国产玖玖99婷婷一区二区三区,4399亚洲AV无码V无码网站,人妻丰满熟妇A无码97,人摸人人人澡人人超碰

等保2.0下,入侵防范技術(shù)大起底

2019-11-01 13:59:04

1等保2.0關(guān)于入侵防范的規(guī)定
等保2.0標(biāo)準(zhǔn)在2019年5月正式發(fā)布,將于2019年12月開(kāi)始實(shí)施。等保2.0標(biāo)準(zhǔn)中對(duì)入侵防范做了詳細(xì)要求,下面表格中列出了等保2.0對(duì)入侵防范的要求,黑色加粗字體表示是針對(duì)上一安全級(jí)別增強(qiáng)的要求。

圖片關(guān)鍵詞 


等保2.0中主要在安全區(qū)域邊界和安全計(jì)算環(huán)境中提到入侵防范要求。安全區(qū)域邊界中的入侵防范主要指在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)從外部或內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊進(jìn)行入侵防范,安全計(jì)算環(huán)境中的入侵防范主要指遵循安裝程序、開(kāi)放服務(wù)和終端接入的最小化原則,同時(shí)修補(bǔ)已知漏洞。在等保3級(jí)中,要求實(shí)現(xiàn)對(duì)新型網(wǎng)絡(luò)攻擊行為的分析,并要求檢測(cè)到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為。在等保4級(jí)中,對(duì)入侵防范的要求和等保3級(jí)基本保持一致。入侵防范是一種可識(shí)別潛在的威脅并迅速地做出應(yīng)對(duì)的網(wǎng)絡(luò)安全防范辦法。入侵防范技術(shù)作為一種積極主動(dòng)地安全防護(hù)技術(shù),提供了對(duì)外部攻擊、內(nèi)部攻擊和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵防范被認(rèn)為是防火墻之后的第二道安全閘門(mén),在不影響網(wǎng)絡(luò)和主機(jī)性能的情況下能對(duì)網(wǎng)絡(luò)和主機(jī)的入侵行為進(jìn)行監(jiān)測(cè)。另外,在等保2.0中提到的應(yīng)用程序最小安裝原則,這也屬于入侵防范的一部分,屬于非自動(dòng)化的入侵防范辦法。本文重點(diǎn)講解自動(dòng)化的入侵防范技術(shù),關(guān)于非自動(dòng)化的入侵防范辦法不做詳細(xì)探討。2常用入侵防范技術(shù)
按照檢測(cè)數(shù)據(jù)來(lái)源,將入侵防范技術(shù)分為基于網(wǎng)絡(luò)的入侵防范技術(shù)和基于主機(jī)的入侵防范技術(shù),分別對(duì)應(yīng)等保2.0中的安全區(qū)域邊界和安全計(jì)算環(huán)境的入侵防范。

 

2.1.  基于網(wǎng)絡(luò)的入侵防范技術(shù)

基于網(wǎng)絡(luò)的入侵防范,主要是通過(guò)分析網(wǎng)絡(luò)流量中的異常攻擊行為并進(jìn)行攔截和響應(yīng)。當(dāng)前比較流行的網(wǎng)絡(luò)入侵防范技術(shù)包括:基于特征簽名的入侵防范技術(shù)、基于沙箱的入侵防范技術(shù)、基于網(wǎng)絡(luò)行為白名單的入侵防范技術(shù)和基于威脅情報(bào)的入侵防范技術(shù)。

 

 2.1.1.  基于特征簽名的入侵防范技術(shù)基于特征簽名的入侵防范技術(shù),需要在網(wǎng)絡(luò)通信報(bào)文中匹配特征簽名以查找已知的漏洞攻擊或惡意程序。這種基于特征簽名的檢測(cè)引擎,使用了模式匹配算法,可以在現(xiàn)代系統(tǒng)上快速完成,因此對(duì)于確定的一套特征簽名來(lái)說(shuō),進(jìn)行這種檢測(cè)所需要的計(jì)算能力是最小的。 

圖片關(guān)鍵詞簽名檢測(cè)引擎常用的模式匹配AC算法

 

