<delect id="b06od"></delect>
                <delect id="b06od"><noframes id="b06od">
                <label id="b06od"><div id="b06od"><del id="b06od"></del></div></label>
                  <delect id="b06od"></delect><delect id="b06od"></delect>
                    <label id="b06od"></label><label id="b06od"></label>

                          安全資訊

                          安徽等級保護:入侵防范技術

                          1

                          等保2.0關于入侵防范的規定

                          等保2.0標準在2019年5月正式發布,將于2019年12月開始實施。等保2.0標準中對入侵防范做了詳細要求,下面表格中列出了等保2.0對入侵防范的要求,黑色加粗字體表示是針對上一安全級別增強的要求。

                          等保2.0中主要在安全區域邊界和安全計算環境中提到入侵防范要求。安全區域邊界中的入侵防范主要指在關鍵網絡節點處對從外部或內部發起的網絡攻擊進行入侵防范,安全計算環境中的入侵防范主要指遵循安裝程序、開放服務和終端接入的最小化原則,同時修補已知漏洞。在等保3級中,要求實現對新型網絡攻擊行為的分析,并要求檢測到對重要節點進行入侵的行為。在等保4級中,對入侵防范的要求和等保3級基本保持一致。

                          入侵防范是一種可識別潛在的威脅并迅速地做出應對的網絡安全防范辦法。入侵防范技術作為一種積極主動地安全防護技術,提供了對外部攻擊、內部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵。入侵防范被認為是防火墻之后的第二道安全閘門,在不影響網絡和主機性能的情況下能對網絡和主機的入侵行為進行監測。

                          另外,在等保2.0中提到的應用程序最小安裝原則,這也屬于入侵防范的一部分,屬于非自動化的入侵防范辦法。本文重點講解自動化的入侵防范技術,關于非自動化的入侵防范辦法不做詳細探討。

                          2

                          常用入侵防范技術

                          按照檢測數據來源,將入侵防范技術分為基于網絡的入侵防范技術和基于主機的入侵防范技術,分別對應等保2.0中的安全區域邊界和安全計算環境的入侵防范。

                          2.1.基于網絡的入侵防范技術

                          基于網絡的入侵防范,主要是通過分析網絡流量中的異常攻擊行為并進行攔截和響應。當前比較流行的網絡入侵防范技術包括:基于特征簽名的入侵防范技術、基于沙箱的入侵防范技術、基于網絡行為白名單的入侵防范技術和基于威脅情報的入侵防范技術。

                          2.1.1. 基于特征簽名的入侵防范技術

                          基于特征簽名的入侵防范技術,需要在網絡通信報文中匹配特征簽名以查找已知的漏洞攻擊或惡意程序。這種基于特征簽名的檢測引擎,使用了模式匹配算法,可以在現代系統上快速完成,因此對于確定的一套特征簽名來說,進行這種檢測所需要的計算能力是最小的。

                          簽名檢測引擎常用的模式匹配AC算法

                          基于特征簽名的檢測引擎也有弱點,由于簽名引擎僅檢測已知的攻擊,必須為每種攻擊制作一個簽名,而且新的攻擊無法檢測。由于簽名通常是根據正則表達式和字符串設計的,因此,簽名引擎還會出現較多誤報。

                          基于特征簽名的檢測引擎對于檢測以固定方式實施的攻擊很成功,但是對于人工制作的或者具有自我修正行為功能的蠕蟲發起的多種形式的攻擊檢測就有些力不從心。由于必須為每一種攻擊的變體制作一個新的簽名,而且隨著簽名的增加檢測系統的運行速度將減緩,因此,簽名引擎檢測這些變化的攻擊的整體能力將受到影響。

                          實際上,基于特征簽名的入侵防范可以歸結為攻擊者和簽名開發商之間的軍備競賽。這場競賽的關鍵是簽名編寫和應用到入侵防范引擎中的速度。

                          2.1.2. 基于沙箱的入侵防范技術

                          基于沙箱的入侵防范技術,需要在網絡通信報文中提取傳輸的文件,并將文件在虛擬機上執行,通過行為特征識別漏洞攻擊或惡意程序。這種基于沙箱的檢測引擎,使用了多個虛擬機并行運行,會耗費較多的計算能力。

                          沙箱技術的實踐運用流程是讓疑似病毒文件的可疑行為在虛擬的沙箱里充分表演,沙箱會記下它的每一個動作;當疑似病毒充分暴露了其病毒屬性后,沙箱就會執行“回滾”機制,將病毒的痕跡和動作抹去,恢復系統到正常狀態。

                          沙箱的技術原理

                          基于沙箱的入侵防范技術的優點是對于零日漏洞攻擊和APT攻擊的檢測效果較好。沙箱檢測引擎一般支持PE文件、文檔、壓縮包、圖片、網頁(JS腳本)以及Shell Code的檢測,對惡意文件的檢測能力較好,但是對于基于網絡流量發起的零日漏洞攻擊,沒有太好的辦法。比如MS17-010這種直接針對服務器端發起的網絡流量攻擊,在該漏洞未公開前直接基于流量攻擊,沙箱引擎很難檢測。

