查杀一样，因为杀毒软件的内存扫描原理与硬 盘上的文件扫描原理都是一样的，都是通过特征码比对的，只不过为了制造迷惑性，大多数反病毒公司 的内存扫描与文件扫描采用的不是同一套特征码，这就导致了一个病毒木马同时拥有两套特征码，必须 要将它们全部破坏掉才能躲过反病毒软件的查杀。 因此，除了加壳外，黑客们对抗反病毒软件的基本思路没变。而对于加壳，只要加一个会混淆程序原有 代码的“ 猛 ” 壳，其实还是能躲过杀毒软件的查杀的。 行为免杀原理 当文件查杀与内存查杀都相继失效后，反病毒厂商便提出了行为查杀的概念，从最早的 “ 文件防火墙 ” 发 展到后来的“ 主动防御 ” ，再到现在的部分 “ 云查杀 ” ，其实都应用了行为查杀技术。 而对于行为查杀，黑客们会怎样破解呢？我们都知道一个应用程序之所以被称为病毒或者木马，就是因 为它们执行后的行为与普通软件不一样。 因此从2007年行为查杀相继被大多数反病毒公司运用成熟后，黑客免杀技术这个领域的门槛也就一下提 高到了顶层。 反病毒公司将这场博弈彻底提高到了软件领域最深入的一层 — 系统底层，这就使得黑客们需要掌握的各 种高精尖知识爆炸式增长，这一举动将大批的黑客技术的初学者挡在了门外。 然而由于初期的行为查杀刚刚兴起，很多反病毒产品的主动防御模块把关不严，应用的技术也并不先 进，从而导致了一大批内核级病毒木马的出现。而随着技术的逐渐升温，攻防双方的技术最后变得势均 力敌，反病毒公司得益于计算机领域先入为主的定律，使得黑客们从这时开始陷入被动。 因此黑客免杀技术发展到现在，已经出现了向渗透入侵等领域靠拢的趋势，黑客们将能躲过主动防御的 方法称为0Day ，并且越来越多的木马选择使用本地缓冲区溢出等攻击手法来突破主动防御。 但是反病毒爱好者们也不能因此麻痹大意，黑客领域中的任何技术从来都是靠思路与技术这两条腿走路 的，免杀技术也不例外。黑客技术的初学者仍然想出了非常多的方法，有效地突破了现在的主动防御与 云查杀。反病毒技术 单机反病毒 检测工具 单机反病毒可以通过安装杀毒软件实现，也可以通过专业的防病毒工具实现。 病毒检测工具用于检测病毒、木马、蠕虫等恶意代码，有些检测工具同时提供修复的功能。 常见的病毒检测工具包括： TCP View Regmon Filemon Process Explorer IceSword Process Monitor Wsyscheck SREng Wtool Malware Defender Process Explorer 是一款增强型任务管理器。可以查看进程的完整路径，识别进程，查看进程的完整信 息，关闭进程等

 

 

杀毒软件 杀毒软件主要通过一些引擎技术来实现病毒的查杀，比如以下主流技术： 特征码技术 杀毒软件存在病毒特征库，包含了各种病毒的特征码，特征码是一段特殊的程序，从病 毒样本中抽取而来，与正常的程序不太一样。把被扫描的信息与特征库进行对比，如果 匹配到了特征库，则认为该被扫描信息为病毒。行为查杀技术 病毒在运行的时候会有各种行为特征，比如会在系统里增加有特殊后缀的文件，监控用 户行为等，当检测到某被检测信息有这些特征行为时，则认为该被检测信息为病毒。 常见的杀毒软件举例 ：瑞星金山毒霸 360 安全软件卡巴斯基赛门铁克 Macfee 网关反病毒 在以下场合中，通常利用反病毒特性来保证网络安全： 内网用户可以访问外网，且经常需要从外网下载文件。 内网部署的服务器经常接收外网用户上传的文件。 FW 作为网关设备隔离内、外网，内网包括用户 PC 和服务器。内网用户可以从外网下载文件，外网用户 可以上传文件到内网服务器。为了保证内网用户和服务器接收文件的安全，需要在FW 上配置反病毒功 能。 在 FW 上配置反病毒功能后，正常文件可以顺利进入内部网络，包含病毒的文件则会被检测出来，并被采 取阻断或告警等手段进行干预。