基于特征簽名的檢測(cè)引擎也有弱點(diǎn),由于簽名引擎僅檢測(cè)已知的攻擊,必須為每種攻擊制作一個(gè)簽名,而且新的攻擊無(wú)法檢測(cè)。由于簽名通常是根據(jù)正則表達(dá)式和字符串設(shè)計(jì)的,因此,簽名引擎還會(huì)出現(xiàn)較多誤報(bào)?;谔卣骱灻臋z測(cè)引擎對(duì)于檢測(cè)以固定方式實(shí)施的攻擊很成功,但是對(duì)于人工制作的或者具有自我修正行為功能的蠕蟲(chóng)發(fā)起的多種形式的攻擊檢測(cè)就有些力不從心。由于必須為每一種攻擊的變體制作一個(gè)新的簽名,而且隨著簽名的增加檢測(cè)系統(tǒng)的運(yùn)行速度將減緩,因此,簽名引擎檢測(cè)這些變化的攻擊的整體能力將受到影響。實(shí)際上,基于特征簽名的入侵防范可以歸結(jié)為攻擊者和簽名開(kāi)發(fā)商之間的軍備競(jìng)賽。這場(chǎng)競(jìng)賽的關(guān)鍵是簽名編寫(xiě)和應(yīng)用到入侵防范引擎中的速度。

 

 2.1.2.  基于沙箱的入侵防范技術(shù)基于沙箱的入侵防范技術(shù),需要在網(wǎng)絡(luò)通信報(bào)文中提取傳輸?shù)奈募⑽募谔摂M機(jī)上執(zhí)行,通過(guò)行為特征識(shí)別漏洞攻擊或惡意程序。這種基于沙箱的檢測(cè)引擎,使用了多個(gè)虛擬機(jī)并行運(yùn)行,會(huì)耗費(fèi)較多的計(jì)算能力。沙箱技術(shù)的實(shí)踐運(yùn)用流程是讓疑似病毒文件的可疑行為在虛擬的沙箱里充分表演,沙箱會(huì)記下它的每一個(gè)動(dòng)作;當(dāng)疑似病毒充分暴露了其病毒屬性后,沙箱就會(huì)執(zhí)行“回滾”機(jī)制,將病毒的痕跡和動(dòng)作抹去,恢復(fù)系統(tǒng)到正常狀態(tài)。 

圖片關(guān)鍵詞 

圖片關(guān)鍵詞 

沙箱的技術(shù)原理

 

基于沙箱的入侵防范技術(shù)的優(yōu)點(diǎn)是對(duì)于零日漏洞攻擊和APT攻擊的檢測(cè)效果較好。沙箱檢測(cè)引擎一般支持PE文件、文檔、壓縮包、圖片、網(wǎng)頁(yè)(JS腳本)以及Shell Code的檢測(cè),對(duì)惡意文件的檢測(cè)能力較好,但是對(duì)于基于網(wǎng)絡(luò)流量發(fā)起的零日漏洞攻擊,沒(méi)有太好的辦法。比如MS17-010這種直接針對(duì)服務(wù)器端發(fā)起的網(wǎng)絡(luò)流量攻擊,在該漏洞未公開(kāi)前直接基于流量攻擊,沙箱引擎很難檢測(cè)。

 

 2.1.3.  基于網(wǎng)絡(luò)行為白名單的入侵防范技術(shù)基于網(wǎng)絡(luò)行為白名單的入侵防范技術(shù),需要學(xué)習(xí)網(wǎng)絡(luò)通信流量,建立協(xié)議指令白名單模型和網(wǎng)絡(luò)流量基線模型,通過(guò)白名單和流量模型來(lái)識(shí)別網(wǎng)絡(luò)攻擊或違規(guī)操作。這種基于網(wǎng)絡(luò)行為白名單的檢測(cè)引擎,適用于網(wǎng)絡(luò)流量相對(duì)簡(jiǎn)單的環(huán)境,比如工業(yè)控制系統(tǒng)網(wǎng)絡(luò)環(huán)境,模型建立前會(huì)耗費(fèi)較多的計(jì)算能力進(jìn)行機(jī)器學(xué)習(xí),模型建立后耗費(fèi)的計(jì)算能力較小?;诰W(wǎng)絡(luò)行為白名單的檢測(cè)引擎,采用了協(xié)議深層解析技術(shù),對(duì)應(yīng)用層協(xié)議進(jìn)行深度解析,記錄下協(xié)議指令和操作數(shù)據(jù),同時(shí)會(huì)記錄下流量特征,包括地址、端口、連接頻率、連接時(shí)間、應(yīng)用協(xié)議、帶寬和流量圖等,將上述數(shù)據(jù)匯總分析后,建立協(xié)議指令白名單模型和網(wǎng)絡(luò)流量基線模型。 

圖片關(guān)鍵詞 

黑白名單技術(shù)的對(duì)比分析

 

