1. 什么是IDS？
IDS(入侵檢測系統(tǒng))：入侵檢測是防火墻的合理補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。主要針對防火墻涉及不到的部分進(jìn)行檢測。

入侵檢測主要面對的三類用戶：

合法用戶
偽裝用戶
秘密用戶
2. IDS和防火墻有什么不同？
防火墻是針對黑客攻擊的一種被動(dòng)的防御，旨在保護(hù)；IDS則是主動(dòng)出擊尋找潛在的攻擊者，發(fā)現(xiàn)入侵行為。

防火墻可以允許內(nèi)部的一些主機(jī)被外部訪問，IDS則沒有這些功能，只是監(jiān)視和分析用戶和系統(tǒng)活動(dòng)。
防火墻是設(shè)置在保護(hù)網(wǎng)絡(luò)(本地網(wǎng)絡(luò))和外部網(wǎng)絡(luò)之間的一道防御系統(tǒng)。
防火墻只是防御為主，通過防火墻的數(shù)據(jù)便不再進(jìn)行任何操作，IDS則進(jìn)行實(shí)時(shí)的檢測，發(fā)現(xiàn)入侵行為即可做出反應(yīng)，是對防火墻弱點(diǎn)的修補(bǔ)。

3. IDS工作原理？

?識別入侵者

識別入侵行為

檢測和監(jiān)視已成功的入侵

為對抗入侵提供信息與依據(jù)，防止時(shí)態(tài)擴(kuò)大

4. IDS的主要檢測方法有哪些詳細(xì)說明？
異常檢測模型**（Anomaly Detection）

首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是 入侵。

誤用檢測模型**（Misuse Detection）

收集非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)檢測的用戶或系統(tǒng)行為與庫中的記錄相匹配時(shí)，系 統(tǒng)就認(rèn)為這種行為是入侵，誤用檢測模型也稱為特征檢測（Signature-based detection）。

5. IDS的部署方式有哪些？
共享模式和交換模式：從HUB上的任意一個(gè)接口，或者在交換機(jī)上做端口鏡像的端口上收集信息。
隱蔽模式：在其他模式的基礎(chǔ)上將探測器的探測口IP地址去除，使得IDS在對外界不可見的情況下正常工作
Tap模式：以雙向監(jiān)聽全雙工以太網(wǎng)連接中的網(wǎng)絡(luò)通信信息，能捕捉到網(wǎng)絡(luò)中的所有流量，能記錄完整的狀態(tài)信息使得與防火墻聯(lián)動(dòng)或發(fā)送Reset包更加容易
In-Iine模式：直接將IDS串接在通信線路中，位于交換機(jī)和路由器之間。這種模式可以將威脅通信包丟棄，以實(shí)時(shí)阻斷網(wǎng)絡(luò)攻擊
混合模式：通過監(jiān)聽所有連接到防火墻的網(wǎng)段，全面了解網(wǎng)絡(luò)狀況。

6. IDS的簽名是什么意思？簽名過濾器有什么作用？例外簽名配置作用是什么？
IDS的簽名：入侵防御簽名用來描述網(wǎng)絡(luò)中存在的攻擊行為的特征，通過將數(shù)據(jù)流和入侵防御簽名進(jìn)行比較來檢測和防范攻擊。如果某個(gè)數(shù)據(jù)流匹配了某個(gè)簽名中的特征項(xiàng)時(shí)，設(shè)備會按照簽名的動(dòng)作來處理數(shù)據(jù)流。入侵防御簽名分為預(yù)定義和自定義簽名。

簽名過濾器作用：由于設(shè)備升級簽名庫后會存在大量簽名，而這些簽名沒有進(jìn)行分類，且有些簽名所包含的特征本網(wǎng)絡(luò)中不存在，需要設(shè)置簽名過濾器對其進(jìn)行管理，并過濾掉。

簽名過濾器的動(dòng)作：

阻斷：丟棄命中簽名的報(bào)文，并記錄日志
告警：對命中簽名的報(bào)文放行，但記錄日志。
采用簽名的缺省動(dòng)作，實(shí)際動(dòng)作以簽名的缺省動(dòng)作為準(zhǔn)
例外簽名：

