问题总结 IDS、恶意软件、反病毒网关、APT、对称加密、非对称加密、SSL网站首页 学无止境

例如：熊猫烧香"熊猫烧香" 是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒，它不但能感染系统中 exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho 的文件。由于被其感染的文件图标会被替换成 "熊猫烧香"图案，所以该病毒被称为"熊猫烧香"病毒。

蠕虫

蠕虫是主要通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码。一个能传染自身拷贝到另一台计算机上的程序。

例如：永恒之蓝:2017年4月14日晚，黑客团体Shadow Brokers（影子经纪人）公布一大批网络攻击工具，其中包含"永恒之蓝"工具，"永恒之蓝"利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日，不法分子通过改造"永恒之蓝"制作了wannacry勒索病毒，英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金才能解密恢复文件。

木马

木马是攻击者通过欺骗方法在用户不知情的情况下安装的。木马系统软件一般由木马配置程序、控制程序和木马程序（服务器程序）三部分组成。

传播过程：黑客利用木马配置工具生成一个木马的服务端；通过各种手段如Spam、Phish、Worm等安装到用户终端；利用社会工程学,或者其它技术手段使得木马运行；木马窃取用户隐私信息发送给黑客；同时允许黑客控制用户终端。

传播方式∶捆绑、利用网页

按照功能分类

后门

具有感染设备全部操作权限的恶意代码。

典型功能∶文件管理、屏幕监控、键盘监控、视频监控、命令执行等。

典型家族∶ 灰鸽子、pCshare

勒索

通过加密文件，敲诈用户缴纳赎金。

加密特点∶ 主要采用非对称加密方式

对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密

其他特点∶ 通过比特币或其它虚拟货币交易

利用钓鱼邮件和爆破rdp口令进行传播

典型家族∶Wannacry、GandCrab、Globelmposter

挖矿

攻击者通过向被感染设备植入挖矿工具，消耗被感染设备的计算资源进行挖矿，以获取数字货币收益的恶意代码。

特点∶ 不会对感染设备的数据和系统造成破坏，由于大量消耗设备资源，可能会对设备硬件造成损害。

4. 恶意软件的免杀技术有哪些？

修改文件特征码
修改内存特征码
行为免查技术

5. 反病毒技术有哪些？

首包检测技术
启发式检测技术
文件信誉检测技术

6. 反病毒网关的工作原理是什么？

通过首包检测技术、启发式检测技术、文件信誉检测技术来检测带病毒的文件，然后采取阻断或警告的手段进行干预，从而保证内网用户和服务器接收文件的安全

7. 反病毒网关的工作过程是什么？

1、网络流量进入智能感知引擎后，首先智能感知引擎对流量进行深层分析，识别出流量对应的协议类型和文件传输的方向。

2、判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。

3、判断是否命中白名单。命中白名单后，FW将不对文件做病毒检测。

针对域名和URL，白名单规则有以下4种匹配方式:

前缀匹配
后缀匹配
关键字匹配
精确匹配
4、病毒检测：设备对传输文件进行特征提取，并将提取后的特征与病毒特征库中的特征进行匹配。如果匹配成功，则判定该文件为病毒文件，并送往反病毒处理模块进行处理；如果特征不匹配，则直接放行该文件

5、响应处理：设备检测出传输的文件为病毒文件后，通常有如下2种处理动作。

告警：允许病毒文件通过，同时记录病毒日志，供网络管理员分析并采取进一步措施。
阻断：禁止病毒文件通过，同时记录病毒日志，供网络管理员分析并采取进一步措施。

8. 反病毒网关的配置流程是什么？

1、新建策略

2、新建反病毒配置文件

3、全局配置

阻止断点续传功能是为了防止文件下载中断的时候，这时防火墙对其流量是信任的，恢复下载后依然是信任的，然后黑客可以利用这个信任关系在恢复下载之前向文件植入病毒，进而对内网造成破坏
文件解压配置是针对加壳免杀

三、APT和加密方法

1. 什么是APT？

APT攻击即高级可持续威胁攻击,也称为定向威胁攻击，指某组织对特定对象展开的持续有效的攻击活动。

APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和有组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。

2. APT 的攻击过程？

第一阶段：扫描探测

在APT攻击中，攻击者会花几个月甚至更长的时间对"目标"网络进行踩点，针对性地进行信息收集，目标网络环境探测，线上服务器分布情况，应用程序的弱点分析，了解业务状况，员工信息等等。

第二阶段：工具投送

在多数情况下，攻击者会向目标公司的员工发送邮件，诱骗其打开恶意附件，或单击一个经过伪造的恶意URL，希望利用常见软件(如Java或微软的办公软件)的0day漏洞，投送其恶意代码。一旦到位，恶意软件可能会复制自己，用微妙的改变使每个实例都看起来不一样，并伪装自己，以躲避扫描。有些会关闭防病毒扫描引擎，经过清理后重新安装，或潜伏数天或数周。恶意代码也能被携带在笔记本电脑、USB 设备里，或者通过基于云的文件共享来感染一台主机，并在连接到网络时横向传播。

第三阶段：漏洞利用

利用漏洞，达到攻击的目的。攻击者通过投送恶意代码，并利用目标企业使用的软件中的漏洞执行自身。而如果漏洞利用成功的话，你的系统将受到感染。普通用户系统忘记打补丁是很常见的，所以他们很容易受到已知和未知的漏洞利用攻击。一般来说，通过使用零日攻击和社会工程技术，即使最新的主机也可以被感染，特别是当这个系统脱离企业网络后。