 

反病毒工作原理 首包检测技术 通过提取 PE （ Portable Execute;Windows 系统下可移植的执行体，包括 exe 、 dll 、 “sys 等文件类型）文 件头部特征判断文件是否是病毒文件。提取 PE 文件头部数据，这些数据通常带有某些特殊操作，并且采 用 hash 算法生成文件头部签名，与反病毒首包规则签名进行比较，若能匹配，则判定为病毒。 启发式检测技术 启发式检测是指对传输文件进行反病毒检测时，发现该文件的程序存在潜在风险，极有可能是 病毒文件。比如说文件加壳（比如加密来改变自身特征码数据来躲避查杀），当这些与正常文 件不一致的行为达到一定的阀值，则认为该文件是病毒。 启发式依靠的是 " 自我学习的能力 " ，像程序员一样运用经验判断拥有某种反常行为的文件为病 毒文件。 启发式检测的响应动作与对应协议的病毒检测的响应动作相同。启发式检测可以提升网络环境 的安全性，消除安全隐患，但该功能会降低病毒检测的性能，且存在误报风险，因此系统默认 情况下关闭该功能。 启动病毒启发式检测功能∶ heuristic-detect enable 。 文件信誉检测技术

 

文件信誉检测是计算全文 MD5 ，通过 MD5 值与文件信誉特征库匹配来进行检测。文件信誉特 征库里包含了大量的知名的病毒文件的 MD5 值。华为在文件信誉检测技术方面主要依赖于文 件信誉库静态升级更新以及与沙箱联动自学习到的动态缓存。 文件信誉检测依赖沙箱联动或文件信誉库。

 

 

处理过程 1. 网络流量进入智能感知引擎后，首先智能感知引擎对流量进行深层分析，识别出流量对应的协议类 型和文件传输的方向。 2. 判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。 NGFW 支持对使用以下协议传输的文件进行病毒检测。 FTP （ File Transfer Protocol ）：文件传输协议 HTTP （ Hypertext Transfer Protocol ）：超文本传输协议 POP3 （ Post Office Protocol - Version 3 ）：邮局协议的第 3 个版本 SMTP （ Simple Mail Transfer Protocol ）：简单邮件传输协议 IMAP （ Internet Message Access Protocol ）：因特网信息访问协议 NFS （ Network File System ）：网络文件系统 SMB （ Server Message Block ）：文件共享服务器 NGFW 支持对不同传输方向上的文件进行病毒检测。 上传：指客户端向服务器发送文件。 下载：指服务器向客户端发送文件。 3. 判断是否命中白名单。命中白名单后， FW 将不对文件做病毒检测。 白名单由白名单规则组成，管理员可以为信任的域名、 URL 、 IP 地址或 IP 地址段配置白名单规 则，以此提高反病毒的检测效率。白名单规则的生效范围仅限于所在的反病毒配置文件，每个 反病毒配置文件都拥有自己的白名单。 4. 针对域名和 URL ，白名单规则有以下 4 种匹配方式： 前缀匹配： host-text 或 url-text 配置为 “example” 的形式，即只要域名或 URL 的前缀是 “example” 就命中白名单规则。 后缀匹配： host-text 或 url-text 配置为 “example” 的形式，即只要域名或 URL 的后缀是 “example” 就命中白名单规则。 关键字匹配： host-text 或 url-text 配置为 “example” 的形式，即只要域名或 URL 中包含 “example” 就命中白名单规则。 精确匹配：域名或 URL 必须与 host-text 或 url-text 完全一致，才能命中白名单规则。 5. 病毒检测： 智能感知引擎对符合病毒检测的文件进行特征提取，提取后的特征与病毒特征库中的特征进行 匹配。如果匹配，则认为该文件为病毒文件，并按照配置文件中的响应动作进行处理。如果不 匹配，则允许该文件通过。当开启联动检测功能时，对于未命中病毒特征库的文件还可以上送 沙箱进行深度检测。如果沙箱检测到恶意文件，则将恶意文件的文件特征发送给 FW ， FW 将此 恶意文件的特征保存到联动检测缓存。下次再检测到该恶意文件时，则按照配置文件中的响应 动作进行处理。 病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。该特征库对各种常见的病毒特 征进行了定义，同时为每种病毒特征都分配了一个唯一的病毒 ID 。当设备加载病毒特征库 后，即可识别出特征库里已经定义过的病毒。同时，为了能够及时识别出最新的病毒，设备上 的病毒特征库需要不断地从安全中心平台（ sec.huawei.com ）进行升级。 6. 当 NGFW 检测出传输文件为病毒文件时，需要进行如下处理： 判断该病毒文件是否命中病毒例外。如果是病毒例外，则允许该文件通过。 病毒例外，即病毒白名单。为了避免由于系统误报等原因造成文件传输失败等情况的发生，当 用户认为已检测到的某个病毒为误报时，可以将该对应的病毒 ID 添加到病毒例外，使该病毒 规则失效。如果检测结果命中了病毒例外，则对该文件的响应动作即为放行。 如果不是病毒例外，则判断该病毒文件是否命中应用例外。如果是应用例外，则按照应用例外 的响应动作（放行、告警和阻断）进行处理。 应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上，同一协议上可以承载 多种应用。 由于应用和协议之间存在着这样的关系，在配置响应动作时也有如下规定： 如果只配置协议的响应动作，则协议上承载的所有应用都继承协议的响应动作。 如果协议和应用都配置了响应动作，则以应用的响应动作为准。 如果病毒文件既没命中病毒例外，也没命中应用例外，则按照配置文件中配置的协议和传输方 向对应的响应动作进行处理。 配置 反病毒的基本配置思路

