入侵檢測有以下三種算法:
誤用檢測算法:該算法基本原理就是將已知的入侵行為和企圖進行特征抽取,提供共同模式并編寫規則庫,再將監測到的網絡行為與庫進行模式匹配,如果特征相同或者相似,就認為入侵行為或者企圖,并觸發警報。
異常檢測算法:異常檢測是通過建立一個主體正常行為的模型,將攻擊行為作為異常活動從大量的正常活動中檢測出來,達到對攻擊行為檢測的目的,其顯著優點是對未知攻擊的檢測;
人工智能算法:人工智能算法一般采用免疫方法和神經網絡算法,免疫方法是識別自己和非己來進行檢測,神經網絡是模擬人工神經元互聯而設計的網絡來進行檢測。
挖礦木馬的傳播方式如下:
利用漏洞
Windows系統漏洞、服務器組件插件漏洞、中間件漏洞以及web漏洞;redis、ssh、3389、mssql、IPC$等各種弱口令漏洞。利用系統漏洞或弱口令快速獲取相關服務器權限,植入挖礦木馬。
使用NSA武器
“方程式黑客組織”使用的部分網絡武器被公開,其中包括可以遠程攻破全球約70% Windows系統的漏洞利用工具。包括永恒之藍、永恒冠軍、永恒浪漫、永恒協作、翡翠纖維、古怪地鼠、愛斯基摩卷、文雅學者、日食之翼和尊重審查。黑客NSA武器進行批量漏洞掃描攻擊,獲取更多肉雞,植入挖礦木馬貢獻算力。
無文件挖礦
通過在Powershell中嵌入PE文件加載的形式,達到執行“無文件”形式挖礦攻擊。新的挖礦木馬執行方式沒有文件落地,直接在Powershell.exe進程中運行,這種注入“白進程”執行的方式可能造成難以檢測和清除惡意代碼。
通過弱密碼暴力破解傳播
挖礦木馬會通過弱密碼暴力破解進行傳播,但這種方法攻擊時間較長。
利用網頁掛馬
網站在其網頁內嵌了挖礦 JavaScript 腳本,用戶一旦進入此類網站,JS 腳本就會自動執行,自動下載若干個病毒。部分系統存在flash高危安漏洞,也被攻擊者利用,使電腦自動運行挖礦代碼。
暴力挖礦病毒
360 發現了可以迅速傳播的挖礦劫持程序WinstarNssmMiner。這個惡意程序的特別之處在于,卸載它會讓受害者的計算機崩潰。WinstarNssmMiner首先啟動svchost.exe進程并向其植入代碼,然后將該進程的屬性設置為CriticalProcess。由于計算機將其視為關鍵進程,因此一旦強制結束該進程,計算機就會藍屏。
黑吃黑
因為比特幣地址很長,為了方便使用很多人會選擇保存在本地,很多挖礦木馬會帶有劫持剪貼板功能,當監視到受害主機出現比特幣交易時,會將收款錢包替換為自己的錢包地址,從而盜取受害者資產。
利用軟件供應鏈攻擊傳播
軟件供應鏈攻擊是指利用軟件供應商與最終用戶之間的信任關系,在合法軟件正常傳播和升級過程中,利用軟件供應商的各種疏忽或漏洞,對合法軟件進行劫持或篡改,從而繞過傳統安全產品檢查,達到非法目的的攻擊。例如,2018 年 12 月出現的 DTLMiner 是利用現有軟件升級功能進行木馬分發,屬于供應鏈攻擊傳播。攻擊者在后臺的配置文件中插入木馬下載鏈接,導致在軟件升級時下載木馬文件。
利用社交軟件、郵件傳播
攻擊者將木馬程序偽裝成正規軟件、熱門文件等,通過社交軟件或郵件發送給受害者,受害者一旦打開相關軟件或文件就會激活木馬。
UNIX系統的特點主要如下:
高可靠性:UNIX系統主要用在大型機和小型機,這些主機一般都是作為大型企事業單位的服務器使用。而這些服務器一般都是整天工作的,因此對它的可靠性要求是很高的。
極強的伸縮性:UNIX系統不僅僅應用于大型機和小型機,也同樣適用于PC和筆記本電腦,且UNIX系統支持的CPU可以高達32個。
強大的網絡功能:在眾多網絡系統中使用的TCP/IP協議族是事實上的網絡標準。TCP/IP協議族就是在UNIX系統上開發出來的,因此UNIX系統具有強大的網絡功能。
