安全防御 --- APT、密码学

news2024/11/17 3:52:56

APT

深度包检测技术:将应用层内容展开进行分析,根据不同的设定从而做出不同的安全产品。

深度流检测技术:与APS画像类似。会记录正常流量行为,也会将某些应用的行为画像描述出来。也可将加密流量进行判断,并执行相应措施。

1、什么是APT攻击?

指一种高度专业化的网络攻击形式,攻击者利用专业知识和技术手段,通过长时间的持续攻击,窃取机密信息、破坏网络安全或进行其他有害活动。APT攻击通常是有组织、有针对性的,攻击者会经过精心策划和长时间准备,采用多种攻击手段和技术,以达到其攻击目的。

2、特点

(1)高度专业化:

攻击者拥有先进的技术和专业知识,能够深入挖掘漏洞、规避防御措施,并利用各种手段进行攻击。

(2)长时间持续性攻击:

APT攻击是一种长期持续的攻击,攻击者会在较长时间内悄悄地进行攻击,以避免被发现和防御。

(3)针对性强:

APT攻击通常是有目的和针对性的,攻击者会针对特定目标进行攻击,并采取专门的攻击手段和技术。

(4)多重手段攻击:

APT攻击会采用多种攻击手段,如漏洞利用、社会工程学攻击、恶意软件等,以达到其攻击目的。

3、目的

APT是黑客以窃取核心资料为目的,针对客户发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为长期的经营与策划,并具备高度隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性的窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。

4、APT攻击的生命周期

(1)阶段一:侦察

攻击者收集目标信息,包括网络拓扑结构、系统和应用程序漏洞、系统和应用程序的弱点等。这个阶段的攻击方式包括电子邮件钓鱼、社交网络工程和网络扫描等。

(2)阶段二:投递

攻击者使用恶意软件传递技术将恶意软件传递到目标计算机上,这可能包括使用USB驱动器、恶意文档、电子邮件附件等方法。

(3)阶段三:植入

在投递恶意软件之后,攻击者将恶意软件植入目标计算机或网络中。这个阶段通常涉及使用漏洞、社交工程或钓鱼攻击等方式利用系统或应用程序的弱点。

(4)阶段四:控制

在恶意软件植入目标计算机或网络之后,攻击者可以通过远程访问控制(RAT)、远程访问工具(RAT)和其他方法来控制计算机或网络。

(5)阶段五:操作

在攻击者获得对目标系统的控制权之后,他们可以执行任意操作,包括窃取敏感信息、进行侦察、运行其他恶意软件、攻击其他目标等。

(6)阶段六:持久性

在攻击者获得对目标系统的控制权之后,他们可能会尝试保持对目标系统的控制权,以确保继续访问敏感信息并继续攻击其他目标。

(7)阶段七:擦痕

最后,在攻击者完成他们的任务后,他们可能会试图清除与攻击相关的任何痕迹,以防止被发现。这个阶段包括删除日志文件、清除恶意软件和关闭后门等。

5、APT与反病毒的差异

(1)反病毒:

通常是将病毒文件的特征与病毒特征库进行对比来识别一个文件是否为病毒文件。这种防御方式具有一定的局限性,只能针对已知病毒进行防御,无法识别未知攻击。

(2)区别:APT防御机制与反病毒不同

APT防御和反病毒都是保护计算机系统安全的关键方法,但两者的差异在于其处理安全威胁的方式和重点。反病毒主要通过检测病毒、恶意软件等已知威胁的特征码,来保护计算机系统的安全,而APT防御则主要针对未知威胁,通过分析威胁行为,制定相应的防御策略。

(3)特点:

  • 反病毒主要关注于已知威胁的防御,它会不断地升级病毒库,检测计算机系统中的病毒、恶意软件等特定的已知威胁。一旦发现特定的病毒或恶意软件,反病毒软件会立即进行拦截或者隔离。
  • APT防御则主要关注未知威胁的防御,通过使用沙箱技术、流量分析等多种手段,来检测网络中的异常行为。一旦发现异常行为,APT防御系统会通过实时监测、流量分析等技术,分析威胁行为的特征,并及时进行相应的防御措施。同时,APT防御也会关注网络中的恶意程序、漏洞利用等攻击手段,并对其进行相应的防御。

(4)总结:

反病毒系统时以被检测对象的特征来识别攻击对象,而APT防御系统是以被检测对象的行为来识别攻击对象。

6、防御APT

(1)最有效方法:沙箱技术

<1> 概念沙箱技术是指在计算机系统中创建一个隔离的、受控的运行环境,用来执行未知、不受信任的程序或代码,以便分析它们的行为、检测恶意行为和漏洞,从而保护系统和数据的安全。

<2> 分析方法

  • 静态分析中,分析人员将文件上传到沙箱中,并对其进行扫描、解析和分析,以查找其中是否包含恶意代码
  • 动态分析中,恶意文件或代码被在沙箱环境中运行,沙箱记录程序的行为并生成报告,以便进行进一步的分析和调查。

(2)防御过程:

  1. 黑客(攻击者)向企业内网发起APT攻击,FW从网络流量中识别并提取需要进行APT检测的文件类型。
  2. FW将攻击流量还原成文件送入沙箱进行威胁分析。
  3. 沙箱通过对文件进行威胁检测,然后将检测结果返回给FW
  4. FW获取检测结果后,实施相应的动作。如果沙箱分析除该文件是一种恶意攻击文件,FW侧则可以实施阻断操作,防止该文件进入企业内网,保护企业免遭攻击。

7、沙箱处理流程

(1)流量过滤:

先通过一些基本的过滤规则,如黑名单、白名单等,将可能的恶意流量过滤掉,以减轻后续处理的负担,提高处理效率。

(2)会话重组:

对于 TCP 和 UDP 等可靠和不可靠传输协议,会话重组是将同一会话的多个数据包进行重新组装,以便后续处理能够对完整的会话进行分析。

(3)协议解析:

对网络流量进行协议分析,根据流量的协议类型,将其交给相应的协议分析模块进行分析,如 HTTP 流量分析、SMTP 流量分析等。

(4)行为分析:

通过对协议数据包的解析和会话重组,对网络流量进行深入的分析和行为检测,以便发现可能的恶意行为。行为分析可以包括以下方面:

  • 恶意代码的动态行为分析
  • 网络连接行为分析
  • 文件行为分析
  • 协议异常行为分析
  • 用户行为分析

(5)恶意代码分析:

对发现的可能的恶意代码进行解码和反混淆,以便更好地理解其行为和实现方式,以及为后续处理提供参考。

(6)风险评估:

根据行为分析和恶意代码分析的结果,对流量进行风险评估,以便做出最终的处理决策。

(7)处理结果:

根据风险评估的结果,对恶意流量进行相应的处理,如封锁、隔离、删除等。同时,将处理结果记录到日志中,以便后续查询和分析。

8、配置APT防御

(1)升级文件信誉库

<1> 根据沙箱类型确认license状态

  • 云沙箱:依赖云沙箱检测License,请确认购买并成功激活支持文件信誉特征库升级服务的云沙箱检测license。
  • 本地沙箱:不依赖license

<2> 升级文件信誉特征库

  • 在线升级
  • 本地升级

<3> 升级文件信誉热点库

  • 文件信誉热点库:包含了华为安全中心最新发布的文件信誉信息,通过更新此热点库,防火墙可以有效识别并及时阻断网络中新出现的威胁文件。

(2)配置web信誉


添加可信/可疑网站

(3)本地沙箱联动

企业内网用户通过FW和路由器连接到Internet,企业内网中部署了本地沙箱,且本地沙箱与FW路由达。配置FW与本地沙箱联动,将FW识别出来存在风险的流量送往本地沙箱进行检测,FW定期去本地沙箱上获取检测结果,并根据检测结果更新设备缓存中的恶意文件和恶意URL列表,当具有相同特征的后续流量命中恶意文件或恶意URL列表时,直接进行阻断等处理,保护内网用户免受APT攻击。

  • 选择对象 > 安全配置文件 > APT防御 > 沙箱联动配置

  • 配置本地沙箱

  • 配置APT防御文件

  • 配置APT防御文件名称及描述

  • 配置沙箱检测相关参数

  • 安全策略中引入APT防御配置文件

  • 结果验证

【1】选择“对象 > 安全配置文件 > APT防御 > 沙箱联动配置 > 本地沙箱”,查看本地沙箱的连接状态为“连接成功”。

【2】点击“连接状态”后面的“登录本地沙箱”,登录本地沙箱后查看已经提交到本地沙箱的文件及检测结果。

(4)云沙箱联动

前6步与本地沙箱联动一致

  • 配置沙箱检测相关参数

  • 在安全策略中引入APT防御配置文件

  • 结果验证

【1】在“对象 > 安全配置文件 > APT防御 > 沙箱联动配置 > 云沙箱”查看连接状态为连接成功

【2】用云账户huawei登录isecurity.huawei.com,查看该FW往云沙箱提交过的文件的检测结果。

二、密码学

1、概述:

密码学之于信息传输 --- 在不安全的环境下建立信息传输通道

密码---明文-->算法+密钥--->密文

举例:
明文 ok
凯撒密码
算法:对字母进行平移可以左也可以右,移动若干位
密钥:向右平移3个字母
密文 rn

2、密码的分类

(1)对称加密

<1> 加解密用同一个密钥,数学角度是一个双向函数;对称加密要保证算法足够复杂以及密钥传输足够安全

<2> 加密信息传递有两个通道:

  • 密文传输通道
  • 密钥传输通道

对称加密算法解决信息的安全传输通道

(2)非对称加密算法 --- (互联网时代我们希望能够在网上公开途径传递密钥)

diff和hellmen开创了非对称加密算法 --- DH算法

非对称加密算法解决对称加密算法密钥的安全传输通道

(3)DH算法解决了公开场合的密钥传递问题

<1> 对称和非对称的优缺点:

  • 对称加密:速度快,密钥不安全
  • 非对称加密:速度慢,密钥安全

<2> 最佳解决:用非对称加密算法去传递对称加密算法的密钥,保证传递过程中对称密钥不会泄露。  

3、非对称加密产生的过程及原因

(1)对称加密的困境

密钥安全传输 ---- 对称加密算法的缺陷

  • 密钥传输风险

密钥传输时需要使用安全信道传输对称密钥,但是消息传输的通道是不安全的。

  • 密钥管理难

如果没有非对称加密,百度企业和用户做安全传输时,至少需要保存3-5亿个密钥。

非对称算法只需要一把公钥,对称需要亿以上的密钥。

(2)常见算法

  • 对称

  • 非对称

(3)机密性最佳解决方案:用非对称加密算法加密对称加密算法的密钥

(4)完整性与身份认证的最佳解决方案:

  • 核心原理:私钥加密,公钥解密
  • 过程:

对明文a进行hash运算得到定长值h,然后对h进行非对称运算用私钥加密得到值k,然后对明文值a进行对称运算得到y,传输时同时传输给y和k,收到后用非对称公钥解开k得到h`,然后用堆成算法解开y得到a,然后对a进行hash得到h``,如果h`与h``相同, 则证明完整性与身份认证。

4、密码学的应用

(1)身份认证技术的应用

  • 身份认证:通过标识和鉴别用户身份,防止攻击者假冒合法用户来获取访问权限
  • 身份认证技术:在网络总确认操作者身份的过程产生有效的解法。

(2)如何确认信息发送者是本人?

  • 传输方传送公钥的环节确保是安全的
  • 证明传输方的公钥一定是传输方的

5、漏洞

(1)漏洞查出:



  • 黑客攻击:替换Alice的公钥


(2)解决方案:可信机构提供数字证书

公钥的《身份证》 ---- 数字证书


(3)CA可信度 --- PKI体系

<1> PKI体系

  • 概念:是一种遵循标准的利用非对称加密技术为电子商务的开展提供一套安全基础平台的技术和规范。

简单来说就是利用公钥技术建立的提供安全服务的基础设施。通过第三方的可信机构,CA认证中心把用户的公钥与用户的其他标识信息捆绑在一起放在用户证书中,在互联网上验证用户身份。

  • 作用:PKI是创建、办法、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书,核心执行代码是CA认证机构。

<2> CA中心

  • 概念:即证书授权中心(Certificate Authority),或称证书授权机构,作为电子商务交易中受信任的第三方。

6、认证 --- 数字证书

(1)包含:

  • 用户身份信息
  • 用户公钥信息
  • 身份验证机构的信息及签名数据

(2)分类:

  • 签名证书 --- 身份验证,不可抵赖性
  • 加密证书 --- 加密,完整性与机密性

7、密码学完整应用

附:8、SSL协议分析

SSL协议是由美国网景通信(Netscape)公司自1990年开发,用于保证WWW通信安全。

(1)无客户端认证的握手过程

<1> 可能遭受到的攻击重放攻击

重放攻击(Replay Attacks)又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。

<2> PreMasterKey密钥参数:合成对称密钥的前置数值

<3> 初始化向量

(2)有客户端认证的握手过程

(3)会话恢复过程(之前已经建立过会话,再次进行数据传输)