 

案例 某公司在网络边界处部署了 FW 作为安全网关。内网用户需要通过 Web 服务器和 POP3 服务器下载文件和 邮件，内网FTP 服务器需要接收外网用户上传的文件。公司利用 FW 提供的反病毒功能阻止病毒文件在这 些过程中进入受保护网络，保障内网用户和服务器的安全。 其中，由于公司使用 Ctdisk 网盘作为工作邮箱，为了保证工作邮件的正常收发，需要放行 Ctdisk 网盘的 所有邮件。另外，内网用户在通过Web 服务器下载某重要软件时失败，排查发现该软件因被 FW 判定为病 毒而被阻断（病毒ID 为 16424404 ），考虑到该软件的重要性和对该软件来源的信任，管理员决定临时放 行该类病毒文件，以使用户可以成功下载该软件。

 防病毒网关的最新趋势

 

 

 

APT 什么是 APT 攻击 APT 攻击即高级可持续威胁攻击 , 也称为定向威胁攻击，指某组织对特定对象展开的持续有效的攻击活 动。 APT 是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的 “ 恶意商 业间谍威胁” 。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。 APT 的攻击手法，在于隐匿 自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情 报的行为，就是一种“ 网络间谍 ” 的行为。 APT 攻击是一个集合了多种常见攻击方式的综合攻击。综合多种攻击途径来尝试突破网络防御，通常是 通过 Web 或电子邮件传递，利用应用程序或操作系统的漏洞，利用传统的网络保护机制无法提供统一的 防御。除了使用多种途径，高级定向攻击还采用多个阶段穿透一个网络，然后提取有价值的信息，这使 得它的攻击更不容易被发现。 APT 攻击的生命周期 第一阶段：扫描探测 在 APT 攻击中，攻击者会花几个月甚至更长的时间对 " 目标 " 网络进行踩点，针对性地进行信息收集，目标 网络环境探测，线上服务器分布情况，应用程序的弱点分析，了解业务状况，员工信息等等。 第二阶段：工具投送 在多数情况下，攻击者会向目标公司的员工发送邮件，诱骗其打开恶意附件，或单击一个经过伪造的恶 意URL ，希望利用常见软件 ( 如 Java 或微软的办公软件 ) 的 0day 漏洞，投送其恶意代码。一旦到位，恶意软 件可能会复制自己，用微妙的改变使每个实例都看起来不一样，并伪装自己，以躲避扫描。有些会关闭 防病毒扫描引擎，经过清理后重新安装，或潜伏数天或数周。恶意代码也能被携带在笔记本电脑、USB 设备里，或者通过基于云的文件共享来感染一台主机，并在连接到网络时横向传播。 第三阶段：漏洞利用 利用漏洞，达到攻击的目的。攻击者通过投送恶意代码，并利用目标企业使用的软件中的漏洞执行自 身。而如果漏洞利用成功的话，你的系统将受到感染。普通用户系统忘记打补丁是很常见的，所以他们 很容易受到已知和未知的漏洞利用攻击。一般来说，通过使用零日攻击和社会工程技术，即使最新的主 机也可以被感染，特别是当这个系统脱离企业网络后。 