開放性:UNIX系統具有良好的開放性,所有技術說明具有公開性,不受任何公司和廠商的壟斷,這使得任何公司都可以在其基礎上進行開發,同時也促進了UNIX系統的發展。
簡潔精干:“UNIX系統在結構上分為核心程序(kernel)和外圍程序(shell)兩部分,而且兩者有機結合成為一個整體,核心程序的特點是精心設計、簡潔精干,只需占用很小的空間而常駐內存,以保證系統的高效率運行。
清晰靈活:UNIX系統提供了良好的用戶界面,具有使用方便、功能齊全、清晰而靈活、易于擴充和修改等特點,UNIX系統的使用有兩種形式:一種是操作命令,即shell語言,是用戶可以通過終端與系統發生交互作用的界面;另一種是面向用戶程序的界面,它不僅在匯編語言,而且在C語言中向用戶提供服務。
安全保密:UNIX系統的文件系統是樹形結構,它由基本文件系統和若干個可裝卸的子文件系統組成,既能擴大文件存儲空間,又有利于安全和保密。
便于使用:UNIX系統把文件、文件目錄和設備統一處理,它把文件作為不分任何記錄的字符流進行順序或隨機存取,并使得文件、文件目錄和設備具有相同的語法語義和相同的保護機制,這樣既簡化了系統設計,又便于用戶使用。
易于理解:UNIX系統的絕大部分程序是用C語言編程的,只有約占5%的程序用匯編語言編程,C語言是一種高級程序設計語言,它使得UNIX系統易于理解、修改和擴充,并且具有非常好的移植性。
通信簡單:UNIX系統還提供了進程間的簡單通信功能。
下一代防火墻的功能有:
應用識別與控制:下一代防火墻依托先進的應用識別技術,在性能、安全性、易用性、可管理性等方面有了質的飛躍,下一代防火墻一般可識別超過上千種應用程序,而不論應用程序使用何種端口、協議、SSL、加密技術或逃避策略。
用戶識別與控制:通過與認證系統的完美集成,對應用程序使用者實現基于策略的可視化和控制功能。提供基于用戶與用戶組的訪問控制策略,使管理員能夠基于各個用戶和用戶組來查看和控制應用使用情況。在所有功能中均可獲得用戶信息,包括應用控制策略的制定和創建、取證調查和報表分析。管理員亦可將用戶信息編輯成Excel、TXT文件,將賬戶導入,實現快捷的創建用戶和分組信息。 支持多種身份認證方式,幫助組織管理員有效區分用戶,建立組織身份認證體系,進而形成樹形用戶分組,映射組織行政結構,實現用戶與資源的一一對應。下一代防火墻支持為未認證通過的用戶分配受限的網絡訪問權限,將通過Web認證的用戶重定向至顯示指定網頁,方便組織管理員發布通知。
內容識別與管控:下一代防火墻可以將數據包還原的內容級別進行全面的威脅檢測,還可以針對黑客入侵過程中使用的不同攻擊方法進行關聯分析,從而精確定位出一個黑客的攻擊行為,有效阻斷威脅風險的發生,幫助用戶最大程度減少風險短板的出現,保證業務系統穩定運行。通過內容識別技術,下一代防火墻實現了阻止病毒、間諜軟件和漏洞攻擊,限制未經授權的文件和敏感數據的傳輸,控制與工作無關的網絡瀏覽等功能。
流量管理與控制:傳統防火墻的QoS流量管理策略是簡單的基于數據包優先級的轉發,當用戶帶寬流量過大、垃圾流量占據大量帶寬,而這些流量來源于同一合法端口的不同非法應用時,傳統防火墻的QoS無能為力。
下一代防火墻提供基于用戶和應用的流量管理功能,能夠基于應用做流量控制,實現阻斷非法流量、限制無關流量保證核心業務的可視化流量管理價值。首先,下一代防火墻將數據流根據各種條件進行分類(如IP地址,URL,文件類型,應用類型等分類),分類后的數據包被放置于各自的分隊列中,每個分類都被分配了一定帶寬值,相同的分類共享帶寬,當一個分類上的帶寬空閑時,可以分配給其他分類,其中帶寬限制是通過限制每個分隊列上數據包的發送速率來限制每個分類的帶寬,提高了帶寬限制的精確度。
