APT

深度包检测技术：将应用层内容展开进行分析，根据不同的设定从而做出不同的安全产品。

深度流检测技术：与APS画像类似。会记录正常流量行为，也会将某些应用的行为画像描述出来。也可将加密流量进行判断，并执行相应措施。

1、什么是APT攻击？

指一种高度专业化的网络攻击形式，攻击者利用专业知识和技术手段，通过长时间的持续攻击，窃取机密信息、破坏网络安全或进行其他有害活动。APT攻击通常是有组织、有针对性的，攻击者会经过精心策划和长时间准备，采用多种攻击手段和技术，以达到其攻击目的。

2、特点

（1）高度专业化：

攻击者拥有先进的技术和专业知识，能够深入挖掘漏洞、规避防御措施，并利用各种手段进行攻击。

（2）长时间持续性攻击：

APT攻击是一种长期持续的攻击，攻击者会在较长时间内悄悄地进行攻击，以避免被发现和防御。

（3）针对性强：

APT攻击通常是有目的和针对性的，攻击者会针对特定目标进行攻击，并采取专门的攻击手段和技术。

（4）多重手段攻击：

APT攻击会采用多种攻击手段，如漏洞利用、社会工程学攻击、恶意软件等，以达到其攻击目的。

3、目的

APT是黑客以窃取核心资料为目的，针对客户发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为长期的经营与策划，并具备高度隐蔽性。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性的窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。

4、APT攻击的生命周期

（1）阶段一：侦察

攻击者收集目标信息，包括网络拓扑结构、系统和应用程序漏洞、系统和应用程序的弱点等。这个阶段的攻击方式包括电子邮件钓鱼、社交网络工程和网络扫描等。

（2）阶段二：投递

攻击者使用恶意软件传递技术将恶意软件传递到目标计算机上，这可能包括使用USB驱动器、恶意文档、电子邮件附件等方法。

（3）阶段三：植入

在投递恶意软件之后，攻击者将恶意软件植入目标计算机或网络中。这个阶段通常涉及使用漏洞、社交工程或钓鱼攻击等方式利用系统或应用程序的弱点。

（4）阶段四：控制

在恶意软件植入目标计算机或网络之后，攻击者可以通过远程访问控制（RAT）、远程访问工具（RAT）和其他方法来控制计算机或网络。

（5）阶段五：操作

在攻击者获得对目标系统的控制权之后，他们可以执行任意操作，包括窃取敏感信息、进行侦察、运行其他恶意软件、攻击其他目标等。

（6）阶段六：持久性

在攻击者获得对目标系统的控制权之后，他们可能会尝试保持对目标系统的控制权，以确保继续访问敏感信息并继续攻击其他目标。

（7）阶段七：擦痕

最后，在攻击者完成他们的任务后，他们可能会试图清除与攻击相关的任何痕迹，以防止被发现。这个阶段包括删除日志文件、清除恶意软件和关闭后门等。

5、APT与反病毒的差异

（1）反病毒：

通常是将病毒文件的特征与病毒特征库进行对比来识别一个文件是否为病毒文件。这种防御方式具有一定的局限性，只能针对已知病毒进行防御，无法识别未知攻击。

（2）区别：APT防御机制与反病毒不同

APT防御和反病毒都是保护计算机系统安全的关键方法，但两者的差异在于其处理安全威胁的方式和重点。反病毒主要通过检测病毒、恶意软件等已知威胁的特征码，来保护计算机系统的安全，而APT防御则主要针对未知威胁，通过分析威胁行为，制定相应的防御策略。

（3）特点：

• 反病毒主要关注于已知威胁的防御，它会不断地升级病毒库，检测计算机系统中的病毒、恶意软件等特定的已知威胁。一旦发现特定的病毒或恶意软件，反病毒软件会立即进行拦截或者隔离。
• APT防御则主要关注未知威胁的防御，通过使用沙箱技术、流量分析等多种手段，来检测网络中的异常行为。一旦发现异常行为，APT防御系统会通过实时监测、流量分析等技术，分析威胁行为的特征，并及时进行相应的防御措施。同时，APT防御也会关注网络中的恶意程序、漏洞利用等攻击手段，并对其进行相应的防御。

（4）总结：

反病毒系统时以被检测对象的特征来识别攻击对象，而APT防御系统是以被检测对象的行为来识别攻击对象。

6、防御APT

（1）最有效方法：沙箱技术

<1> 概念：沙箱技术是指在计算机系统中创建一个隔离的、受控的运行环境，用来执行未知、不受信任的程序或代码，以便分析它们的行为、检测恶意行为和漏洞，从而保护系统和数据的安全。

