内容安全(深度行为检测技术、IPS、AV、入侵检测方法)
1、深度行为检测技术
深度行为检测技术:是一种基于深度学习和机器学习的技术,它通过分析用户在网络中的行为模式,识别异常或潜在威胁行为,从而保护网络安全和内容安全
分类:
- 深度包检测技术(Deep Packet Inspection,DPI)
- 深度流检测技术(Deep Flow Inspection,DFI)
1.1 深度包检测技术
深度包检测技术:是一种基于网络层的安全技术,主要用于识别和控制网络流量。它可以检测每个数据包的内容,包括应用层协议、数据负载等,以确定数据包的来源、目的、类型等信息。
针对完整的数据包,进行内容的识别和检测
深度包检测技术可分为三类:
- 基于“特征字”的检测技术
- 基于应用网关的检测技术
- 基于行为模式的检测技术
1)基于“特征字”的检测技术
特征字:是指在特定的网络协议、应用程序或数据中具有独特标识意义的字符串或字节序列
基于特征字的包检测技术主要针对数据包中的特征字,例如Host字段、UA字段等等
可以通过User-Agent字段来识别PC端或手机端,从而进行控制等
2)基于应用网关的检测技术
基于应用网关的检测技术:有些应用控制和数据是分离的,比如一些视屏流。一开始会通过TCP协议链接之后,协商一些参数,这部分我们称为信令部分。只写正式传输数据流量通过UDP协议,而这部分流量是没有可以识别的特征的。因此,这些应用可以基于应用网关来进行检测,即基于前面的信令部分来进行识别和控制
3)基于行为模式的检测技术
基于行为模式的检测技术:是一种通过分析用户或系统的行为模式来识别异常或潜在威胁的方法。通过收集和分析用户或系统的行为数据,建立正常行为模式,并实时监测和比较当前行为与正常行为模式之间的差异,从而识别出异常或潜在威胁
例如,一个人每天都只发送两封邮件,那它的正常行为模式就是每天只发送二三封邮件,突然下周开始每天都发送五六封邮件,再下下周每天都发送二三十封邮件,那么此时可能会被识别为异常或威胁
工作原理:数据收集、模型建立、实时监控
1.2 深度流检测技术
深度流检测技术:基于数据流进行识别检测的技术,以流为基本研究对象,关注的是整个网络流数据的行为和特诊
DPI和DFI的对比:
- DFI仅对流量行为分析,只能对应用类型进行笼统的分类,无法做到精细的识别
- 如果流量进行加密的话,DPI在没有解密的情况下可能无法识别,但DFI不受影响
DPI和DF性能对比:
- 处理速度:DFI的处理速度相对快,因为它不需要对每个数据包进行深度分析。基于DFI的系统可以达到线速10Gbit/s,而基于DPI的带宽管理系统的处理能力仅达到1Gbit/s
- 维护成本:DFI的维护成本相对较低,因为同一类型的新应用与旧应用不会出现大的变化,因此不需要频繁升级流量行为模型。而基于DPI的带宽管理系统需要紧跟新协议和新型应用的产生而不断升级后台应用数据库
- 识别准确率:DPI能够提供精细的识别准确率,而DFI在应对复杂的网络攻击时表现出色
2、IDS入侵防御系统
IDS(Intrusion Detection System):入侵检测系统,是一种侧重于风险管理的网络安全设备,只能检测网络流量和系统活动,以识别潜在的安全威胁,不能直接处理。IDS通过收集和分析网络数据包、系统日志和其他相关信息,来检测可能的恶意行为、漏洞利用和攻击尝试。
优势:部署灵活,可以旁路部署,对原网络没有任何影响
劣势:具有一定的滞后性
早期的IDS误报率较高
3、IPS入侵防御系统
IPS(Intrusion Prevention System):入侵防御系统,一种侧重于风险控制的网络安全设备,用于检测和防止网络攻击。可以在检测风险的同时,处理问题,从而减少或消除潜在的损害
需要串联部署在网络中
优势:
- 实时阻断攻击
- 深层防护,可以深入到应用层,进行精准的威胁识别
- 全方位的防护
- 内外兼防
- 不断升级,精准防护
劣势:
- 误阻断:检测到攻击时会主动阻断,可能会误阻断一些合法的网络流量
- 配置复杂性:IPS的配置和管理相对于IDS较复杂
- 性能瓶颈:IPS在处理大量网络流量时,可能会成为性能瓶颈
4、入侵检测的方法
1)异常检测
异常检测:基于一个假定,我们认为用户的行为是遵循一致性原则的
2)误用检测
误用检测:创建一个异常行为特征库,将入侵行为的特征记录下来并记录成签名,之后根据到达的流量特征和签名进行对比,判断是否存在异常
签名:指用来描述网络入侵行为特征的一种方式,将异常行为的特征记录下来进行HSAH。通过比较报文特征和签名来检测入侵行为。
- 预定义签名:系统预先定义的大量签名,已经预先设置了匹配该签名的签名动作为阻断或告警。设备出厂时一家在了预定义签名库,一般这个特征库需要购买liense(许可证)后才可获取。(如果购买了liense后,可以对接华为的安全中心多特征库进行更新)