下一代防火墻可以基于不同用戶(組)、出口鏈路、應用類型、網站類型、文件類型、目標地址、時間段進行細致的帶寬劃分與分配,精細智能的流量管理既防止帶寬濫用,提升帶寬使用效率。
分級保護的工作機制包括以下幾方面:
嚴格進行系統測評和審批工作,監督檢查涉密信息系統建設使用單位分級保護管理制度和技術措施的落實情況。
加強涉密信息系統運行中的保密監督檢查。對秘密級、機密級信息系統每兩年至少檢查或者測評一次,對絕密級信息系統每年至少檢查或測評一次。
了解掌握各級各類涉密信息系統的管理使用情況,及時發現和查處各種違規違法行為和泄密事件。
指導、監督和檢查分級保護工作的開展情況。
指導涉密信息系統建設使用單位規范定密,合理確定系統保護等級。
參與涉密信息系統分級保護方案論證工作,指導建設使用單位做好保密設施的同步規劃設計。
依法對涉密信息系統集成資質單位進行監督管理。
UDF提權條件如下:
如果MySQL版本大于5.1, udf.dll文件必須放置于MySQL安裝目錄的libplugin文件夾下。
如果MySQL版本小于5.1, udf.dll文件在Windows Server 2003下放置于c:windowssystem32目錄,在Windows 2000下放置于c:winntsystem32目錄。
掌握MySQL數據庫的賬號,從而擁有對MySQL的insert和delete權限,以創建和拋棄函數。一般以root賬號為佳,具備root賬號所具備的權限的其他賬號也可以。
擁有可以將udf.dll寫入相應目錄的權限。
WAF是指Web應用防護系統,也稱為網站應用級入侵防御系統,英文是Web Application Firewall所以簡稱WAF,比較通俗的說法就是web應用防火墻,是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。Web應用防護系統代表了一類新興的信息安全技術,用以解決諸如防火墻一類傳統設備束手無策的Web應用安全問題。
滲透測試包括以下這些階段:
情報的搜集階段:情報是指目標網絡,服務器,應用程序等的所有信息,如果是黑盒測試,信息搜集階段是最重要的一個階段,一般通過被動掃描或主動掃描兩種技術。
威脅建模階段:如果把滲透測試看做一場對抗賽,那么威脅建模就相當于指定策略。
漏洞分析階段:漏洞分析階段是從目標網絡中發現漏洞的過程。這個階段我們會根據之前搜集的目標網絡的操作系統,開放端口及服務程序等信息,查找和分析目標網絡中的漏洞。這個階段如果全靠人手工進行,那么會非常累。不過Kali Linux 2提供了大量的網絡和應用漏洞評估工具。不光是網絡的漏洞,還要考慮人的因素長時間研究目標人員的心理,以便對其實施欺騙,從而達到滲透目標。
漏洞利用階段:找到目標網絡的漏洞后,就可以對其進行測試了。在漏洞利用階段我們關注的重點是,如果繞過網絡的安全機制來控制目標網絡或訪問目標資源。如果我們在漏洞分析階段順利完成任務,那么我們就可以在此階段準確,順利的進行。漏洞利用階段的滲透測試應該有精確的范圍。這個階段我們主要的目標就是獲取我們之前評估的重要的資產。進行滲透測試時還需要考慮成功的概率和對目標網絡造成的最大破壞。
后滲透攻擊階段:后滲透攻擊階段和漏洞利用階段連接十分密切,作為滲透測試人員,必須盡可能地將目標網絡滲透后可能產生的結果模擬出來。
報告階段:報告階段是滲透測試最后一個階段。要簡單,直接且盡量避免大量專業術語向客戶匯報測試目標網絡出現的問題,以及可能產生的風險。這份報告應該包括目標網絡最重要的威脅,使用滲透數據產生的表格和圖標,以及對目標網絡存在問題的修復方案,當前安全機制的改進建議等。
包過濾防火墻可以實現以下功能:
對跨防火墻的網絡互訪進行控制,對設備本身的訪問進行控制。
保護特定網絡免受“不信任”的網絡的攻擊,但是同時還必須允許兩個網絡之間可以進行合法的通信。安全策略的作用就是對通過防火墻的數據流進行檢驗,符合安全策略的合法數據流才能通過防火墻。
