一、 什么是IDS?
IDS是英文"Intrusion Detection Systems"的缩写,中文意思是"入侵检测系统"。专业上讲就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
二、IDS和防火墙有什么不同?
防火墙只是防御为主,通过防火墙的数据便不再进行任何操作,IDS则进行实时的检测,发现入侵行为即可做出反应,是对防火墙弱点的修补;防火墙可以允许内部的一些主机被外部访问,IDS则没有这些功能,只是监视和分析用户和系统活动。
三、IDS工作原理?
有三种 IDS 检测方法通常用于检测事件:
(1)基于签名的检测会将签名与观察到的事件进行比较,以识别可能的事故。这是最简单的检测方法,因为它只使用字符串比较运算来比较当前的活动单元(例如将一个数据包或一个日志条目与一个签名列表进行比较)。
(2)基于异常的检测会将视为异常活动的行为定义与观察到的事件进行比较,以识别重大违规。在测定以前未知的威胁方面,此方法可能非常有效。
(3)有状态的协议分析将预先确定的每个协议状态的良性协议活动通常接受的定义资料与观察到的事件进行比较,以识别违规。
四、IDS的主要检测方法有哪些详细说明?
异常检测模型(Anomaly Detection):
当某个事件与一个已知的攻击特征(信号)相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓,当一个事情在轮廓以外,就认为是异常,IDS就会告警。
特征:IDS核心是特征库(签名),符合特征库的就被干掉。
误用检测模型(Misuse Detection):
收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵,误用检测模型也称为特征检测。
五、 IDS的部署方式有哪些?
共享模式和交换模式:从 HUB 上的任意一个接口,或者在交换机上做端口镜像的端口上收集信息。
隐蔽模式:在其他模式的基础上将探测器的探测口 IP 地址去除,使得 IDS 在对外界不可见的情况下正常工作。
Tap 模式:以双向监听全双工以太网连接中的网络通信信息,能捕捉到网络中的所有流量,能记录完整的状态信息使得与防火墙联动或发送 Reset 包更加容易。
In-line 模式:直接将 IDS 串接在通信线路中,位于交换机和路由器之间。这种模式可以将威胁通信包丢弃,以实时阻断网络攻击。
混合模式:通过监听所有连接到防火墙的网段,全面了解网络状况。
六、IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
IDS的签名:入侵防御签名用来描述网络中存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。如果某个数据流匹配了某个签名中的特征项时,设备会按照签名的动作来处理数据流。入侵防御签名分为预定义和自定义签名。
签名过滤器作用:
由于设备升级签名库后会存在大量签名,而这些签名没有进行分类,且有些签名所包含的特征本网络中不存在,需要设置签名过滤器对其进行管理,并过滤掉。
签名过滤器的动作分为:
阻断:丢弃命中签名的报文,并记录日志。
告警:对命中签名的报文放行,但记录日志。
采用签名的缺省动作,实际动作以签名的缺省动作为准。
例外签名配置作用: 就是为了就是用于更细致化的进行IPS流量的放行。
阻断:丢弃命中签名的报文,并记录日志。
告警:对命中签名的报文放行,但记录日志。
放行:对命中的报文方向=行,且不记录日志。
七、什么是恶意软件?
恶意软件是指损坏或破坏端点设备的正常使用的恶意应用程序或代码。当设备被恶意软件感染时,你可能会经历未经授权的访问、数据泄露或设备被锁定,直至你支付赎金为止。
八、恶意软件有哪些特征?
恶意软件8大特征: 1、强制安装:指未明确提示用户或未经用户许可,在用户计算机或其他终端上安装软件的行为。 2、难以卸载:指未提供通用的卸载方式,或在不受其他软件影响、人为破坏的情况下,卸载后仍然有活动程序的行为。 3、浏览器劫持:指未经用户许可,修改用户浏览器或其他相关设置,迫使用户访问特定网站或导致用户无法正常上网的行为。 4、广告弹出:指未明确提示用户或未经用户许可,利用安装在用户计算机或其他终端上的软件弹出广告的行为。 5、恶意收集用户信息:指未明确提示用户或未经用户许可,恶意收集用户信息的行为。 6、恶意卸载:指未明确提示用户、未经用户许可,或误导、欺骗用户卸载其他软件的行为。 7、恶意捆绑:指在软件中捆绑已被认定为恶意软件的行为。 8、其他侵害用户软件安装、使用和卸载知情权、选择权的恶意行为。
九、恶意软件的可分为那几类?