- 自定义签名:网络管理员可以根据自定义的需求来创建威胁签名
预定义签名,我们只能修改其默认的执行动作,以及启用与否,其他的都不能修改
可以执行的动作分为三类:
- 放行:数据允许通过,不会记录日志
- 告警:数据允许通过,但是会记录日志
- 阻断:数据不允许通过,并且会记录日志
5、防火墙中IPS使用
注意:所有的修改需要进行提交,不提交不生效,提交相当于重启了IPS模块,才能使新加的或者修改的东西生效
预定义签名库可以在此查看:
查看自己的License:
升级特征库:
在线升级:
- 定时升级:选择时间进行定时升级
- 立即升级:立即同步网上的特征库
本地升级:选择本地特征库文件进行升级,也可以先从网上下载特征库后,从本地文件进行本地升级
预定义签名信息:
ID:区分不同的签名
对象:针对设备的身份,为服务器/客户端。注意,一般将发起连接的设备角色认定为客户端,响应连接并提供服务的角色认定为服务器。
操作系统:该入侵行为针对的操作系统
严重性:该行为一旦爆发之后,对我们网络系统的影响程度的评级
协议/应用程序:这种攻击所承载的协议或者应用
自定义签名:
如果勾选了关联签名,则该签名的命中条件变为规定时间内命中关联签名的次数或者阻断时间
自定义签名的签名规则:
报文:逐包检测
消息:一次完整的请求和应答的过程被认定为一个消息
数据流:基于五元组来判断是否为一个数据流
按顺序检测:
- 勾选,则下面检查项列表中的检查项执行自上而下逐一匹配,如果匹配上,则不再继续匹配
- 不勾选,则下面检查项列表中的检查项为“且”的关系,需要都满足才算命中
选择协议中的字段
匹配:则会检测数据包中和后面值里面完全相同的数据
前缀匹配:匹配以后面值开头的内容
偏移是指从匹配到的值后面,偏移几位开始匹配内容
搜索字节数是指从匹配位置开始,搜索的长度
例如,当偏移为2,搜索字节为10时,根据上文代表从字段HTTP.HeadContent中从www的后两位匹配长度为10的内容
IPS入侵防御文件配置:
1)签名过滤器:
如果选择采用签名的缺省动作,一个流量同时匹配上多个签名,如果所有动作都是告警,则直接告警,如果有一个动作是阻断,则执行阻断操作。
如果配置多个签名过滤器,则将自上而下逐一匹配
2)例外签名
例外签名:可以将签名过滤器中的部分签名放在例外签名中,可以执行单独的动作
隔离源IP和目标IP:实质是阻断的同时,将地址放入黑名单中,进行访问限制,超时时间为黑名单中的老化时间
3)协议异常检测
针对协议的异常进行控制
调用入侵防御策略(安全策略中调用)
注意安全策略的顺序,防止匹配了前面的安全策略,导致自己的入侵防御配置无效
6、AV反病毒
AV反病毒:是一种用于保护计算机系统免受病毒、木马、蠕虫等恶意软件侵害的安全机制。侧重于文件以及邮件中病毒的查杀
代理扫描:需要缓存文件,倒是效率较低,并且文件过大可能无法缓存,导致直接放过造成安全风险,但是其检测力度较强可以应对压缩以及脱壳的情况
流扫描:基于文件片段进行扫描,效率较高,但检测率有限
病毒的分类:
病毒的杀链:
个别病毒的工作原理:
AV反病毒配置文件:
病毒例外:相当于是病毒的白名单,为了防止过渡防御的场景,将一些病毒放入例外之中,将检测到的该病毒视为误报,将文件直接放行
应用例外:将特定的应用设置为例外,可以单独执行动作
宣告和删除附件:只针对Pop3和SMTP协议
- 宣告:不删除附件,但是会在邮件正文中添加提示信息
- 删除附件:直接删除附件,并且会在邮件正文中添加提示信息
例:内网用户有通过外网web服务器下载文件的需求,并且,外网用户有通过内网FTP服务器上传文件的需求,针对这两种场景进行反病毒处理。
7、URL过滤
URL:统一资源定位符
URI:统一资源的标识符URL过滤的方式
URL包含URI,URL的作用是定位/访问到资源目录中的文件
静态网页
动态网页
URL过滤方式:
- 通过黑白名单进行过滤
- 预定义的URL分类:本地缓存查询和远程分类服务查询(使用该功能,则需要激活liense)
- 自定义的URL分类
注意:
1)自定义URL分类的优先级高于预定义的优先级
2)如果远程分类服务查询都无法确认该URL的分类,则该URL将按照“其他”类的动作进行执行
HTTP协议获取URL的方式:
在有防火墙的情况下,对HTTP协议做控制管理的流程:
假设当我们对一个网站(www.aaa.com)进行deny操作,通过URL过滤实现过程:
- 首先客户端会向DNS服务器去发送一个DNS请求,解析网站的域名
- DNS向客户端发送DNS应答报文
- 客户端得知网站的IP地址和端口号,向网站发送建立TCP三次握手(防火墙不会拦截)
- TCP连接建立完成后,发送HTTP协议请求,请求传输数据(GET方式)
- 防火墙会拦截该请求,并以网站的IP地址和端口号向客户端发送一个重定向301的响应以及RST位置1的报文,结束客户端的TCP连接
- 客户端收到重定向响应和RST报文后,将断开TCP连接,并向重定向的地址发送一个TCP三次握手建立TCP
- 客户端向重定向的地址发送HTTP请求
- 重定向网页发送HTTP响应并发送RST报文结束TCP
重定向的地址一般是防火墙,网页内容一般是“禁止访问,如有需要请向管理员请求帮助”
HTTPS:在HTTP的基础上通过传输加密和身份认证来保证传输过程的安全性
工作过程:
- 首先客户端会先和服务端建立TCP连接
- 客户端向服务端发送一个Client Hello包,包含加密算法列表、支持的SSL/TLS协议版本等
- 服务端返回Server Hello响应,并选择协议版本和加密算法等
- 通过双方协商参数后,建立一条加密通道,在通道中进行请求和响应
1,配置SSL的解密功能
2,直接针对加密流量进行过滤 在SSL进行加密参数协商时,会发送client hello包,这个数据包中有一个关键字, server_name,里面包含的就是服务器域名信息
因为这个字段中包含的是域名信息,而不是URL信息,所以,这种方法虽然可以节约资源,提高效率,但是,会导致过滤的颗粒度变粗,仅能完成域名级别的过滤因为这个字段中包含的是域名信息,而不是URL信息,所以,这种方法虽然可以节约资源,提高效率,但是,会导致过滤的颗粒度变粗,仅能完成域名级别的过滤
例:需求:需要对办公区用户,进行上网行为管理,需要进行URL过滤,他们在上班时间,仅允许访问教育/科学类,搜索/门户类的网站,以及一个www.example.com/working相关的URL,其余的网站均不能访问
这里勾选之后,代表通过client hello包中server_name字段进行域名级别过滤 如果不勾选,则针对http协议中get报文获取完整的URL信息进行过滤,主要如果要针对HTTPS 的流量,需要先配置SSL代理解密策略这里勾选之后,代表通过client hello包中server_name字段进行域名级别过滤 如果不勾选,则针对http协议中get报文获取完整的URL信息进行过滤,主要如果要针对HTTPS 的流量,需要先配置SSL代理解密策略
这里定义的就是所有分类包括远程服务查询都无法识别的URL分类的处理方案
这里如果开启之后,相当于开启了两个功能
1,URL信誉 --- 防火墙会根据网站信誉的高低,决定是否提取网络流量中的文件并进行
威胁检测
URL信誉热点库
远程查询服务器
2,恶意URL --- 会阻断恶意URL的访问,恶意URL来源于多方面,包括web信誉,反病毒的反馈
严格:如果选择严格模式,则如果一个URL匹配到多个分类,则按照这些分类中动作 最严格的来执行
松散:如果选择松散模式,则如果一个URL匹配到多个分类,则按照这些分类中动作 最松散的来执行
华为中
TCP 80 --- 和安全中心进行交互
TCP 12612 --- 和调度服务器交互
UDP12600 --- 和查询服务器交互
8、DNS过滤
文件过滤技术可以针对文件的类型和格式进行过滤
- 承载文件的协议
- 文件的传输方向
- 文件的类型
- 文件的扩展名
防火墙可以识别出文件的真实类型,进行管控,避免安全风险,但是,如果真实类型无法识别,则按照文件的拓展名处理。
华为、深信服、奇安信
文件过滤技术的处理流程
注意,文件过滤的位置在AV防病毒之前,这样就可以先将不要的文件直接过滤掉,不需要重复进行扫描,节约性能,提高效率。
内容过滤技术:
- 文件内容的过滤
- 应用内容的过滤
内容在进行过滤时,可以针对关键字进行精准匹配,也可以使用正则表达式,做更加灵活的匹配
可以执行的动作 --- 告警,阻断,按权重操作 -- 我们可以给每个关键字设置权重值,之后根据文件中权重的累加值和设定阈值做对比,如果达到阈值,则执行对应动作。
邮件过滤技术
SMTP --- 简单邮件传输协议 --- TCP 25 --- 我们需要将邮件从本地发送到邮件服务器中时使 用的协议
POP3 --- 邮局协议 --- TCP 110 --- 将邮件从服务器中下载到本地使用的协议,之后完成查看,删除等操作
IMAP --- 交互邮件访问协议 --- TCP 143 --- 这个协议也是用于查看邮件信息的,和POP3的区别在于不需要将所有邮件下载到本地,可以直接在邮件服务器上进行查看,删除等操作
垃圾邮件 --- 收件人事先没有提出要求或者同意接收的广告,电子刊物,各种形式的宣传性的 邮件,包括一些携带病毒和木马的钓鱼邮件
应用行为控制HTTP,FTP