通過防火墻安全策略可以控制內網訪問外網的權限、控制內網不同安全級別的子網間的訪問權限等。同時也能夠對設備本身的訪問進行控制,例如限制哪些IP地址可以通過Telnet和Web等方式登錄設備,控制網管服務器、NTP服務器等與設備的互訪等。
安徽有以下等級保護測評機構:
安徽省信息安全測評中心(安徽省電子產品監督檢驗所)
中國科學技術大學信息安全測評中心
安徽祥盾信息科技有限公司
安徽國康網絡安全測評有限公司
安徽等保信息安全測評技術有限公司
合肥天帷信息安全技術有限公司
安徽溯源電子科技有限公司
安徽信科共創信息安全測評有限公司
信息安全風險評估是參照風險評估標準和管理規范,對信息系統的資產價值、潛在威脅、薄弱環節、已采取的防護措施等進行分析,判斷安全事件發生的概率以及可能造成的損失,提出風險管理措施的過程。當風險評估應用于IT領域時,就是對信息安全的風險評估。
風險評估的每一個步驟都非常重要:
進行風險評估是非常重要的,而且是對于專業性要求比較高的一件事,注意好進行評估的各個步驟,每一個步驟都真實到位,才能夠確保最終出來的評估效果是可靠、準確的。
第一步:風險辨識
進行評估之前,需要先對于每一個業務中的單元、各種相關的活動、以及業務流程里面的重要環節都進行反復的排查與辨識,看看這些項目都有著什么樣的風險,這樣子才能夠在大體上面對于風險情況有一個估計,做出一個基礎的判斷。
第二步:風險分析
在接下來的風險評估第二步,就是在那些有風險辨識度的項目或是流程上面,進行仔細的分析,看看這些風險的特征是什么,并且使用明確的定義來進行描述,從而能夠更為精準,特別是使用數字或是檔位定義來明確這些風險的發生條件、以及風險的程度高低,從而使得人們都能夠對于這些風險的發生可能性、以及所會造成的后果有著更為直觀的認知。
第三步:風險評價
最后一步就是進行風險的最終評價了,也就是進行正式的風險評估,將企業方案、或是運營目標的最終影響程度、以及風險的可能性與價格、可能的后果都進行明確的量化評估,從而使得用戶可以更為明確地了解到自己是否應該繼續這個方案,是否足以承擔相關風險。
內網穿透的英文叫做NAT traversal,又被稱為端口映射或內網映射,內網穿透是網絡連接術語,即在計算機是局域網內的時候,外網與內網的計算機的節點進行連接時所需要的連接通信,有時候就會出現內網穿透不支的情況。
內網穿透的功能就是,當我們在端口映射時設置時,內網穿透起到了地址轉換的功能,也就是把公網的地址進行翻譯,轉成為一種私有的地址,然后再采用路由的方式ADSL的寬帶路由器,具有一個動態或者是固定的公網IP,最后ADSL直接在 交換機 上,這樣所有的電腦都可以共享上網。內網穿透除了可以實現內網之間機器的網絡通信功通之外,還可以解決UDP中出現的數據傳輸不穩定問題。
內網穿透如何實現
內網穿透可以通過開放的第三方端口來實現。我們可以安裝一個NAT123端口內網穿透軟件,然后再添加映射,并且配置出映射端口的信息,外網的地址是映射之后訪問的域名,同時也可以是自己或者是默認的域名。通過內網穿透,可以用域名進行對應的內網應用。如果是外網地址使用的是自己的域名,可以把域名的解析指向提示目標地址來進行使用。
網絡蠕蟲病毒具有以下行為特征:
自我繁殖:蠕蟲在本質上已經演變為黑客入侵的自動化工具,當蠕蟲被釋放(release)后,從搜索漏洞,到利用搜索結果攻擊系統,到復制副本,整個流程全由蠕蟲自身主動完成。就自主性而言,這一點有別于通常的病毒。
利用漏洞主動進行攻擊:任何計算機系統都存在漏洞,蠕蟲利用系統漏洞獲得被攻擊計算機系統的相應權限,進而進行復制和傳播。漏洞是各種各樣的,有操作系統本身的問題,有應用服務程序的問題,有網絡管理人員的配置問題。漏洞產生原因的復雜性導致了各種類型蠕蟲的泛濫。