第四阶段：木马植入 随着漏洞利用的成功，更多的恶意软件的可执行文件 —— 击键记录器、木马后门、密码破解和文件采集 程序被下载和安装。这意味着，犯罪分子现在已经建成了进入系统的长期控制机制。 第五阶段：远程控制 一旦恶意软件安装，攻击者就已经从组织防御内部建立了一个控制点。攻击者最常安装的就是远程控制 工具。这些远程控制工具是以反向连接模式建立的，其目的就是允许从外部控制员工电脑或服务器，即这些工具从位于中心的命令和控制服务器接受命令，然后执行命令，而不是远程得到命令。这种连接方 法使其更难以检测，因为员工的机器是主动与命令和控制服务器通信而不是相反。 第六阶段：横向渗透 一般来说，攻击者首先突破的员工个人电脑并不是攻击者感兴趣的，它感兴趣的是组织内部其它包含重 要资产的服务器，因此，攻击者将以员工个人电脑为跳板，在系统内部进行横向渗透，以攻陷更多的pc 和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。 第七阶段：目标行动 也就是将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。在发现有价值的数据后， APT 攻击者往往要将数据收集到一个文档中，然后压缩并加密该文档。此操作可以使其隐藏内容，防止遭受 深度的数据包检查和DLP 技术的检测和阻止。然后将数据从受害系统偷运出去到由攻击者控制的外部。 大多数公司都没有针对这些恶意传输和目的地分析出站流量。那些使用工具监控出站传输的组织也只是 寻找" 已知的 " 恶意地址和受到严格监管的数据。 防御 APT 目前，防御 APT 攻击最有效的方法就是沙箱技术，通过沙箱技术构造一个隔离的威胁检测环境，然后将 网络流量送入沙箱进行隔离分析并最终给出是否存在威胁的结论。如果沙箱检测到某流量为恶意流量， 则可以通知 FW实施阻断。 针对 APT 攻击的防御过程如下∶ 黑客（攻击者）向企业内网发起 APT 攻击， FW 从网络流量中识别并提取需要进行 APT 检测的 文件类型。 FW将攻击流量还原成文件送入沙箱进行威胁分析。 沙箱通过对文件进行威胁检测，然后将检测结果返回给FW 。 FW获取检测结果后，实施相应的动作。如果沙箱分析出该文件是一种恶意攻击文件，FW侧则 可以实施阻断操作，防止该文件进入企业内网，保护企业内网免遭攻击。 APT 防御与反病毒的差异。 反病毒系统通常是将病毒文件的特征与病毒特征库进行对比来识别一个文件是否为病毒文件。 这种防御方式具有一定的局限性，就是只能针对已知病毒进行防御，而无法识别未知攻击。 APT防御机制则有别于反病毒系统。 APT 防御系统中的沙箱可以看做是一个模拟真实网络建造 的虚拟检测系统，未知文件放入沙箱以后将会被运行，沙箱中的收集程序会记录该文件被运行 以后的行为。沙箱通过将未知文件的行为和沙箱独有的行为模式库进行匹配，最后给出该程序 是否为恶意程序的定性结论。沙箱的行为模式库是通过分析大量的病毒、漏洞、威胁特征，提 炼出各种恶意行为的规律和模式，并形成一套判断规则，因此能提供准确的检测结果。 总体来看，反病毒系统是以被检测对象的特征来识别攻击对象，APT 防御系统是以被检测对象的行 为来识别攻击对象。 沙箱处理流程