作用：由于簽名過濾器會批量過濾出簽名，且通常為了方便管理會設(shè)置為統(tǒng)一的動(dòng)作。如果管理員需要將某些 簽名設(shè)置為與過濾器不同的動(dòng)作時(shí)，可將這些簽名引入到例外簽名中，并單獨(dú)配置動(dòng)作。

動(dòng)作：

阻斷：丟棄命中簽名的報(bào)文并記錄日志
告警：對命中簽名的報(bào)文放行，但記錄日志
放行：對命中簽名的報(bào)文放行，且不記錄日志。

?1. 什么是惡意軟件？

惡意軟件(俗稱“流氓軟件”)是指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計(jì)算機(jī)或其它終端上安裝運(yùn)行，侵犯用戶合法權(quán)益的軟件或代碼。簡而言之，就是會造成不良后果的軟件或代碼。惡意軟件可以隱藏在合法的軟件應(yīng)用程序或文件中，或者其作者可以將其偽裝成用戶不知不覺下載的看似無害的應(yīng)用程序。

2. 惡意軟件有哪些特征？

惡意軟件所具有的特征如下：

1）下載特征
很多木馬、后們程序見得軟件會自動(dòng)連接到Inrternet某Web站點(diǎn)，然后下載其他的病毒文件或該病毒自身的更新版本/其他變種

2）后門特征
后們程序及很多木馬、蠕蟲和間諜軟件會在首感染的系統(tǒng)中開啟并且監(jiān)聽某個(gè)端口，允許遠(yuǎn)程惡意用戶來對系統(tǒng)進(jìn)行遠(yuǎn)程操作。
某些情況下，病毒還會自動(dòng)連接到某IRC站點(diǎn)某頻道中，使得該頻道中特定的惡意用戶遠(yuǎn)程訪問受感染的計(jì)算機(jī)。
3）信息收集特征
QQ密碼和聊天記錄
網(wǎng)絡(luò)游戲賬號密碼
網(wǎng)上銀行賬號密碼
用戶網(wǎng)頁瀏覽記錄和上網(wǎng)習(xí)慣
4）自身隱藏特征
多數(shù)病毒會講資審文件的屬性設(shè)置為”隱藏“、”系統(tǒng)“和“只讀”，更有一些病毒會通過修改注冊表，從而修改用戶對系統(tǒng)的文件夾訪問權(quán)限、顯示權(quán)限等，來讓病毒更加隱藏不易被發(fā)現(xiàn)。

5）文件感染特征
病毒會講惡意代碼插入到系統(tǒng)中正常的可執(zhí)行文件當(dāng)中，將系統(tǒng)的正常文件進(jìn)行破壞，導(dǎo)致文件的無法正常運(yùn)行，或者讓系統(tǒng)正常文件感染病毒變成了病毒體，通過分享等方式擴(kuò)散
有的文件型病毒會感染系統(tǒng)中其他類型的文件
6）網(wǎng)絡(luò)攻擊特征
木馬和蠕蟲病毒會修改計(jì)算機(jī)的網(wǎng)絡(luò)設(shè)置，導(dǎo)致計(jì)算機(jī)無法訪問到網(wǎng)絡(luò)
木馬和蠕蟲還會像網(wǎng)絡(luò)中其他計(jì)算機(jī)攻擊、發(fā)送大量數(shù)據(jù)包來阻塞網(wǎng)絡(luò)，甚至通過散布虛假網(wǎng)關(guān)地址的廣播包來七篇網(wǎng)絡(luò)中其他的計(jì)算機(jī)，導(dǎo)致網(wǎng)絡(luò)癱瘓
3.惡意軟件的可分為那幾類？
按照傳播方式分類
1）病毒
定義： 病毒是指編譯者在計(jì)算機(jī)程序中插入了一個(gè)會破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)正常使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼； 被病毒攻擊的宿主程序是病毒的棲息地，它是病毒傳播的目的地，對于下一個(gè)感染的出發(fā)點(diǎn)
感染過程： 當(dāng)計(jì)算機(jī)運(yùn)行已經(jīng)感染了的宿主程序的時(shí)候，病毒會奪取控制權(quán)，尋找是否有可以被感染的地方，然后將在將病毒程序放到缺口處，完成了感染；
主要傳播方式：
1）通過移動(dòng)存儲設(shè)備進(jìn)行病毒傳播；比如說U盤、光碟、移動(dòng)硬盤等。
2）通過網(wǎng)絡(luò)傳播；比如說網(wǎng)頁、電子郵件、qq等
3）利用計(jì)算機(jī)系統(tǒng)和應(yīng)用軟件的弱點(diǎn)進(jìn)行傳播；
4）通過依附在文件上進(jìn)行傳播
特征