基于網(wǎng)絡(luò)行為白名單的入侵防范技術(shù)的優(yōu)點(diǎn)是對(duì)于基于網(wǎng)絡(luò)流量的零日漏洞攻擊的檢測(cè)效果較好。但是要求在建立白名單模型的過(guò)程中,必須在干凈的流量環(huán)境下學(xué)習(xí)。該引擎的缺點(diǎn)是無(wú)法精準(zhǔn)定位攻擊類(lèi)型。

 

 2.1.4.  基于威脅情報(bào)的入侵防范技術(shù)基于威脅情報(bào)的入侵防范技術(shù),將網(wǎng)絡(luò)通信流量中采集的數(shù)據(jù)同威脅情報(bào)數(shù)據(jù)匹配來(lái)識(shí)別漏洞攻擊或惡意程序。這種基于威脅情報(bào)的檢測(cè)引擎,需要及時(shí)更新威脅情報(bào)數(shù)據(jù),適用于開(kāi)放的網(wǎng)絡(luò)環(huán)境,基于威脅情報(bào)的檢測(cè)耗費(fèi)的計(jì)算能力較小。 

圖片關(guān)鍵詞 

威脅信息服務(wù)的三種不同階段

 

iSight Partners將威脅信息服務(wù)分為三種不同的階段:簽名與信譽(yù)源,威脅數(shù)據(jù)源和網(wǎng)絡(luò)威脅情報(bào)。簽名與信譽(yù)源,一般指的是惡意程序簽名(文件哈希)、URL信譽(yù)數(shù)據(jù)和入侵指標(biāo)。威脅數(shù)據(jù)源,對(duì)常見(jiàn)惡意程序和攻擊活動(dòng)的波及范圍、源頭和目標(biāo)進(jìn)行統(tǒng)計(jì)分析。某些安全研究團(tuán)隊(duì)針對(duì)特定惡意程序發(fā)布的攻擊解析,或者對(duì)高級(jí)、多階段攻擊的攻擊順序觀察,都屬于此類(lèi)。威脅情報(bào)包含了前兩者的基礎(chǔ)數(shù)據(jù),但同時(shí)在幾個(gè)重點(diǎn)方面作了提升,包括在全球范圍內(nèi)收集及分析活躍黑客的信息和技術(shù)信息,也就是說(shuō)持續(xù)監(jiān)控黑客團(tuán)體和地下站點(diǎn),了解網(wǎng)絡(luò)犯罪者和激進(jìn)黑客共享的信息、技術(shù)、工具和基礎(chǔ)設(shè)施。此類(lèi)服務(wù)還要求其團(tuán)隊(duì)擁有多樣化的語(yǔ)言能力和文化背景,以便理解全球各地黑客的動(dòng)機(jī)和關(guān)系。另外,威脅情報(bào)以對(duì)手為重點(diǎn),具有前瞻性,針對(duì)攻擊者及其戰(zhàn)術(shù)、技術(shù)與程序(TTP)提供豐富的上下文數(shù)據(jù)。數(shù)據(jù)可能包括不同犯罪者的動(dòng)機(jī)與目標(biāo),針對(duì)的漏洞,使用的域、惡意程序和社工方式,攻擊活動(dòng)的結(jié)構(gòu)及其變化,以及黑客規(guī)避現(xiàn)有安全技術(shù)的技巧。針對(duì)攻擊方的威脅情報(bào)主要包括:攻擊者身份、攻擊的原因、攻擊目的、具體怎么做的、攻擊者的位置、如何組織情報(bào)(包括IP地址、哈希值等可用來(lái)更準(zhǔn)確地檢測(cè)和標(biāo)記惡意行為)、如何緩解攻擊?;谕{情報(bào)的入侵防范技術(shù)的優(yōu)點(diǎn)是可以快速檢測(cè)最新型的網(wǎng)絡(luò)攻擊,但是不具備對(duì)零日漏洞攻擊的檢測(cè)能力,同時(shí)要及時(shí)更新威脅情報(bào)庫(kù)。

 

2.2.  基于主機(jī)的入侵防范技術(shù)