傳染方式復雜,傳播速度快:蠕蟲病毒的傳染方式比較復雜,可以利用的傳播途徑包括文件、電子郵件、服務器、Web腳本、U盤、網絡共享等。此外,由于蠕蟲在網絡中傳播,其傳播速度相當驚人,傳播范圍極其廣泛,可以在短時間內蔓延至整個因特網。
破壞性強:在掃描漏洞主機的過程中,蠕蟲需要判斷其他計算機是否存在,判斷特定應用服務是否存在,判斷漏洞是否存在等,這不可避免的會產生附加的網絡數據流量。同時,蠕蟲副本在不同機器之間傳遞,或者向隨機目標發出的攻擊數據都不可避免的會產生大量的網絡數據流量。即使是不包含破壞系統正常工作的惡意代碼的蠕蟲,也會因為它產生了巨量的網絡流量,導致整個網絡癱瘓,造成經濟損失。蠕蟲入侵到計算機系統之后,會在被感染的計算機上產生自己的多個副本,每個副本啟動搜索程序尋找新的攻擊目標。大量的進程會耗費系統的資源,導致系統的性能下降。這對網絡服務器的影響尤其明顯。
留下安全隱患:大部分蠕蟲會搜集、擴散、暴露系統敏感信息,并在系統中留下后門,這些都會導致未來的安全隱患。
難以全面清除:只要網絡中有一臺主機未能將蠕蟲查殺干凈,就可使整個網絡重新全部被蠕蟲病毒感染。所以,單機查殺不能徹底解決蠕蟲病毒的清除。
阻止蠕蟲病毒傳播的方法有以下這些:
制作應急引導盤:制作一個應急的啟動盤,安裝針對蠕蟲病毒殺毒軟件,這樣一但計算機中毒可以使用啟動盤啟動并殺毒,這樣可以有效阻止病毒傳播;
防止病毒進入:在計算機或者服務器的入口處做好安全防護,讓病毒無法進入計算機以限制病毒的傳播;
實施系統備份:當計算機中毒直接將中毒系統停用,啟用備份無毒系統,這樣也可以限制病毒的傳播;
更新殺毒軟件的病毒庫:及時更新殺毒軟件的病毒庫,讓病毒一旦被發現直接被殺死,從根源上阻止傳播;
斷網:一旦發現計算機中毒即時將網絡斷開,這樣病毒則無法傳播到內網中,是最有效的阻止傳播的途徑;
機房根據使用性質、管理要求及其在經濟和社會中的重要性劃分為A、B、C三級。
A級:是最高級別,主要是指涉及國計民生的機房設計。其電子信息系統運行中斷將造成重大的經濟損或公共場所秩序嚴重混亂。像國家氣象臺;國家級信息中心、計算中心;重要的軍事指揮部門;大中城市的機場、廣播電臺、電視臺、應急指揮中心;銀行總行等屬A級機房。
B級:定義為電子信息系統運行中斷將造成一定的社會秩序混亂和一定的經濟損失的機房。科研院所;高等院校;三級醫院;大中城市的氣象臺、信息中心、疾病預防與控制中心、電力調度中心、交通(鐵路、公路、水運)指揮調度中心;國際會議中心;國際體育比賽場館;省部級以上政府辦公樓等屬B級機房。
C級:為基本型,在場地設備正常運行情況下,應保證電子信息系統運行不中斷。A級或B級范圍之外的電子信息系統機房為C級。
Bypass本意是通過特定的觸發狀態(斷電或死機)讓兩個網絡不通過網絡安全設備的系統,在滲透測試中是繞過的意思,具體是指滲透測試人員通過特殊語句的構建,進行滲透測試過程達到繞過WAF的一種手法。
常見的Bypass技巧如下:
架構層繞過WAF
CDN WAF繞過
白名單應用
匹配資源大小限制
協議未正確解析
HTTP不同的請求方法污染
GET與POST的區別
文件上傳
HTTP參數污染(HPP)
發現WAF缺陷過程
繞過某WAF上傳
繞過某WAF注入
自動化Bypass
思考
過濾/攔截規則不嚴謹
等價替換
大小寫替換
不常用條件
特殊符號
編碼
注釋
Web應用防護的主要目標包括以下兩個方面:
信息安全:為數據處理系統建立和采用的技術、管理上的安全保護,為的是保護計算機硬件、軟件、數據不因偶然和惡意的原因而遭到破壞、更改和泄露。
服務安全:保護系統連續正常的運行,免受對系統的未授權修改、破壞而導致系統不可用。
Web 應用防護:
