终端安全检测和防御技术

1. 终端安全风险

1）黑客攻击的目的与手段

• 

• 攻击目标: 90%以上企业员工日常使用PC终端办公，80%安全事件源于终端，终端已成为黑客战略攻击点

• 数据价值: 黑客最终目标是获取服务器重要数据，终端只是跳板

• 攻击路径: 控制终端后实施两种主要手段：

  • 直接种植勒索病毒进行勒索

  • 以终端为跳板横向扫描内网，定位并攻击重要服务器

2）僵尸网络的形成与危害

• 

• 形成条件: 黑客通过病毒/木马/蠕虫等恶意代码控制终端

• 关键特征: 内网只需一台主机失陷即可形成威胁

• 主要危害:

  • 信息窃取（次要）

  • 作为DDoS攻击工具（如洪水攻击）

  • 成为攻击其他网络的跳板

• 防御难点: 互联网出口实现逻辑隔离，但无法阻止主动外联行为

3）黑客利用僵尸网络的危害行为

• 

• APT攻击跳板: 最常利用僵尸网络实施高级持续威胁

• 信息收集手段:

  • 以受控主机为中心横向扫描内网

  • 探测非公开服务（如教务系统后台、金融系统内网接口）

  • 识别开放端口和服务类型（如21端口FTP服务）

• 攻击效率原则: 信息收集越全面，攻击越精准高效

• 隐蔽风险:

  • 本地渗透扩散

  • 长期潜伏监控

  • 脆弱信息持续收集

2. 终端安全检测和防御技术

1）通过认证的用户不一定合法

• 身份认证局限: 应用网关防火墙仅完成基础认证

• 持续监控必要性:

  • 需记录用户行为（时间/服务/操作）

  • 异常流量检测（如数据外传）

  • 案例：内网已认证用户可能进行数据窃取

2）安全硬件对新型攻击的防御能力较弱

• 规则依赖: 防火墙仅能基于已知规则检测

• 0day漏洞: 新型攻击手段无法被现有规则识别

• 解决方案:

  • 配备安全服务团队（安服）

  • 重点单位需持续安全运维（金融/政府等）

3）安全设备可能误判流量

• 误报处理: 需人工介入分析误判流量

• 运维要求: 安全人员需及时调整策略

4）隐藏的安全风险

• 

• 双重不确定性:

  • 认证用户可能实施内部攻击

  • 通过防火墙的流量可能包含新型威胁

• 检测技术局限:

  • 传统基于

    IP/端口/特征IP/端口/特征IP/端口/特征

    的检测已不足

  • 无法识别供应链攻击等复杂威胁

3. 应用控制策略

1）应用检测和控制策略概述

• 

• 核心功能：通过检测和控制终端应用访问行为来保障内网安全

• 实施依据：根据企业/组织的具体安全要求自定义策略

• 典型场景：禁止上班时间访问与工作无关的应用（如游戏、视频等）

2）非法应用的访问控制

• 定义标准：由管理员根据实际环境定义，常见包括：

  • 即时通讯类：QQ、微信等

  • 下载工具类：迅雷等P2P软件

  • 视频娱乐类：优酷、抖音、爱奇艺等

  • 网络游戏类：QQ斗地主等

• 控制方式：完全阻断连接，使其无法访问服务器

3）终端软件的分类

• 分类依据：根据软件连接服务器的特征

  • 浏览器类：

    • 服务器不固定，随用户访问需求变化

    • 每日访问的网站可能完全不同

  • 非浏览器类：

    • 包括操作系统、游戏、聊天、视频等软件

    • 连接固定的专属服务器（如QQ只连接腾讯服务器）

• 管理差异：非浏览器类更易控制，可通过阻断固定服务器实现

4）针对不同应用的安全策略

• 带宽管理：

  • 下载类应用（如迅雷）限制带宽（如5M/10M）

  • 关键业务保障最低带宽

• 访问控制：

  • 办公软件（如Office365）完全放行

  • 代码管理工具（如Git）限制使用范围

5）非法应用的过滤

• 技术原理：基于五元组（源/目的IP、源/目的端口、协议类型）过滤

• 实施特点：

  • 对固定服务器应用可"一刀切"阻断

  • 浏览器类需配合URL过滤等补充措施

6）可疑应用的扫描与检查

• 典型应用：

  • 远程桌面访问（需IPS扫描）

  • SSH协议访问（需IPS扫描）

  • 网银操作（需IPS扫描）

  • 云存储（如百度云盘需防病毒扫描）

• 检测指标：

  • 异常登录行为（如多次失败尝试）

  • 恶意流量特征

7）合法应用的管理

• 典型应用：

  • 网页浏览（HTTP）

  • 邮件收发（Foxmail）

  • 办公协作（Office365）

• 管理措施：

  • 基础功能保障

  • 必要时进行带宽限制（防止影响核心业务）

4. 基于应用的控制策略

• 实现基础：依赖深度包检测（DPI）技术识别应用类型

• 策略维度：

  • 访问权限控制（允许/禁止）

  • 安全扫描要求（病毒/入侵检测）

  • 服务质量保障（带宽限制/优先级）

5. 基于服务的控制策略

1）基本概念

• 

• 双向控制特性：应用控制策略可对应用/服务的访问进行双向控制，包括入站和出站流量。

• 默认策略：NGAF防火墙存在一条默认拒绝所有服务/应用的控制策略。

2）基于应用的控制策略

• 匹配机制：通过匹配数据包特征（如P2P下载流量、视频流量等应用行为特征）进行过滤。

• 延迟判断：需要一定数量的包通行后才能判断应用类型，再进行拦截动作判断。

• 识别局限性：

  • 只能识别应用类型（如视频流量、即时通讯等），无法精准识别具体应用（如区分抖音、优酷等）。

  • 举例：P2P下载流量可能来自迅雷、Steam等不同软件，但只能识别为P2P类型。

3）基于服务的控制策略

• 五元组匹配：通过精确匹配数据包的五元组（源地址、目的地址、源端口、目的端口、协议号）进行过滤。

• 即时判断：对任何数据包可以立即进行拦截动作判断，无需等待多个数据包。

• 精准性优势：相比基于应用的策略，能更精准地识别和过滤特定服务流量。

7. WEB过滤

1）应用程序访问特性

• 双向控制机制: NGAF防火墙通过默认拒绝所有服务/应用的策略实现双向访问控制

• 应用识别差异:

  • 基于应用的控制: 需分析数据包特征，需一定数量包通过后才能判断应用类型（如QQ流量特征）

  • 基于服务的控制: 通过五元组（源/目的地址、端口号、协议号）立即判断，典型如银行客户端固定端口访问

• 端口固定性: 多数应用程序内置固定服务器IP和端口（如旧版QQ使用8000端口），但存在版本更新导致特征变更的情况

2）加密与隧道技术对过滤的影响

• 加密流量处理:

  • 基础限制: 加密后设备仅能读取网络层基础数据（如新生成的IP头和随机端口号）

  • 特征分析应对: 当原始应用端口被加密隐藏时，需通过流量特征进行基础分类控制

• 隧道技术影响:

  • 封装机制: VPN等技术会在原始数据包外新增网络层/传输层头

  • 识别失效: 隧道内加密数据使原始应用端口不可见（如QQ大改版后数据包结构变化）

3）WEB过滤概述

• 

• 控制对象: 专门针对浏览器访问行为进行管控

• 双重过滤机制:

  • URL过滤: 实现域名级访问控制（如禁止访问赌博类网站）

  • 文件过滤: 监控用户上传/下载文件内容（如防止公司机密外泄）

4）URL过滤

• 分类库应用:

  • 预置分类: 防火墙内置域名分类库（如百度归为搜索引擎，CSDN归为IT技术类）

  • 法律合规: 自动过滤反动、色情等违法内容，规避法律风险

• HTTPS处理:

  • 特殊支持: 可对加密的HTTPS URL进行过滤（不同于传统仅HTTP过滤）

  • 动作区分: 支持按GET/POST等HTTP方法设置不同过滤策略

5）文件过滤

• 

• 三重验证机制:

  • 文件一致性检查: 验证文件扩展名与实际内容是否匹配（如伪装成图片的病毒）

  • 关键词扫描: 检测文件中是否包含敏感信息（如身份证号、银行账号）

  • 智能内容分析: 通过语义分析识别潜在风险内容（如含攻击性言论的文档）

• 典型应用场景:

  • 上传管控: 防止论坛用户上传恶意文件（如带宏病毒的Office文档）

  • 下载防护: 阻断含木马的软件安装包下载（如盗版软件站点）

9. 网关杀毒技术

1）计算机病毒

• 

• 法律定义：根据1994年《中华人民共和国计算机信息系统安全保护条例》，计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。