第四阶段：木马植入

随着漏洞利用的成功，更多的恶意软件的可执行文件——击键记录器、木马后门、密码破解和文件采集程序被下载和安装。这意味着，犯罪分子现在已经建成了进入系统的长期控制机制。

第五阶段：远程控制

一旦恶意软件安装，攻击者就已经从组织防御内部建立了一个控制点。攻击者最常安装的就是远程控制工具。这些远程控制工具是以反向连接模式建立的，其目的就是允许从外部控制员工电脑或服务器，即这些工具从位于中心的命令和控制服务器接受命令，然后执行命令，而不是远程得到命令。这种连接方法使其更难以检测，因为员工的机器是主动与命令和控制服务器通信而不是相反。

第六阶段：横向渗透

一般来说，攻击者首先突破的员工个人电脑并不是攻击者感兴趣的，它感兴趣的是组织内部其它包含重要资产的服务器，因此，攻击者将以员工个人电脑为跳板，在系统内部进行横向渗透，以攻陷更多的pc 和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。

第七阶段：目标行动

也就是将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。在发现有价值的数据后，APT 攻击者往往要将数据收集到一个文档中，然后压缩并加密该文档。此操作可以使其隐藏内容，防止遭受深度的数据包检查和DLP技术的检测和阻止。然后将数据从受害系统偷运出去到由攻击者控制的外部。大多数公司都没有针对这些恶意传输和目的地分析出站流量。那些使用工具监控出站传输的组织也只是寻找"已知的"恶意地址和受到严格监管的数据。

3. 详细说明APT的防御技术

沙箱技术

通过沙箱技术构造一个隔离的威胁检测环境，然后将网络流量送入沙箱进行隔离分析并最终给出是否存在威胁的结论。如果沙箱检测到某流量为恶意流量，则可以通知FW实施阻断

针对APT攻击的防御过程如下∶

黑客向企业内网发起APT攻击,FW从网络流量中识别并提取需要进行APT检测的文件类型。

FW将攻击流量还原成文件送入沙箱进行威胁分析。

沙箱通过对文件进行威胁检测，然后将检测结果返回给FW。

FW获取检测结果后，实施相应的动作。如果沙箱分析出该文件是一种恶意攻击文件，FW侧则可以实施阻断操作，防止该文件进入企业内网，保护企业内网免遭攻击。

APT防御与反病毒的差异。

反病毒系统通常是将病毒文件的特征与病毒特征库进行对比来识别一个文件是否为病毒文件。这种防御方式具有一定的局限性，就是只能针对已知病毒进行防御，而无法识别未知攻击。 APT防御机制则有别于反病毒系统。

APT防御系统中的沙箱可以看做是一个模拟真实网络建造的虚拟检测系统，未知文件放入沙箱以后将会被运行，沙箱中的收集程序会记录该文件被运行以后的行为。沙箱通过将未知文件的行为和沙箱独有的行为模式库进行匹配，最后给出该程序是否为恶意程序的定性结论。沙箱的行为模式库是通过分析大量的病毒、漏洞、威胁特征，提炼出各种恶意行为的规律和模式，并形成一套判断规则，因此能提供准确的检测结果。总体来看，反病毒系统是以被检测对象的特征来识别攻击对象，APT防御系统是以被检测对象的行为来识别攻击对象。

4. 什么是对称加密？

A和B通过同一种密钥加密或解密

5. 什么是非对称加密？

B要给A传信息，B先用A的公钥进行加密，只有通过A的私钥才能打开

6. 私密性的密码学应用？

身份认证：通过标识和鉴别用户身份，防止攻击者假冒合法用户来获取访问权限。
身份认证技术：在网络总确认操作者身份的过程而产生的有效解决方法。
如何确认信息的发送者一定是他本人？
发送者是 alice ，使用非对称算法，生成私钥 A ，公钥 B 。
1. alice 把公钥给 bob
2. alice 发送信息 hello ， world ！
3. alice 把发送的信息用对称加密算法加密到加密信息 C 。
4. alice 把发送的 hello ， world ！先用 hash 算法计算得到 hash 值 D 。
5. alice 把 hash 值 D 用非对称加密计算得到 E 。 E 值就是用于身份验证的。
6. alice 把 C ， E 一起发给 bob 。
7. bob 收到 C,E 值，先用非对称的公钥对 E 进行解密，如果能正常解开则证明 C 值是 alice 的。
上述 1 中如果黑客偷换了 alice 的公钥，那么就会出现身份认证漏洞。
解决：
alice 把公钥给 bob 的环节能确保是安全的，一定是 alice 给的。
想办法证明 alice 的公钥一定是 alice 的。

7. 非对称加密如何解决身份认证问题？

私钥加密公钥解密就能解决

完整性与身份认证最佳解决：对明文 a 进行 hash 运算得到定长值 h ，然后对 h 进行非对称运算用私钥加密得到值k ，然后对明文 a 进行对称运算得到 y ，传输时同时传输 y 和 k ，收到后用非对称公钥解开 k 得到 h‘ ，然后用对称算法解开y 得到 a ，然后对 a 进行 hash 得到 h‘‘ 如果 h‘ 与 h‘’ 相同，则证明完整性与身份认证。

8. 如何解决公钥身份认证问题？

公钥的 “ 身份证 ”----- 数字证书
PKI（公开密钥体系，Public Key Infrastructure ）是一种遵循标准的利用非对称加密技术为电子商务的开展提供一套安全基础平台的技术和规范。
简单说就是利用公钥技术建立的提供安全服务的基础设施。通过第三方的可信机构， CA 认证中心把用户的公钥与用户的其他标识信息捆绑在一起放在用户证书中，在互联网上验证用户身份。
PKI 体系
PKI 是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书，核心执行者是CA 认证机构。