(4)SSL协议的细节

<1> 协议位置

<2> 体系结构

<3> SSL两个概念

  • 连接:一个连接是一个提供一种合适类型服务的传输(OSI分层的定义)。SSL是点对点的关系。连接是暂时的,每一个连接和一个会话关联。
  • 会话:一个SSL会话是在客户与服务器之间的一个关联。会话由handshake protocol创建。会话定义了一组可供多个连接共享的密码安全参数。会话用以避免为每个连接提供新的安全参数所需的昂贵的协商代价。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/452172.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

揭秘移动云大会展区前沿科技

2023年4月25日-26日 我们苏州金鸡湖国际会议中心见&#xff01; 1场重磅主论坛、10场分论坛、2600㎡展区 数字中国新未来 尽在2023移动云大会 2023移动云大会设有中国移动和合作伙伴两大展区&#xff0c;联合40余家优质合作伙伴&#xff0c;全方位展示移动云在自主能力、行…

实验05:算法设计策略的比较与选择

1.实验目的&#xff1a; 比较同一问题&#xff0c;采用不同策略设计不同算法&#xff0c;分析和比较算法的性能。 2.实验内容&#xff1a; 自学第10章的10.1.1至10.1.3, 总结分析编程实现简单算法、分治法和动态规划算法的理论复杂度&#xff0c;编程实现这些算法。 3.实验…

C语言复习之顺序表(十五)

&#x1f4d6;作者介绍&#xff1a;22级树莓人&#xff08;计算机专业&#xff09;&#xff0c;热爱编程&#xff1c;目前在c阶段>——目标C、Windows&#xff0c;MySQL&#xff0c;Qt&#xff0c;数据结构与算法&#xff0c;Linux&#xff0c;多线程&#xff0c;会持续分享…

docker容器内的应用利用k8s configmap做配置中心

ConfigMap 能带来什么好处&#xff1f; 传统的应用服务都有自己的配置文件&#xff0c;各自配置文件存储在服务所在节点。如果配置出现变更&#xff0c;就需要对应节点的配置文件。Kubernetes 利用了 Volume 功能&#xff0c;完整设计了一套配置中心&#xff0c;其核心对象就是…

基于Java+Spring+vue+element实现旅游信息管理平台系统

基于JavaSpringvueelement实现旅游信息管理平台系统 博主介绍&#xff1a;5年java开发经验&#xff0c;专注Java开发、定制、远程、指导等,csdn特邀作者、专注于Java技术领域 作者主页 超级帅帅吴 Java项目精品实战案例《500套》 欢迎点赞 收藏 ⭐留言 文末获取源码联系方式 文…

基于模型预测(MPC)的四轮转向车辆轨迹规划(Matlab代码实现)

目录 &#x1f4a5;1 概述 &#x1f4da;2 运行结果 &#x1f389;3 参考文献 &#x1f468;‍&#x1f4bb;4 Matlab代码 &#x1f4a5;1 概述 在轨迹跟踪应用领域&#xff0c;通常 MPC 建模可根据机器人的控制方式选择基于运动学运动状态方程建模或者基于动力学运动状态…

深入探讨车载CAN协议的工作原理和应用场景

CAN概述 CAN&#xff08;Controller Area Network&#xff09;总线协议是一种数据通信协议&#xff0c;最初是由Bosch公司开发&#xff0c;用于汽车领域中的内部通讯。 CAN总线协议是一种串行通信协议&#xff0c;支持多主机和多从机之间的通讯&#xff0c;可以在不同的控制单…

典型的高可用设计(一):MinIO

为了更好的了解高可用设计&#xff0c;将各类常用服务关于高可用的设计原理汇总到一起&#xff0c;通过横向对比的方式去发现这些典型设计的共同之处和差异点。 一、部署方式 MinIO 有单机单硬盘、单机多硬盘、多机多硬盘三种部署模式。单机单硬盘存在单点风险&#xff0c;数据…

ElasticSearch 部署及安装ik分词器

ansiable playbook链接&#xff1a; https://download.csdn.net/download/weixin_43798031/87719490 需要注意的点&#xff1a;公司es集群现以三个角色部署分别为 Gateway、Master、Data 简单的理解可以理解为在每台机器上部署了三个es&#xff0c;以端口和配置文件来区分这三…

itop-3568 开发板系统编程学习笔记(18)LED 应用编程

【北京迅为】嵌入式学习之Linux系统编程篇 https://www.bilibili.com/video/BV1zV411e7Cy/ 个人学习笔记 文章目录 应用层操作 LED 的两种方式sysfs 方式控制 LED控制方法原理简介 编写 LED 应用程序 应用层操作 LED 的两种方式 应用层操作底层硬件有两种方法&#xff0c;分别…