破壞性：病毒入侵計(jì)算機(jī)后，可能會將計(jì)算機(jī)中的數(shù)據(jù)信息刪除或者破壞掉，嚴(yán)重的話會造成大面積的計(jì)算機(jī)癱瘓，對 計(jì)算機(jī)用戶造成很大的損失。
傳染性： 病毒可以通過U盤，軟盤等移動(dòng)設(shè)備進(jìn)行傳播，入侵到計(jì)算機(jī)上，在入侵之后，它會自我復(fù)制，實(shí)現(xiàn)病毒擴(kuò)散，然后感染越來越多的計(jì)算機(jī)
寄生性：病毒是需要依附在文件或者其他宿主上才可以存活，并且發(fā)揮自己的破壞性來干擾計(jì)算機(jī)的正常功能。

可執(zhí)行性：計(jì)算機(jī)病毒和其他正常程序是一樣的，它是一個(gè)可以執(zhí)行成功的程序，但不是完整的，它需要靠依附在其他可以執(zhí)行的程序上面，才能得到一切程序都能得到的權(quán)力。
病毒的類型：

網(wǎng)絡(luò)病毒：通過網(wǎng)絡(luò)等上網(wǎng)方式進(jìn)行傳播感染的病毒
文件病毒：主要是針對計(jì)算機(jī)中的文件
引導(dǎo)型病毒：是一種主攻感染扇區(qū)和硬盤系統(tǒng)引導(dǎo)扇區(qū)的病毒
2）蠕蟲
定義： 蠕蟲是主要通過網(wǎng)絡(luò)使惡意代碼在不同設(shè)備中進(jìn)行復(fù)制、傳播和運(yùn)行的惡意代碼，一個(gè)能夠自我復(fù)制，然后在將復(fù)制過后的傳播到另一臺計(jì)算機(jī)上的程序
傳播過程： 蠕蟲會長時(shí)間的存在一個(gè)或者多個(gè)機(jī)器里面，并且具有復(fù)制的能力，如果它檢測到某個(gè)網(wǎng)絡(luò)中的某一臺機(jī)器沒有被占用，它就會吧自身的替身復(fù)制到這個(gè)計(jì)算機(jī)里面，并且每一個(gè)蠕蟲都可以把自己的替身復(fù)制到重新定位于另一臺機(jī)器中，并且能夠識別它占用的哪臺機(jī)器。
蠕蟲的結(jié)構(gòu)