钓鱼
钓鱼攻击装作是可靠来源,通过电子邮件、网站、短信或其他形式的电子通信来窃取敏感信息。这些攻击为恶意软件提供了一种传递机制。常见的攻击会窃取用户名、密码、信用卡详细信息和银行信息。这些类型的恶意软件攻击可能会导致身份盗窃或直接从某人的个人银行帐户或信用卡中盗取资金。
例如,网络罪犯可能假扮成一家知名银行,发送电子邮件来提醒某人其帐户因可疑活动而被冻结,敦促他们单击电子邮件中的链接来解决问题。一旦他们点击了链接,就会安装恶意软件。
供应链攻击
此类恶意软件通过访问源代码、构建流程或更新合法应用中的机制来攻击软件开发人员和提供商。一旦网络罪犯发现了不安全的网络协议、未受保护的服务器基础结构或不安全的编码实践,他们就会闯入、更改源代码并在构建和更新过程中隐藏恶意软件。
间谍软件
间谍软件的工作原理是在未经他人同意或提供充分通知的情况下自行安装在设备上。安装后,它可以监视在线行为、收集敏感信息、更改设备设置并降低设备性能。
广告程序
与间谍软件一样,广告程序会在未经他人同意的情况下自行安装到设备上。但对于广告程序来说,重点是展示激进的广告,通常是弹出式的,通过点击量赚钱。这些广告经常会降低设备的性能。更危险的广告程序类型还可以安装其他软件、更改浏览器设置,并使设备容易受到其他恶意软件的攻击。
病毒
病毒旨在通过记录、破坏或删除设备的数据来干扰其正常运行。它们常常通过诱骗人们打开恶意文件将自己传播到其他设备。
攻击和攻击工具包
攻击利用软件中的漏洞来绕过计算机的安全保护措施,从而感染设备。恶意黑客会扫描包含关键漏洞的过时系统,然后通过部署恶意软件来攻击它们。通过在攻击中包含 shellcode,网络罪犯可以下载更多恶意软件,这些恶意软件会感染设备和侵入组织。
攻击工具包包含一系列攻击,可扫描不同类型的软件漏洞。如果检测到任何漏洞,这些工具包就会部署其他恶意软件。可能会被感染的软件包括 Adobe Flash Player、Adobe Reader、Web 浏览器、Oracle Java 和 Sun Java。Angler/Axpergle、Neutrino 和 Nuclear 是几种常见的攻击工具包。
攻击和攻击工具包通常依赖于恶意网站或电子邮件附件来破坏网络或设备,但有时它们也会隐藏在合法网站的广告中,甚至网站都不知道。
无文件恶意软件
此类网络攻击描述了大量不依赖文件(如受感染的电子邮件附件)来破坏网络的恶意软件。例如,它们可能通过利用漏洞的恶意网络数据包到达,然后安装仅存在于内核内存中的恶意软件。无文件威胁尤其难以发现和删除,因为大多数防病毒程序都不是构建来扫描固件的。
特洛伊木马
特洛伊木马依赖于用户在不知不觉中下载它们,因为它们看起来是合法的文件或应用。一旦下载,它们就可以:
• 下载并安装其他恶意软件,例如病毒或蠕虫。
• 使用受感染的设备进行点击欺诈。
• 记录按键和你访问的网站。
• 将有关受感染设备的信息(例如密码、登录详细信息和浏览历史记录)发送给恶意黑客。
• 让网络罪犯控制受感染的设备。
蠕虫
蠕虫主要存在于电子邮件附件、短信、文件共享程序、社交网站、网络共享和可移动驱动器中,通过利用安全漏洞和复制自身在网络中传播。蠕虫可能会窃取敏感信息、更改安全设置或阻止访问文件,具体取决于其类型。
十、恶意软件的免杀技术有哪些?
免杀大概可以分为两种情况:
二进制的免杀(无源码),只能通过通过修改asm代码/二进制数据/其他数据来完成免杀。
有源码的免杀,可以通过修改源代码来完成免杀,也可以结合二进制免杀的技术。
免杀也可以分为这两种情况:
静态文件免杀,被杀毒软件病毒库/云查杀了,也就是文件特征码在病毒库了。免杀方式可能是上面的两种方式,看情况。
动态行为免杀,运行中执行的某些行为被杀毒软件拦截报读。行为免杀如果没有源码就不是很好搞了。
十一、反病毒技术有哪些?
特征码技术:基于对已知病毒分析、查解的反病毒技术
虚拟机技术:启发式探测未知病毒的反病毒技术
十二、反病毒网关的工作原理是什么?
防病毒网关是一种网络设备,用以保护网络内(一般是局域网)进出数据的安全。主要体现在病毒杀除、关键字过滤(如色情、反动)、 垃圾邮件阻止的功能,同时部分设备也具有一定防火墙(划分Vlan)的功能。
利用反病毒特性保证网络的安全的场合:
1.内网可以访问外网,且需要经常从外网下载文件
2.内网部署的服务器经常接受外网用户上传的文件
3.反病毒功能主要是检测文件
4.图片不是可执行文件---静态文件
5.可执行文件---动态文件
十三、反病毒网关的工作过程是什么?
1.网络流量进入智能感知引擎后,首先智能感知引擎对流量进行深层分析,识别出流量对应的协议类型和文件传输的方向。
2.判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。
3判断是否命中白名单。命中白名单后,FW将不对文件做病毒检测。
针对域名和URL,白名单规则有以下4种匹配方式:
前缀匹配
后缀匹配
关键字匹配
精确匹配
4.病毒检测:设备对传输文件进行特征提取,并将提取后的特征与病毒特征库中的特征进行匹配。如果匹配成功,则判定该文件为病毒文件,并送往反病毒处理模块进行处理;如果特征不匹配,则直接放行该文件
5.响应处理:设备检测出传输的文件为病毒文件后,通常有如下2种处理动作。
告警:允许病毒文件通过,同时记录病毒日志,供网络管理员分析并采取进一步措施。
阻断:禁止病毒文件通过,同时记录病毒日志,供网络管理员分析并采取进一步措施。\
十四、反病毒网关的配置流程是什么?
申请并激活license
加载特征库
配置AV Profile
配置安全策略
其他配置