                          2.1.3. 基于網絡行為白名單的入侵防范技術

                          基于網絡行為白名單的入侵防范技術,需要學習網絡通信流量,建立協議指令白名單模型和網絡流量基線模型,通過白名單和流量模型來識別網絡攻擊或違規操作。這種基于網絡行為白名單的檢測引擎,適用于網絡流量相對簡單的環境,比如工業控制系統網絡環境,模型建立前會耗費較多的計算能力進行機器學習,模型建立后耗費的計算能力較小。

                          基于網絡行為白名單的檢測引擎,采用了協議深層解析技術,對應用層協議進行深度解析,記錄下協議指令和操作數據,同時會記錄下流量特征,包括地址、端口、連接頻率、連接時間、應用協議、帶寬和流量圖等,將上述數據匯總分析后,建立協議指令白名單模型和網絡流量基線模型。

                          黑白名單技術的對比分析

                          基于網絡行為白名單的入侵防范技術的優點是對于基于網絡流量的零日漏洞攻擊的檢測效果較好。但是要求在建立白名單模型的過程中,必須在干凈的流量環境下學習。該引擎的缺點是無法精準定位攻擊類型。

                          2.1.4. 基于威脅情報的入侵防范技術

                          基于威脅情報的入侵防范技術,將網絡通信流量中采集的數據同威脅情報數據匹配來識別漏洞攻擊或惡意程序。這種基于威脅情報的檢測引擎,需要及時更新威脅情報數據,適用于開放的網絡環境,基于威脅情報的檢測耗費的計算能力較小。

                          威脅信息服務的三種不同階段

                          iSight Partners將威脅信息服務分為三種不同的階段:簽名與信譽源,威脅數據源和網絡威脅情報。簽名與信譽源,一般指的是惡意程序簽名(文件哈希)、URL信譽數據和入侵指標。威脅數據源,對常見惡意程序和攻擊活動的波及范圍、源頭和目標進行統計分析。某些安全研究團隊針對特定惡意程序發布的攻擊解析,或者對高級、多階段攻擊的攻擊順序觀察,都屬于此類。威脅情報包含了前兩者的基礎數據,但同時在幾個重點方面作了提升,包括在全球范圍內收集及分析活躍黑客的信息和技術信息,也就是說持續監控黑客團體和地下站點,了解網絡犯罪者和激進黑客共享的信息、技術、工具和基礎設施。此類服務還要求其團隊擁有多樣化的語言能力和文化背景,以便理解全球各地黑客的動機和關系。另外,威脅情報以對手為重點,具有前瞻性,針對攻擊者及其戰術、技術與程序(TTP)提供豐富的上下文數據。數據可能包括不同犯罪者的動機與目標,針對的漏洞,使用的域、惡意程序和社工方式,攻擊活動的結構及其變化,以及黑客規避現有安全技術的技巧。

                          針對攻擊方的威脅情報主要包括:攻擊者身份、攻擊的原因、攻擊目的、具體怎么做的、攻擊者的位置、如何組織情報(包括IP地址、哈希值等可用來更準確地檢測和標記惡意行為)、如何緩解攻擊。

                          基于威脅情報的入侵防范技術的優點是可以快速檢測最新型的網絡攻擊,但是不具備對零日漏洞攻擊的檢測能力,同時要及時更新威脅情報庫。

                          2.2.基于主機的入侵防范技術

                          基于主機的入侵防范,主要是通過分析主機進程和文件的異常攻擊行為并進行攔截和響應。當前比較流行的主機入侵防范技術包括:基于特征簽名的入侵防范技術、基于沙箱的入侵防范技術、基于基因圖譜的入侵防范技術、基于主機行為白名單的入侵防范技術和基于EDR的入侵防范技術。

                          其中,前兩種基于主機的入侵防范技術在檢測原理上同基于網絡的入侵防范技術類似,它們的區別在于:在主機上特征簽名引擎主要對文件中的特征串和文件的校驗和進行模式匹配,沙箱引擎主要對系統中可執行程序的訪問資源以及系統賦予的權限建立應用程序的沙箱來限制惡意代碼的運行。因此,本節主要介紹后三種基于主機的入侵防范技術。

                          2.2.1. 基于基因圖譜的入侵防范技術

                          基于基因圖譜的入侵防范技術,通過結合機器學習/深度學習、圖像分析技術,將惡意代碼映射為灰度圖像,建立卷積神經元網絡CNN深度學習模型,利用惡意代碼家族灰度圖像集合訓練卷積神經元網絡,并建立檢測模型,利用檢測模型對惡意代碼及其變種進行家族檢測。這種基于基因圖譜的檢測引擎,模型建立前會耗費較多的計算能力進行機器學習,模型建立后耗費的計算能力較小。

                          惡意代碼家族是有具有明顯特征的惡意代碼種類,是由很多擁有共同特性的惡意代碼個體組成,共同特性通常包括相同的代碼、圖案、應用特征及相似的行為方式。惡意代碼家族中的個體成員之間差異較小,而且它們的基因結構也比較相近,猶如物種在進化過程中基因變化一樣,如下圖所示,惡意代碼家族Worm.Win32.WBNA(1ef51f0c0ea5094b7424ae72329514eb、777b2c29dc6b0c0ad1cec234876a97df、 1701f09f7348b0a609b8819b076bb4df)中的三個成員,查看其PE文件紋理變化情況。下圖從上到下分為三層,每層分為三列。第一層從左到右為三個惡意代碼的紋理圖像,第二層從左到右為第一層三個紋理圖像的差異(與第一層的第一幅紋理圖像比較),第三層為惡意代碼標識,命名規則為“md5”。

                          Worm.Win32.WBNA 3個家族成員內容紋理差異對比

                          基于基因圖譜的入侵防范技術的優點是對于已知惡意代碼的變種程序檢測效果較好,對于零日漏洞攻擊或新型惡意代碼檢測效果不佳。

                          2.2.2. 基于主機行為白名單的入侵防范技術

                          基于主機行為白名單的入侵防范技術,通過機器學習建立主機進程白名單、網絡白名單、外設白名單、配置策略安全基線和文件強制訪問控制模型,利用上述模型檢測并阻止新型的惡意代碼或違規操作。這種基于主機行為白名單的檢測引擎,適用于應用程序相對單一的環境,比如工業控制系統計算環境,模型建立前會耗費較多的計算能力進行機器學習,模型建立后耗費的計算能力較小。

                          基于主機行為白名單的入侵防范技術,很好的滿足了等保2.0中關于安全計算環境的入侵防范要求。主機進程白名單,對應了應用程序最小運行原則,和應用程序的最小安裝原則相互呼應。網絡白名單,對應了應用服務和開放端口的最小化原則。外設白名單,對應了外設接入的管控。配置策略安全基線,對應了配置策略的安全核查,從另外一個方面解決了配置弱點漏洞。文件強制訪問控制,加強了對惡意文件的權限管控,可以防文件篡改,保護了系統核心文件的安全。

                          進程白名單可以有效防護新型的惡意代碼攻擊

                          基于主機行為白名單的入侵防范技術的優點是對于基于零日漏洞的惡意代碼攻擊的檢測效果較好,但是一旦零日漏洞攻擊進入Ring 0層并擁有了驅動卸載權限后,白名單軟件很難防護?;谥鳈C行為白名單的入侵防范技術要求在建立白名單模型的過程中,必須在干凈的系統環境下學習。

                          2.2.3. 基于EDR的入侵防范技術

                          基于EDR(Endpoint Detection and Response,終端防護和相應)的入侵防范技術,通常會記錄大量終端和網絡事件(包括用戶、文件、進程、注冊表、內存和網絡事件),把這些信息保存在終端本地,或者保存在中央數據庫中,然后使用已知的攻擊指示器、行為分析和機器學習技術識別攻擊威脅,檢測系統漏洞并對這些威脅風險做出快速響應?;贓DR的入侵防范技術能夠對終端進行持續的檢測,發現異常行為并進行實時的干預。這種技術耗費的計算能力較高。

                          EDR檢測引擎至少要具備四種類型的能力,如下圖所示。

                          EDR需要具備的四種類型的能力

                          1)能夠在安全事件發生時進行檢測;

                          2)記錄并響應相關終端事件;

                          3)支持對事件的調查分析;

                          4)為受影響終端提供補救機制。

                          一個有效的 EDR 系統首先要求在所有終端上線時以及以后每次使用時發現、分類和評估它們?;诮K端發現,EDR 系統部署實施有代理或無代理機制,用于實現威脅檢測、監控和報告功能,該功能插入特定管理服務,定期收集跟蹤活動、軟件配置、安全狀態等數據,并存入相應數據庫。同時先進的 EDR 系統可以幫助減少整體攻擊面,限制攻擊的影響,并使用威脅情報和觀察來預測攻擊可能發生的時間和方式。

                          基于EDR的入侵防范技術的優點是可以識別并阻斷各類已知和未知的攻擊行為,可以對攻擊全流程進行溯源追蹤。該技術基于行為分析,也會產生一定的誤報。

                          3

                          入侵防范技術對比分析

                          上面小節論述的入侵防范技術的對比分析如下表:

                          基于白名單的入侵防范技術,在網絡流量或主機行為簡單的環境下適用性較好,比如工業控制系統環境。

                          服務熱線

                          400-1021-996

                          產品和特性

                          價格和優惠

                          安徽靈狐網絡公眾號

                          微信公眾號

                          国产精品免费_一级毛片一级毛片_天堂一区人妻无码_色资源站
                                      <delect id="b06od"></delect>
                                        <delect id="b06od"><noframes id="b06od">
                                        <label id="b06od"><div id="b06od"><del id="b06od"></del></div></label>
                                          <delect id="b06od"></delect><delect id="b06od"></delect>
                                            <label id="b06od"></label><label id="b06od"></label>