一、终端安全风险
二、终端安全检测和防御技术
1.传统安全防御的局限性(问题背景)
1.1核心问题
“通过认证的用户就合法吗?” → 否!潜伏黑客/内部恶意用户会利用合法身份渗透。
“通过防火墙的流量就安全吗?” → 否!传统防火墙基于IP/端口/协议(五元组)过滤,无法识别应用层威胁(如隐藏在HTTP中的恶意软件)。
1.2新型威胁场景
Oday漏洞:未公开的漏洞,无特征库可防御。
异常行为伪装:黑客模仿正常流量(如OA系统访问),窃取数据或横向移动。
应用层风险:合法应用(如迅雷、QQ)可能被滥用传输数据或作为C2通道。
2.终端安全核心技术:深度应用识别与管控
2.1. 深度数据包检测(DPI)
原理:解析网络包第7层(应用层)内容,识别具体应用(如区分“微信文件传输” vs “微信视频通话”)。
优势:
识别伪装流量(如木马伪装成百度云盘流量)。
基于应用特征而非端口/IP过滤(如阻断“迅雷下载”但允许“HTTP网页”)。
技术难点:需解析加密流量(如HTTPS),需SSL解密或基于SNI/TLS指纹识别。
2.2 应用控制策略
策略类型:
| 类型 | 匹配依据 | 动作速度 | 示例 |
|---|---|---|---|
| 基于服务 | 五元组(IP/端口/协议) | 即时拦截 | 阻断SSH端口 |
| 基于应用 | 数据包特征(需多包分析) | 延迟拦截 | 识别“QQ斗地主”后阻断 |
2.3 WEB过滤与内容安全
关键技术:
URL过滤:拦截恶意网站(如钓鱼链接),支持HTTPS URL识别(基于SNI或证书)。
文件过滤:阻断危险文件下载(如.exe勒索软件)。
HTTP动作管控:针对POST(上传)、GET(下载)设置不同策略。
三、网关杀毒技术
1.计算机病毒
1.1 病毒定义(法律依据)
《计算机信息系统安全保护条例》:病毒是能破坏计算机功能/数据、自我复制的程序代码。
1.2 病毒工作四阶段(生命周期)
| 阶段 | 触发条件 | 行为 | 防御关键点 |
|---|---|---|---|
| 潜伏期 | 病毒植入系统 | 隐藏自身,避免检测 | 行为监控(异常进程/注册表) |
| 传染期 | 用户执行宿主程序 | 复制自身到其他文件/磁盘 | 实时文件扫描 |
| 触发期 | 特定条件(如日期) | 激活破坏机制 | 启发式分析(预测行为) |
| 发作期 | 触发机制满足 | 删除数据/加密文件/网络攻击 | 隔离受损终端 |
📌 示例:勒索病毒在潜伏期感染文件 → 用户打开文件触发传染 → 72小时后触发加密 → 发作期勒索比特币。
2.传统杀毒方案的局限性
2.1. 防御模式对比
| 类型 | 部署方式 | 缺陷 | PPT引用 |
|---|---|---|---|
| 单机版杀毒 | 每台终端独立安装 | 更新不及时导致防护缺口 | “管理员分身乏术,需确保每台终端升级” |
| 网络版杀毒 | 服务器统一管理 | 内网传播病毒无法拦截 | “短板效应:一个节点未更新即全网沦陷” |
| 杀毒网关 | 网络边界统一防护 | 需结合终端防护形成纵深防御 | “建立立体化反病毒体系” |
2.2 核心问题
被动响应:依赖特征库更新,无法应对0day病毒。
管理成本高:需覆盖所有终端,企业网络存在盲点。
3.网关杀毒技术原理与优势
3.1 核心价值
“御敌于国门之外” – 在病毒进入企业网络前拦截
部署位置:网络出口(Internet ↔ 内网交界处)
防护对象:所有进出网关的数据流(HTTP/FTP/邮件等)
3.2.技术优势(PPT提炼)
| 优势 | 技术支撑 | 效果 |
|---|---|---|
| 基于应用层过滤病毒 | 深度解析HTTP/FTP/SMTP协议 | 识别伪装成正常流量的病毒 |
| 阻断病毒传输 | 实时扫描+主动拦截 | 减少90%内网感染风险 |
| 与终端杀毒软件联动 | 同步威胁情报(如病毒哈希值) | 形成“网关+终端”双层防护 |
| 低维护成本 | 集中管理策略,无需终端逐个更新 | 提升企业运维效率 |
4. 网关杀毒两大实现方式
4.1 代理扫描
特点:
深度检测(可解压嵌套文件)
延迟较高(需缓存完整文件)
资源消耗大
4.2流扫描
主要针对哪些网络协议生效
- HTTP:当你通过浏览器浏览网页,进行文件下载(比如从网页下载文档、安装包)或上传(比如往网页服务器传图片、资料 )时,流扫描会对 HTTP 协议传输的这些数据检查,看有没有带病毒。
- FTP:用 FTP 协议传文件(像从 FTP 服务器下载、往服务器上传文件 ),流扫描会扫描传输过程里的文件,排查病毒。
- SMTP/POP3:涉及邮件收发,发邮件用 SMTP 协议,收邮件常用 POP3 协议,流扫描会过滤邮件里的附件,防止带病毒的附件通过邮件传播 ,简单说就是流扫描在这些协议的应用场景里发挥病毒检测作用,守护网络安全 。
特点:
实时性强(毫秒级响应)
依赖高效特征库(无法检测多态病毒)
资源占用低
5.网关杀毒配置思路
四、僵尸网络检测和防御技术
1.僵尸网络本质与威胁
1.1. 核心定义
僵尸网络(Botnet):黑客通过恶意程序控制的大规模沦陷主机集群(俗称“肉鸡”)
攻击目标:发起DDoS攻击、发送垃圾邮件、窃取数据、挖矿等
1.2典型危害
1.3 僵尸网络攻击流程:
- 黑客(僵尸主控)把木马投放到网络,感染终端设备(比如通过垃圾邮件、恶意链接 )。
- 被感染主机连到 C&C 服务器(命令控制服务器 ),接收黑客指令。
- C&C 服务器指挥被感染主机,扫描网络、感染更多设备,壮大僵尸网络。
- 越来越多主机被拉进僵尸网络,集体连 C&C 服务器听指挥。
- 黑客还能通过 C&C 服务器,给僵尸网络更新恶意代码,让攻击持续、变花样。
从这 4 类途径入侵,对应检测技术:
| 攻击入口 | 检测逻辑 | 落地技术 |
|---|---|---|
| 恶意链接 | 网页 / 邮件里的链接藏木马,点了就中毒 | 黑白名单匹配(先放白、拦截黑、云端兜底) |
| 木马远控 | 黑客用远程工具控制你设备,当 “傀儡” | 检测设备收发的数据包,识别远控特征 |
| 移动安全 | 手机 / 平板装恶意 APP,变成移动僵尸 | APK 杀毒、移动僵尸网络行为分析 |
| 异常流量 | 设备疯狂发流量(DDoS 攻击、外传数据) | 检测非标准端口、反 |
核心检测技术
1. 恶意链接检测(黑白名单 + 云端协同)
- 流程:先查白名单(信任的链接直接放)→ 再查黑名单(违规链接拦截)→ 都不匹配就丢给云端分析(AI 判断是否恶意)。
- 关键:黑名单要 “实时更新” (新钓鱼、挂马链接秒级入库),靠 “云端扩充” 保证拦截最新威胁。
2. 云端沙盒检测(未知威胁克星)
- 原理:把可疑文件 / 流量丢到 “虚拟沙盒环境”(模拟真实系统),看它干了啥坏事(删文件?改注册表?连黑客服务器?)。
- 流程:设备上报可疑流量→云端沙盒执行→生成检测报告→把 “识别规则” 下发给所有设备,一个地方发现威胁,全网免疫。
3. 异常流量检测(行为分析 + 阈值判断)
- 检测啥:
- 流量炸弹:Syn flood、ICMP flood(设备疯狂发请求,撑爆服务器);
- 违规外联:非标准端口传奇怪协议(比如 80 端口传 RDP 远程协议);
- 数据外传:设备偷偷发大量数据(比如把你文件传到黑客服务器)。
- 怎么判:对比 “安全模型”,一旦流量行为(发包频率、协议类型)偏离正常,立刻报警。