• 主要特征：

  • 隐蔽性：病毒通常隐藏在其他程序中

  • 传染性：能够自我复制传播

  • 破坏性：可能破坏功能或数据

  • 繁殖性：能够自我复制

  • 潜伏性：可能长时间不发作

  • 不可预见性：新病毒难以预测

• 恶意代码多样性：并非所有恶意代码都以破坏数据为目的，如木马和僵尸病毒主要目的是控制设备而非破坏。

2）计算机病毒工作步骤

• 

• 潜伏阶段：感染后不会立即爆发，尽可能不被安全软件发现

• 触发条件：

  • 远程服务器指令

  • 特定协议运行（如邮件协议端口打开）

  • 计时器到达设定时间

  • 特定程序执行

• 传染阶段：通过协议传播或复制到其他应用程序/磁盘位置

• 爆发阶段：

  • 勒索病毒：加密数据并锁定系统

  • 僵尸病毒：与黑客服务器建立连接

  • 木马：伪装正常进程后台运行

3）杀毒软件的发展历程

• 

• 单机版杀毒软件：

  • 需要手动更新病毒库

  • 防护能力随黑客技术进步而减弱

• 联网版杀毒软件：

  • 实时更新病毒库

  • 双重检测机制：

    • 代码特征检测（危险代码识别）

    • 行为特征检测（异常操作监控）

  • 发现新威胁可快速全网同步

• 杀毒网关：

  • 在网络边界拦截病毒

  • 保护无法安装杀毒软件的设备（如工业生产线）

  • 构建全网立体防护体系

4）网关杀毒功能优势

• 

• 应用层过滤：针对应用数据中的病毒进行检测

• 主动防御：将病毒拦截在网络外部

• 管理便捷：部署简单，维护成本低

• 联动防护：与终端杀毒软件形成多层防护

• 协议支持：支持HTTP、FTP、SMTP/POP3等多种协议

5）网关杀毒实现方式

• 

• 代理扫描方式：

  • 将数据报文转交网关协议栈

  • 完整缓存文件后进行病毒检测

  • 检测精度高但资源消耗大

  • 无法处理加密数据

• 流扫描方式：

  • 基于状态检测和协议解析技术

  • 提取文件特征与本地签名库匹配

  • 资源消耗较小但精度较低

  • 适用于加密数据检测

  • 

• 多协议支持：HTTP、FTP、邮件协议等

• 多进程并行：不同协议由专门进程处理

• 智能学习：持续更新病毒特征库

6）网关杀毒配置思路

• 

• 策略配置步骤：

  • 新建策略

  • 选择适用对象（IP组/用户）

  • 选择杀毒协议（HTTP/SMTP/FTP等）

  • 选择文件类型（文档/程序/图片等）

• 效果展示：

  • 邮件杀毒：拦截可疑邮件附件

  • HTTP杀毒：检测并阻断含病毒网页

10. 僵尸网络检测和防御技术

1）僵尸网络

• 

• 定义: 由黑客通过分布式拒绝服务攻击程序控制的沦陷机器网络，这些被控制的机器称为"僵尸电脑"或"肉鸡"。

• 组成方式:

  • 通过僵尸病毒感染主机形成一对多控制网络

  • 蠕虫病毒也可用于组建僵尸网络，因其传播效率极高

• 攻击方式: 组织控制节点发送伪造包或垃圾数据包，使目标瘫痪并"拒绝服务"

• 传播特点:

  • 蠕虫病毒可通过猜测用户名密码传播

  • 还可通过邮件、FTP、文件共享等多种方式传播

  • 甚至存在通过API感染的蠕虫变种

2）传统防毒墙和杀毒软件的限制

• 传统防毒墙和杀毒软件对木马、蠕虫、僵尸病毒的查找能力有限

  • 

  • 检测局限: 在APT(高级持续性威胁)场景下效果有限

  • 原因:

    • 黑客会确保新病毒无法被现有安全设备检测到

    • 运营商部署的安全设备会拦截已知恶意代码

• 黑客使用新技术编写病毒代码以规避检测

  • 技术对抗:

    • 黑客持续更新病毒代码避免被查杀

    • 定期更换C&C服务器地址

  • 防御难点: 边界安全设备难以检测新型恶意代码

• 木马、僵尸病毒、蠕虫的传播感染方式

  • 感染流程:

    • 黑客投放木马感染终端

    • 受感染主机连接C&C(命令与控制)服务器

    • C&C服务器下发指令让终端扫描局域网

    • 感染更多主机形成僵尸网络

  • C&C服务器特点:

    • 使用DGA(域名生成算法)生成不规则域名

    • 背后无正规机构支持

• 恶意代码的更新与安全设备的升级

  • 持续对抗:

    • 黑客会更新代码和服务器地址

    • 安全设备需及时更新规则库

• 感染恶意代码后的解决措施

  • 清除方法:

    • 电脑: 清空磁盘重装系统

    • 手机: 恢复出厂设置或刷机

3）僵尸网络检测和防御技术

• 命令和控制服务器

  • 检测方法:

    • 分析终端连接的服务器域名特征

    • 监测内网多设备同时连接非常见域名

    • 检测异常外联行为模式

• 其他检测方式

  • 

  • 检测技术:

    • 与安全机构合作共享C&C服务器情报

    • 通过DGA算法特征识别未知僵尸网络

    • 检测危险外联方式(如使用IRC协议)

    • 发现标准端口传输非标准协议(如80端口传RDP)

    • 监测对外CC攻击行为

    • 检测异常文件传播和shellcode发送

    • 分析下载文件与后缀名不符情况

    • 监控上下行流量异常比例

  • 端口异常检测:

    • 标准端口(≤1024)应传输对应协议

    • 如53端口应为DNS，80端口应为HTTP

    • 异常协议传输表明潜在威胁

  • 流量异常检测:

    • 内网正常以下载流量为主

    • 异常上传行为(非正常应用)需警惕

    • 不明进程大量外发数据为危险信号

4）检测示例

• 对可能导致威胁的URL的检测与拦截

  • 

  • 检测范围：针对防护区域发出的外发流量和收到的请求数据进行全面检测

  • 重点检测对象：包含木马远控、网页挂马、病毒下载链接等恶意URL

  • 处理方式：对确认的恶意链接进行实时检测和拦截

  • 移动端差异：主要针对安卓系统，苹果系统由于生态封闭基本不需要此类检测

• 移动端安卓安装包的安全检测

  • 检测机制：采用一刀切策略，所有未知来源APK安装包都会提示风险

  • 现状问题：无法准确区分真正恶意APK和正常APK，存在误报情况

  • 生态对比：安卓开放生态导致安全风险显著高于苹果封闭生态

  • 实际案例：学生自制的2048游戏APK也会被误报为病毒

• 非标准端口与异常协议的检测

  • 检测原理：监控非标准端口运行的异常协议（如3000端口运行远程桌面协议）

  • 攻击检测：能够发现内网向外网发起的DoS攻击等异常行为

  • 启发式检测：采用行为分析而非单纯特征匹配，可发现新型攻击

• 恶意链接匹配流程

  • 

  • 匹配顺序：

    • 先匹配白名单，匹配成功则直接放行

    • 未匹配白名单则匹配黑名单，匹配成功则拦截

    • 都未匹配则上报云端分析

  • 云端处理：检测出恶意行为后，将更新黑名单并下发到本地设备

  • 执行动作：根据预设策略自动执行放行或拦截操作

• 云端沙盒检测技术

  • 

  • 工作原理：在虚拟环境中模拟真实计算场景（如Win10系统）执行可疑文件

  • 行为监控：检测文件操作、进程行为、网络活动、注册表修改等危险行为

  • 结果处理：

    • 无异常行为则加入白名单

    • 发现异常则加入黑名单并拦截

  • 安全机制：沙盒崩溃后可快速重建，通过快照恢复确保检测连续性

  • 逃逸风险：存在沙盒逃逸技术但极为罕见，主要针对高价值目标

• 异常流量检测

  • 检测方法：分析网络层和应用层行为与安全模型的偏离度

  • 优势特点：能够发现特征匹配无法识别的隐蔽攻击

  • 检测范围：包括但不限于外发流量异常、DoS攻击等

5）终端安全检测和防御技术内容小结

• 防护重点：

  • 应用程序控制：规范用户访问的网站

  • 流量检查：监控内外网流量中的病毒和威胁

• 核心能力：病毒检测和网站访问控制两大方面