<2> 分析方法：

• 静态分析中，分析人员将文件上传到沙箱中，并对其进行扫描、解析和分析，以查找其中是否包含恶意代码
• 动态分析中，恶意文件或代码被在沙箱环境中运行，沙箱记录程序的行为并生成报告，以便进行进一步的分析和调查。

（2）防御过程：

1. 黑客（攻击者）向企业内网发起APT攻击，FW从网络流量中识别并提取需要进行APT检测的文件类型。
2. FW将攻击流量还原成文件送入沙箱进行威胁分析。
3. 沙箱通过对文件进行威胁检测，然后将检测结果返回给FW
4. FW获取检测结果后，实施相应的动作。如果沙箱分析除该文件是一种恶意攻击文件，FW侧则可以实施阻断操作，防止该文件进入企业内网，保护企业免遭攻击。

7、沙箱处理流程

（1）流量过滤：

先通过一些基本的过滤规则，如黑名单、白名单等，将可能的恶意流量过滤掉，以减轻后续处理的负担，提高处理效率。

（2）会话重组：

对于 TCP 和 UDP 等可靠和不可靠传输协议，会话重组是将同一会话的多个数据包进行重新组装，以便后续处理能够对完整的会话进行分析。

（3）协议解析：

对网络流量进行协议分析，根据流量的协议类型，将其交给相应的协议分析模块进行分析，如 HTTP 流量分析、SMTP 流量分析等。

（4）行为分析：

通过对协议数据包的解析和会话重组，对网络流量进行深入的分析和行为检测，以便发现可能的恶意行为。行为分析可以包括以下方面：

• 恶意代码的动态行为分析
• 网络连接行为分析
• 文件行为分析
• 协议异常行为分析
• 用户行为分析

（5）恶意代码分析：

对发现的可能的恶意代码进行解码和反混淆，以便更好地理解其行为和实现方式，以及为后续处理提供参考。

（6）风险评估：

根据行为分析和恶意代码分析的结果，对流量进行风险评估，以便做出最终的处理决策。

（7）处理结果：

根据风险评估的结果，对恶意流量进行相应的处理，如封锁、隔离、删除等。同时，将处理结果记录到日志中，以便后续查询和分析。

8、配置APT防御

（1）升级文件信誉库

<1> 根据沙箱类型确认license状态

• 云沙箱：依赖云沙箱检测License，请确认购买并成功激活支持文件信誉特征库升级服务的云沙箱检测license。
• 本地沙箱：不依赖license

<2> 升级文件信誉特征库

• 在线升级
• 本地升级

<3> 升级文件信誉热点库

• 文件信誉热点库：包含了华为安全中心最新发布的文件信誉信息，通过更新此热点库，防火墙可以有效识别并及时阻断网络中新出现的威胁文件。

（2）配置web信誉

添加可信/可疑网站

（3）本地沙箱联动

企业内网用户通过FW和路由器连接到Internet，企业内网中部署了本地沙箱，且本地沙箱与FW路由达。配置FW与本地沙箱联动，将FW识别出来存在风险的流量送往本地沙箱进行检测，FW定期去本地沙箱上获取检测结果，并根据检测结果更新设备缓存中的恶意文件和恶意URL列表，当具有相同特征的后续流量命中恶意文件或恶意URL列表时，直接进行阻断等处理，保护内网用户免受APT攻击。

• 选择“对象 > 安全配置文件 > APT防御 > 沙箱联动配置”。

• 配置本地沙箱

• 配置APT防御文件

• 配置APT防御文件名称及描述

• 配置沙箱检测相关参数

• 安全策略中引入APT防御配置文件

• 结果验证

【1】选择“对象 > 安全配置文件 > APT防御 > 沙箱联动配置 > 本地沙箱”，查看本地沙箱的连接状态为“连接成功”。

【2】点击“连接状态”后面的“登录本地沙箱”，登录本地沙箱后查看已经提交到本地沙箱的文件及检测结果。

（4）云沙箱联动

前6步与本地沙箱联动一致

• 配置沙箱检测相关参数

• 在安全策略中引入APT防御配置文件

• 结果验证

【1】在“对象 > 安全配置文件 > APT防御 > 沙箱联动配置 > 云沙箱”查看连接状态为连接成功

【2】用云账户huawei登录isecurity.huawei.com，查看该FW往云沙箱提交过的文件的检测结果。

二、密码学

1、概述：

密码学之于信息传输 --- 在不安全的环境下建立信息传输通道

密码---明文-->算法+密钥--->密文

举例：
明文 ok
凯撒密码
算法：对字母进行平移可以左也可以右，移动若干位
密钥：向右平移3个字母
密文 rn

2、密码的分类

（1）对称加密

<1> 加解密用同一个密钥，数学角度是一个双向函数；对称加密要保证算法足够复杂以及密钥传输足够安全

<2> 加密信息传递有两个通道：

• 密文传输通道
• 密钥传输通道

对称加密算法解决信息的安全传输通道

（2）非对称加密算法 --- （互联网时代我们希望能够在网上公开途径传递密钥）

diff和hellmen开创了非对称加密算法 --- DH算法

非对称加密算法解决对称加密算法密钥的安全传输通道

（3）DH算法解决了公开场合的密钥传递问题

<1> 对称和非对称的优缺点：

• 对称加密：速度快，密钥不安全
• 非对称加密：速度慢，密钥安全

<2> 最佳解决：用非对称加密算法去传递对称加密算法的密钥，保证传递过程中对称密钥不会泄露。  

3、非对称加密产生的过程及原因

（1）对称加密的困境

密钥安全传输 ---- 对称加密算法的缺陷

• 密钥传输风险

密钥传输时需要使用安全信道传输对称密钥，但是消息传输的通道是不安全的。

• 密钥管理难

如果没有非对称加密，百度企业和用户做安全传输时，至少需要保存3-5亿个密钥。

非对称算法只需要一把公钥，对称需要亿以上的密钥。

（2）常见算法

• 对称

• 非对称

（3）机密性最佳解决方案：用非对称加密算法加密对称加密算法的密钥

（4）完整性与身份认证的最佳解决方案：

• 核心原理：私钥加密，公钥解密
• 过程：

对明文a进行hash运算得到定长值h，然后对h进行非对称运算用私钥加密得到值k，然后对明文值a进行对称运算得到y，传输时同时传输给y和k，收到后用非对称公钥解开k得到h`，然后用堆成算法解开y得到a，然后对a进行hash得到h``，如果h`与h``相同， 则证明完整性与身份认证。

4、密码学的应用

（1）身份认证技术的应用

• 身份认证：通过标识和鉴别用户身份，防止攻击者假冒合法用户来获取访问权限
• 身份认证技术：在网络总确认操作者身份的过程产生有效的解法。

（2）如何确认信息发送者是本人？

• 传输方传送公钥的环节确保是安全的
• 证明传输方的公钥一定是传输方的

5、漏洞

（1）漏洞查出：

• 黑客攻击：替换Alice的公钥

（2）解决方案：可信机构提供数字证书

公钥的《身份证》 ---- 数字证书

（3）CA可信度 --- PKI体系

<1> PKI体系

• 概念：是一种遵循标准的利用非对称加密技术为电子商务的开展提供一套安全基础平台的技术和规范。

简单来说就是利用公钥技术建立的提供安全服务的基础设施。通过第三方的可信机构，CA认证中心把用户的公钥与用户的其他标识信息捆绑在一起放在用户证书中，在互联网上验证用户身份。

• 作用：PKI是创建、办法、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书，核心执行代码是CA认证机构。

<2> CA中心

• 概念：即证书授权中心（Certificate Authority），或称证书授权机构，作为电子商务交易中受信任的第三方。

6、认证 --- 数字证书

（1）包含：

• 用户身份信息
• 用户公钥信息
• 身份验证机构的信息及签名数据

（2）分类：

• 签名证书 --- 身份验证，不可抵赖性
• 加密证书 --- 加密，完整性与机密性

7、密码学完整应用

附：8、SSL协议分析

SSL协议是由美国网景通信（Netscape）公司自1990年开发，用于保证WWW通信安全。

（1）无客户端认证的握手过程

<1> 可能遭受到的攻击：重放攻击

重放攻击(Replay Attacks)又称重播攻击、回放攻击，是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。

<2> PreMasterKey密钥参数：合成对称密钥的前置数值

<3> 初始化向量：

（2）有客户端认证的握手过程

（3）会话恢复过程（之前已经建立过会话，再次进行数据传输）

（4）SSL协议的细节

<1> 协议位置

<2> 体系结构

<3> SSL两个概念

• 连接：一个连接是一个提供一种合适类型服务的传输（OSI分层的定义）。SSL是点对点的关系。连接是暂时的，每一个连接和一个会话关联。
• 会话：一个SSL会话是在客户与服务器之间的一个关联。会话由handshake protocol创建。会话定义了一组可供多个连接共享的密码安全参数。会话用以避免为每个连接提供新的安全参数所需的昂贵的协商代价。