数据治理与数据中台架构

随着工业 4.0 时代的到来&#xff0c;传统行业的数字化转型是大势所趋&#xff1b;将数据提高到数据要素层面&#xff0c;让传统的技术在新的场景下发挥出新的作用&#xff0c;是近期研究和探讨的焦点话题。数语科技支持和服务传统行业多年&#xff0c;聚焦于传统数据建模和数据…

PostgreSQL中的复制延迟

PostgreSQL是一个流行的开源关系数据库管理系统&#xff0c;PostgreSQL中可能遇到的一个常见问题是复制延迟。 在这篇博客中&#xff0c;我们将讨论什么是复制延迟&#xff0c;它为什么会发生&#xff0c;以及如何在PostgreSQL中减轻它。 什么是复制延迟&#xff1f; 复制延迟…

Flink系列-9、Flink DataStream的输入数据集Data Source

版权声明&#xff1a;本文为博主原创文章&#xff0c;遵循 CC 4.0 BY-SA 版权协议&#xff0c;转载请附上原文出处链接和本声明。 大数据系列文章目录 官方网址&#xff1a;https://flink.apache.org/ 学习资料&#xff1a;https://flink-learning.org.cn/ 目录 addSource方…

【A component required a bean of type ‘xxx‘ that could not be found.】

在学谷粒商城项目的时候出现了以下问题&#xff1a; *************************** APPLICATION FAILED TO START *************************** Description: A component required a bean of type org.redisson.Redisson that could not be found. Action: Consider defining a…

React-Router详解

React-Router详解 简介React-Router React-Router是一款用于构建单页面应用&#xff08;SPA&#xff09;中处理路由的JavaScript库。在现代的Web应用中&#xff0c;SPA已经成为了一种常见的应用架构模式&#xff0c;它允许在不刷新整个页面的情况下进行交互式的用户体验。而Re…

GPT能给审计带来什么

ChatGPT的出现&#xff0c;让人工智能再次站在了聚光灯下&#xff0c;引发持续性的热议和关注。GPT模型作为重要的支撑&#xff0c;国内外近段时间密集性地发布了众多的大语言模型&#xff0c;OpenAI推出GPT-4、谷歌推出LaMDA和PaLM等大模型、Meta推出开源大模型LLaMA&#xff…

2023-04-23 学习记录--C/C++-邂逅C/C++(中)

合抱之木&#xff0c;生于毫末&#xff1b;九层之台&#xff0c;起于累土&#xff1b;千里之行&#xff0c;始于足下。&#x1f4aa;&#x1f3fb; 上一篇&#xff1a;邂逅C/C&#xff08;上&#xff09; 一、if语句 ⭐️ &#xff08;一&#xff09;、格式 &#x1f36d; if…

6.1 欧拉方法与改进欧拉方法

6.1.1 欧拉方法 欧拉方法是一种数值解常微分方程&#xff08;ODE&#xff09;的方法&#xff0c;可以用于近似求解给定的初值问题。它是以欧拉命名的瑞士数学家莱昂哈德欧拉所发明的&#xff0c;因此得名。 欧拉方法的基本思路是将连续的常微分方程转化为离散的形式。具体而言…

全功能药效团图谱(Full-feature pharmacophore map)是什么?怎么绘制?

药效团和全功能药效团图谱是什么&#xff1f; 药效团是指与靶点相互作用并导致生物活性的化学基团或者分子结构片段。【药效团通常包括氢键受体/供体、疏水部位、离子化部位等关键成分】 "全功能药效团图谱" &#xff08;Full-feature pharmacophore map&#xff0…

.net6 core web项目发布部署到Linux,以守护进程服务的形式部署启动,nginx实现转发

一、发布项目 1、以文件夹形式 2、目标运行时选对应的平台&#xff08;Linux-x64&#xff09; 3、文件夹选项&#xff1a;在发布前删除所有现有文件 二、部署项目&#xff08;安装.net6环境&#xff1a;参考Linux安装 dotnet sdk 6.0&#xff09; &#xff08;1&#xff09;…