1. 内容安全检测

 

 

网络流量进入 FW 并通过安全检查策略以后，进入智能感知引擎进行内容安全检测。 智能感知引擎可以分析出网络流量所使用的应用协议，并根据实际配置对流量进行一系列的检测，如反 病毒、URL 过滤、 APT 防御等。如果对应流量命中了 APT 防御配置文件中的应用类型等匹配条件，则准备 对文件进行还原，并进行其他检测判断是否需要将还原后的文件送往沙箱做进一步检测; 如果未命中 APT防御配置文件，则流量直接被转发。 2. 查询 Web 信誉 大型正规网站一般拥有较好的安全意识和优良的网络安全防护能力，所以网立站被侵入口的可能性 较小，网站上也几乎不存在恶意文件，用户访问此类网站时的风险很小。相反，随意搭建的小网站 或者恶意网站上充斥着大量的恶意文件，用户访问此类网站时的风险也极大。 Web 信誉功能对网站进行了分类， FW 会根据不同分类进行差异化处理。对于信誉度低的网站， FW 会提取出网络流量中的文件，然后送往沙箱进行进一步的检测; 对于信誉度高的网站， FW 不会提取 网络流量中的文件，即跳过了沙箱检测的步骤。这样处理可以提高FW 的检测效率，在不降低安全 性的同时，提升用户的访问体验。 Web信誉网站分类 预定义可信网站。 自定义可信网站 自定义可疑网站 未知网站 当某个网站命中预定义可信网站或自定义可信网站列表时，系统不会提取网络流量中的文件 ; 而命中 自定义可疑网站或未知网站时，系统会提取出网络流量中的文件，并送往沙箱进行进一步的检测。 查询文件信誉 查询文件信誉 在文件还原之后，提交到沙箱之前，设备会对待检测文件进行文件信誉的查询，判断该文件是否为 恶意文件。如果判定为恶意文件，则直接将该文件删除，无需再送往沙箱进行检测 ; 否则送往沙箱进 行检测。 文件提交至沙箱并进行检测智能感知引擎将原始文件发送给 APT 防御模块。智能感知引擎还原出原始文件以后 . 会将这些 文件放入一个缓存区。APT 防御模块会定期扫描缓存区，当发现有新的文件以后，通知智能引 擎将对应的文件发送给自己。 APT防御模块将原始文件发送给沙箱。 APT 防御模块将文件发送给沙箱时会记录相应文件的 MD5值。 沙箱获取文件后运行此文件，并将文件的行为特征与沙箱的行为特征库进行比对，判定文件是 否为恶意攻击文件。然后向APT 防御模块发送检测结果。 根据沙箱检测结果阻断后续流量 APT防御模块随后将检测结果和 MD5 值发给智能感知引擎。智能感知引擎根据文件的 MD5 值 和检测结果决定是否针对该文件执行阻断操作。 默认系统会在沙箱返回的检测结果为恶意时执行阻断，否则将会对流量放行。 如果用户想要根据检测结果对后续流量进行阻断，则需要在配置内容安全检测时必须配置反病 毒和URL 过滤功能。因为只有配置了这两个功能之后， IAE 会根据沙箱的检测结果更新缓存中 的AV 特征库、文件信誉库和恶意 URL 列表。含有同样恶意特征的流量到达防火墙后，由于命中了AV 特征库或恶意 UJRL 列表，可以根据反病毒配置文件或 URL 过滤配置文件中的动作来对该流量进行告警或者阻断。 配置 APT 防御 1. 升级文件信誉库 升级文件信誉特征库前，请根据沙箱类型确认 License 状态 云沙箱：依赖云沙箱检测 License ，请确认购买并成功激活支持文件信誉特征库升级服务的云沙箱 检测 License 。 本地沙箱：不依赖 License 升级文件信誉特征库 在线升级 本地升级 升级文件信誉热点库 文件信誉热点库是由 sec.huawei.com 发布的，启用文件信誉热点库的更新功能后，可以快速获取 云端的文件信誉信息，以便对存在威胁的文件进行及时的阻断。 2. 配置 Web 信誉 添加自定义可信/可疑网站

3. 本地沙箱联动 

企业内网用户通过 FW 和路由器连接到 Internet ，企业内网中部署了本地沙箱，且本地沙箱与 FW 路由可达。配置FW 与本地沙箱联动，将 FW 识别出来存在风险的流量送往本地沙箱进行检测， FW 定期去本地沙 箱上获取检测结果，并根据检测结果更新设备缓存中的恶意文件和恶意 URL 列表，当具有相同特征的后续流量命中恶意文件或恶意URL 列表时，直接进行阻断等处理，保护内网用户免受 APT攻击。3.1 选择 “ 对象 > 安全配置文件 > APT 防御 > 沙箱联动配置”。

3.2 配置本地沙箱 

3.3 配置APT防御文件 

3.4 配置APT防御配置文件的名称和描述。 

 

 

3. 5配置沙箱检测的相关参数 

3.6 在安全策略中引用APT防御配置文件 

结果验证1. 选择“对象 > 安全配置文件 > APT防御 > 沙箱联动配置 > 本地沙箱”，查看本地沙箱的连接状态为“连接成功”。 

2. 点击“连接状态”后面的“登录本地沙箱”，登录本地沙箱后查看已经提交到本地沙箱的文件及检测结果 

 

4.云沙箱联动 

Internet 与企业内网之间通过 FW 和路由器进行连接，组网中部署了云沙箱。配置 FW 与云沙箱联动，将FW识别出来存在风险的流量送往云沙箱进行检测， FW 定期去云沙箱上获取检测结果，并根据检测结果更新设备缓存中的恶意文件和恶意URL 列表，当具有相同特征的后续流量命中恶意文件或恶意 URL 列表时，直接进行阻断等处理，保护内网用户免受APT 攻击。 4.1------4.6 与 3.1-----3.6 一致 4.7 配置沙箱检测的相关参数。

4.8 在安全策略中引用APT防御配置文件 

4.9 结果验证1. 在“对象 > 安全配置文件 > APT防御 > 沙箱联动配置 > 云沙箱”查看连接状态为连接成功 2. 用云账户huawei登录isecurity.huawei.com，查看该FW往云沙箱提交过的文件的检测结果。 

密码学 

密码学之于信息传输 --- 在不安全的环境下建立安全输出通道 密码 --- 明文 --> 算法 + 密钥 ---> 密文

 

 

举例： 明文 ok 凯撒密码 算法：对字母进行平移可以左也可以右，移动若干位 密钥：向右平移 3 个字母

 密文 rn

密码的分类 

加解密用的是同一个密钥，数学角度是一个双向函数 对称加密首先要保证算法足够复杂以及密钥传输足够安全。

加密信息传递有俩个通道 

密文传递通道 密钥传递通道 在互联网时代我们希望能够在网上公开途径传输密钥 非对称加密算法

 

diff 和 hellmen DH 算法开创了非对称加密算法 加解密使用的密钥是不相同的，公钥和私钥，也叫公钥加密技术 单向函数模运算 mod m^e mod p = n

 

DH 算法解决了在公开场合密钥安全传递问题   对称加密算法解决信息的安全传输通道 非对称加密算法解决对称加密算法密钥的安全传输通道 对称加密速度快但是密钥不安全 非对称加密算法速度慢但是安全 最佳解决：用非对称加密算法加密对称加密算法的密钥 非对称加密的产生过程及原理 1. 对称加密的困境 密钥的安全传输 --- 对称加密算法的缺陷 密钥传输风险 Alice 与 bob 必须使用一个安全的信道来传输对称密钥，但是消息传输的通道是不安全的。 对称加密 A 的密钥需要用对称加密 B 来传输 ---B 的密钥不安全会导致 A 的不安全。 密钥管理难 如果没有非对称加密，百度这个企业需要和用户做安全传输，就需要保存至少 3-5 亿个密钥。 根据我们上图的非对称算法只需要一把公钥，而对称需要亿级别的钥匙。

 

常见算法 对称

非对称 

 

机密性最佳解决：用非对称加密算法加密对称加密算法的密钥完整性与身份认证最佳解决：对明文a 进行 hash 运算得到定长值 h ，然后对 h 进行非对称运算用私钥加密得到值k ，然后对明文 a 进行对称运算得到 y ，传输时同时传输 y 和 k ，收到后用非对称公钥解开 k 得到 h‘ ，然后用对称算法解开y 得到 a ，然后对 a 进行 hash 得到 h‘‘ 如果 h‘ 与 h‘’ 相同，则证明完整性与身份认证。   密码学的应用 身份认证技术的应用 身份认证：通过标识和鉴别用户身份，防止攻击者假冒合法用户来获取访问权限。 身份认证技术：在网络总确认操作者身份的过程而产生的有效解决方法。 如何确认信息的发送者一定是他本人？ 发送者是 alice ，使用非对称算法，生成私钥 A ，公钥 B 1. alice 把公钥给 bob 2. alice 发送信息 hello ， world ！ 3. alice 把发送的信息用对称加密算法加密到加密信息 C 。 4. alice 把发送的 hello ， world ！先用 hash 算法计算得到 hash 值 D 。 5. alice 把 hash 值 D 用非对称加密计算得到 E 。 E 值就是用于身份验证的。 6. alice 把 C ， E 一起发给 bob 。 7. bob 收到 C,E 值，先用非对称的公钥对 E 进行解密，如果能正常解开则证明 C 值是 alice 的。 上述 1 中如果黑客偷换了 alice 的公钥，那么就会出现身份认证漏洞。 解决： alice 把公钥给 bob 的环节能确保是安全的，一定是 alice 给的。 想办法证明 alice 的公钥一定是 alice 的。

 

 

 黑客针对上述的攻击：

 

 

解决方案： 公钥的 “ 身份证 ”----- 数字证书

 

 CA的可信度？

 

PKI （公开密钥体系， Public Key Infrastructure ）是一种遵循标准的利用非对称加密技术为电子商务的开展提供一套安全基础平台的技术和规范。 简单说就是利用公钥技术建立的提供安全服务的基础设施。通过第三方的可信机构， CA 认证中心把用户的公钥与用户的其他标识信息捆绑在一起放在用户证书中，在互联网上验证用户身份。   PKI 体系 PKI 是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书，核心执行者是CA认证机构。

 

CA 中心 CA 中心，即证书授权中心 (Certificate Authority ) ，或称证书授权机构，作为电子商务交易中受信任的第三方。

 密码学完整应用

 

SSL 协议分析 无客户端认证的握手过程

 

 

 

 

 有客户端认证的握手过程

 会话恢复过程

 SSL协议的细节

协议位置

 体系结构

SSL的俩个概念 

SSL 连接（ connection) 一个连接是一个提供一种合适类型服务的传输（ OSI 分层的定义）。 SSL 的连接是点对点的关系。连接是暂时的，每一个连接和一个会话关联。 SSL 会话（ session ）一个 SSL 会话是在客户与服务器之间的一个关联。会话由 Handshake Protocol 创 建。会话定义了一组可供多个连接共享的密码安全参数。会话用以避免为每一个连接提供新的安全参数所需昂贵的协商代价

 

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场，不承担相关法律责任。如若转载，请注明出处。 如若内容造成侵权/违法违规/事实不符，请点击【内容举报】进行投诉反馈！