基于主機(jī)的入侵防范,主要是通過(guò)分析主機(jī)進(jìn)程和文件的異常攻擊行為并進(jìn)行攔截和響應(yīng)。當(dāng)前比較流行的主機(jī)入侵防范技術(shù)包括:基于特征簽名的入侵防范技術(shù)、基于沙箱的入侵防范技術(shù)、基于基因圖譜的入侵防范技術(shù)、基于主機(jī)行為白名單的入侵防范技術(shù)和基于EDR的入侵防范技術(shù)。其中,前兩種基于主機(jī)的入侵防范技術(shù)在檢測(cè)原理上同基于網(wǎng)絡(luò)的入侵防范技術(shù)類(lèi)似,它們的區(qū)別在于:在主機(jī)上特征簽名引擎主要對(duì)文件中的特征串和文件的校驗(yàn)和進(jìn)行模式匹配,沙箱引擎主要對(duì)系統(tǒng)中可執(zhí)行程序的訪問(wèn)資源以及系統(tǒng)賦予的權(quán)限建立應(yīng)用程序的沙箱來(lái)限制惡意代碼的運(yùn)行。因此,本節(jié)主要介紹后三種基于主機(jī)的入侵防范技術(shù)。

 

 2.2.1.  基于基因圖譜的入侵防范技術(shù)基于基因圖譜的入侵防范技術(shù),通過(guò)結(jié)合機(jī)器學(xué)習(xí)/深度學(xué)習(xí)、圖像分析技術(shù),將惡意代碼映射為灰度圖像,建立卷積神經(jīng)元網(wǎng)絡(luò)CNN深度學(xué)習(xí)模型,利用惡意代碼家族灰度圖像集合訓(xùn)練卷積神經(jīng)元網(wǎng)絡(luò),并建立檢測(cè)模型,利用檢測(cè)模型對(duì)惡意代碼及其變種進(jìn)行家族檢測(cè)。這種基于基因圖譜的檢測(cè)引擎,模型建立前會(huì)耗費(fèi)較多的計(jì)算能力進(jìn)行機(jī)器學(xué)習(xí),模型建立后耗費(fèi)的計(jì)算能力較小。惡意代碼家族是有具有明顯特征的惡意代碼種類(lèi),是由很多擁有共同特性的惡意代碼個(gè)體組成,共同特性通常包括相同的代碼、圖案、應(yīng)用特征及相似的行為方式。惡意代碼家族中的個(gè)體成員之間差異較小,而且它們的基因結(jié)構(gòu)也比較相近,猶如物種在進(jìn)化過(guò)程中基因變化一樣,如下圖所示,惡意代碼家族Worm.Win32.WBNA(1ef51f0c0ea5094b7424ae72329514eb、777b2c29dc6b0c0ad1cec234876a97df、 1701f09f7348b0a609b8819b076bb4df)中的三個(gè)成員,查看其PE文件紋理變化情況。下圖從上到下分為三層,每層分為三列。第一層從左到右為三個(gè)惡意代碼的紋理圖像,第二層從左到右為第一層三個(gè)紋理圖像的差異(與第一層的第一幅紋理圖像比較),第三層為惡意代碼標(biāo)識(shí),命名規(guī)則為“md5”。

圖片關(guān)鍵詞 

 

Worm.Win32.WBNA 3個(gè)家族成員內(nèi)容紋理差異對(duì)比

 

基于基因圖譜的入侵防范技術(shù)的優(yōu)點(diǎn)是對(duì)于已知惡意代碼的變種程序檢測(cè)效果較好,對(duì)于零日漏洞攻擊或新型惡意代碼檢測(cè)效果不佳。

 

 2.2.2.  基于主機(jī)行為白名單的入侵防范技術(shù)基于主機(jī)行為白名單的入侵防范技術(shù),通過(guò)機(jī)器學(xué)習(xí)建立主機(jī)進(jìn)程白名單、網(wǎng)絡(luò)白名單、外設(shè)白名單、配置策略安全基線和文件強(qiáng)制訪問(wèn)控制模型,利用上述模型檢測(cè)并阻止新型的惡意代碼或違規(guī)操作。這種基于主機(jī)行為白名單的檢測(cè)引擎,適用于應(yīng)用程序相對(duì)單一的環(huán)境,比如工業(yè)控制系統(tǒng)計(jì)算環(huán)境,模型建立前會(huì)耗費(fèi)較多的計(jì)算能力進(jìn)行機(jī)器學(xué)習(xí),模型建立后耗費(fèi)的計(jì)算能力較小。基于主機(jī)行為白名單的入侵防范技術(shù),很好的滿(mǎn)足了等保2.0中關(guān)于安全計(jì)算環(huán)境的入侵防范要求。主機(jī)進(jìn)程白名單,對(duì)應(yīng)了應(yīng)用程序最小運(yùn)行原則,和應(yīng)用程序的最小安裝原則相互呼應(yīng)。網(wǎng)絡(luò)白名單,對(duì)應(yīng)了應(yīng)用服務(wù)和開(kāi)放端口的最小化原則。外設(shè)白名單,對(duì)應(yīng)了外設(shè)接入的管控。配置策略安全基線,對(duì)應(yīng)了配置策略的安全核查,從另外一個(gè)方面解決了配置弱點(diǎn)漏洞。文件強(qiáng)制訪問(wèn)控制,加強(qiáng)了對(duì)惡意文件的權(quán)限管控,可以防文件篡改,保護(hù)了系統(tǒng)核心文件的安全。

圖片關(guān)鍵詞 

進(jìn)程白名單可以有效防護(hù)新型的惡意代碼攻擊

 

基于主機(jī)行為白名單的入侵防范技術(shù)的優(yōu)點(diǎn)是對(duì)于基于零日漏洞的惡意代碼攻擊的檢測(cè)效果較好,但是一旦零日漏洞攻擊進(jìn)入Ring 0層并擁有了驅(qū)動(dòng)卸載權(quán)限后,白名單軟件很難防護(hù)?;谥鳈C(jī)行為白名單的入侵防范技術(shù)要求在建立白名單模型的過(guò)程中,必須在干凈的系統(tǒng)環(huán)境下學(xué)習(xí)。

 

 2.2.3.  基于EDR的入侵防范技術(shù)基于EDR(Endpoint Detection and Response,終端防護(hù)和相應(yīng))的入侵防范技術(shù),通常會(huì)記錄大量終端和網(wǎng)絡(luò)事件(包括用戶(hù)、文件、進(jìn)程、注冊(cè)表、內(nèi)存和網(wǎng)絡(luò)事件),把這些信息保存在終端本地,或者保存在中央數(shù)據(jù)庫(kù)中,然后使用已知的攻擊指示器、行為分析和機(jī)器學(xué)習(xí)技術(shù)識(shí)別攻擊威脅,檢測(cè)系統(tǒng)漏洞并對(duì)這些威脅風(fēng)險(xiǎn)做出快速響應(yīng)?;贓DR的入侵防范技術(shù)能夠?qū)K端進(jìn)行持續(xù)的檢測(cè),發(fā)現(xiàn)異常行為并進(jìn)行實(shí)時(shí)的干預(yù)。這種技術(shù)耗費(fèi)的計(jì)算能力較高。EDR檢測(cè)引擎至少要具備四種類(lèi)型的能力,如下圖所示。 

圖片關(guān)鍵詞 

EDR需要具備的四種類(lèi)型的能力

 

1) 能夠在安全事件發(fā)生時(shí)進(jìn)行檢測(cè);2) 記錄并響應(yīng)相關(guān)終端事件;3) 支持對(duì)事件的調(diào)查分析;4) 為受影響終端提供補(bǔ)救機(jī)制。
一個(gè)有效的 EDR 系統(tǒng)首先要求在所有終端上線時(shí)以及以后每次使用時(shí)發(fā)現(xiàn)、分類(lèi)和評(píng)估它們。基于終端發(fā)現(xiàn),EDR 系統(tǒng)部署實(shí)施有代理或無(wú)代理機(jī)制,用于實(shí)現(xiàn)威脅檢測(cè)、監(jiān)控和報(bào)告功能,該功能插入特定管理服務(wù),定期收集跟蹤活動(dòng)、軟件配置、安全狀態(tài)等數(shù)據(jù),并存入相應(yīng)數(shù)據(jù)庫(kù)。同時(shí)先進(jìn)的 EDR 系統(tǒng)可以幫助減少整體攻擊面,限制攻擊的影響,并使用威脅情報(bào)和觀察來(lái)預(yù)測(cè)攻擊可能發(fā)生的時(shí)間和方式?;贓DR的入侵防范技術(shù)的優(yōu)點(diǎn)是可以識(shí)別并阻斷各類(lèi)已知和未知的攻擊行為,可以對(duì)攻擊全流程進(jìn)行溯源追蹤。該技術(shù)基于行為分析,也會(huì)產(chǎn)生一定的誤報(bào)。
3入侵防范技術(shù)對(duì)比分析上面小節(jié)論述的入侵防范技術(shù)的對(duì)比分析如下表:

圖片關(guān)鍵詞 

基于白名單的入侵防范技術(shù),在網(wǎng)絡(luò)流量或主機(jī)行為簡(jiǎn)單的環(huán)境下適用性較好,比如工業(yè)控制系統(tǒng)環(huán)境。