目標(biāo)定位：為了在網(wǎng)絡(luò)上快速傳播，蠕蟲是具有發(fā)現(xiàn)沒有被感染的計(jì)算機(jī)的能力。
感染傳播：蠕蟲的重要組成是會把自己傳輸?shù)叫孪到y(tǒng)并且進(jìn)行遠(yuǎn)程控制系統(tǒng)的策略，
遠(yuǎn)程控制和更新接口：
蠕蟲會利用通信模塊進(jìn)行遠(yuǎn)程控制，如果沒有這個(gè)模塊，蠕蟲的創(chuàng)作者就不能通過給蠕蟲復(fù)制信息來控制整個(gè)網(wǎng)絡(luò)。
更新和差幾案接口允許在被感染的計(jì)算機(jī)系統(tǒng)上更新蠕蟲代碼。
生命周期管理：部分蠕蟲的創(chuàng)作者希望蠕蟲在某個(gè)時(shí)間段內(nèi)進(jìn)行工作，就會事先設(shè)定一個(gè)時(shí)間讓他工作。
3）木馬
定義： 木馬時(shí)攻擊者通過欺騙的方式在用戶不知道的情況下安裝的。然后用來進(jìn)行一個(gè)遠(yuǎn)程操控被中了木馬的計(jì)算機(jī)。
**傳播過程：**黑客利用木馬配置工具生成一個(gè)木馬的服務(wù)端，然后通過各種手段安裝用戶終端，在利用一些其他手段，讓木馬啟動(dòng)運(yùn)行；然后遠(yuǎn)程操作竊取用戶隱私然后發(fā)送給自己或者黑客；同時(shí)給黑客提供權(quán)限，可以操作計(jì)算機(jī)的更多方式。
特征
1）隱蔽性
木馬可以長期存在，他會將自己偽裝成為合法的應(yīng)用程序，讓用戶難以分辨，這個(gè)也是木馬的一個(gè)重要特征
2）欺騙性
木馬病毒隱藏主要手段是欺騙，經(jīng)常使用偽裝的手段將自己合法化。
3）頑固性
木馬病毒為了保障自己可以不斷蔓延，往往像毒瘤一樣駐留在被感染的計(jì)算機(jī)中，有多個(gè)備份文件存在，與i但主要文件被刪除，便馬上可以恢復(fù)。
4）危害性
只要被木馬病毒感染，別有用心的黑客便可以執(zhí)行任意操作，就像在本地使用計(jì)算機(jī)一樣，對被控制的計(jì)算機(jī)的破壞可想而知。
傳播過程

利用下載進(jìn)行傳播，在下載的過程中進(jìn)入程序，當(dāng)下載完畢打開文件就會將病毒植入到電腦當(dāng)中
利用系統(tǒng)漏洞進(jìn)行傳播，當(dāng)計(jì)算機(jī)存在漏洞的時(shí)候，就會成為木馬的攻擊的對象
利用郵件進(jìn)行傳播，很多陌生郵件里面就摻雜了病毒種子，一旦郵件被打開，郵件里面的病毒就被激活
利用遠(yuǎn)程連接進(jìn)行傳播
利用網(wǎng)頁進(jìn)行傳播
按照功能分類
1）后門
定義： 后們是指繞過安全控制來獲取對程序或系統(tǒng)訪問權(quán)限的方法；后門的主要目的就是為了方便以后可以再次進(jìn)入或者控制系統(tǒng)（在不被發(fā)現(xiàn)的情況下）
來源

攻擊者利用欺騙的手段，通過電子郵件或者文件等方式，誘使主機(jī)的操作源打開或者運(yùn)行藏有木馬程序的郵件或者文件，這些木馬程序就會在主機(jī)上面創(chuàng)建一個(gè)后門
攻擊者攻陷一臺主角及，獲取到主機(jī)的控制權(quán)限，在主機(jī)上直接建立后門，方便以后的操作。
典型功能 文件管理，屏幕控制，鍵盤監(jiān)控，視頻監(jiān)控，命令執(zhí)行等
典型家族 灰鴿子、pCshare
2）勒索
定義：
勒索病毒是一種新型的電腦病毒，它主要是通過郵件、程序木馬、網(wǎng)頁掛馬的形式來進(jìn)行傳播。這種病毒危害極大，一旦被感染，將給用戶帶來無法估量的損失。
這種病毒式利用各種加密算法對文件進(jìn)行加密，被感染者一般是無法解密的，必須要拿到解密的私鑰才有可能破解。
攻擊對象

針對且也用戶
針對所有用戶
加密特點(diǎn)
主要采用非對稱加密的方式
對文檔、郵件、數(shù)據(jù)庫、源代碼、圖片、壓縮文件等多種文件類型進(jìn)行加密
啊通過比特幣或者其他虛擬貨幣進(jìn)行傳播
利用釣魚郵件和baoprdp口令進(jìn)行傳播
典型家族 Wannacry、GandCrab、Globelmposter
3）挖礦
定義
攻擊者通過向被感染設(shè)備植入挖礦工具，消耗被感染設(shè)備的巨酸資源進(jìn)行挖礦，來獲取到數(shù)字貨幣收益的惡意代碼
特點(diǎn)：

不會對感染設(shè)備的數(shù)據(jù)和系統(tǒng)造成破壞
因?yàn)橄脑O(shè)備資源，所以可能會對設(shè)備硬件造成損害
危害
1)直接危害
主機(jī)會長時(shí)間執(zhí)行高性能計(jì)算，浪費(fèi)網(wǎng)絡(luò)貸款，CPU和內(nèi)存占用較高，不能及時(shí)處理用戶的正常請求或任務(wù)
點(diǎn)亮消耗增加，加快了電腦CPU、內(nèi)存等硬件老化速度。
2）潛在危害
-黑客通過挖礦程序竊取機(jī)密信息

黑客控制主機(jī)作為“肉機(jī)”攻擊互聯(lián)網(wǎng)上的其他單位，違反網(wǎng)絡(luò)安全法
黑客利用已經(jīng)控制的機(jī)器，作為繼續(xù)對業(yè)務(wù)系統(tǒng)區(qū)域滲透的跳板，產(chǎn)生更嚴(yán)重的網(wǎng)絡(luò)安全攻擊事件。
4. 惡意軟件的免殺技術(shù)有哪些？
免殺技術(shù)：
免殺技術(shù)又稱為免殺病毒技術(shù)，是防止惡意代碼免于被殺毒設(shè)備查殺的技術(shù)，主流免殺技術(shù)有

修改文件特征碼
修改內(nèi)存特征碼
行為免查殺技術(shù)
文件免殺：
黑客們研究木馬免殺的最終目標(biāo)就是在保證原文件功能正常的前提下，通過一定的更改，使得原本會被
查殺的文件免于被殺。要達(dá)到不再被殺的目的方法有很多種，其中最直接的方法就是讓反病毒軟件停止工作，或使病毒木馬“變”為一個(gè)正常的文件。然而如何使一個(gè)病毒或木馬變成一個(gè)正常文件，對于黑客們來說其實(shí)是一個(gè)比較棘手的問題，不過只要學(xué)會了一種免殺原理，其他的免殺方案也就觸類旁通了。

內(nèi)存免殺：
一般情況下內(nèi)存是數(shù)據(jù)進(jìn)入CPU之前的最后一個(gè)可控的物理存儲設(shè)備。 在這里，數(shù)據(jù)往往都已經(jīng)被處理成可以直接被CPU執(zhí)行的形式了，像我們前面講的加殼免殺原理在這里也許就會失效了。
我們知道，CPU不可能是為某一款加殼軟件而特別設(shè)計(jì)的， 因此某個(gè)軟件被加殼后的可執(zhí)行代碼CPU是讀不懂的。這就要求在執(zhí)行外殼代碼時(shí)，要先將原軟件解密,并放到內(nèi)存里，然后再通知CPU執(zhí)行。
如果是這樣，那么從理論上來講任何被加密的可執(zhí)行數(shù)據(jù)在被CPU執(zhí)行前，肯定是會被解密的,否則CPU就無法執(zhí)行。也正是利用這個(gè)特點(diǎn)，反病毒公司便在這里設(shè)了一個(gè)關(guān)卡.這就使得大部分運(yùn)用原有文件免殺技巧處理過的病

行為免殺：
當(dāng)文件查殺與內(nèi)存查殺都相繼失效后，反病毒廠商便提出了行為查殺的概念,從最早的“文件防火墻”發(fā)展到后來的“主動(dòng)防御"，再到現(xiàn)在的部分”云查殺”，其實(shí)都應(yīng)用了行為查殺技術(shù)。而對于行為查殺，黑客們會怎樣破解呢?我們都知道一個(gè)應(yīng)用程序之 所以被稱為病毒或者木馬，就是因?yàn)樗鼈儓?zhí)行后的行為與普通軟件不一樣。因此從2007年行為查殺相繼被大多數(shù)反病毒公司運(yùn)用成熟后，黑客免殺技術(shù)這個(gè)領(lǐng)域的門檻也就一下提高到了頂層。反病毒公司將這場博弈徹底提高到了軟件領(lǐng)域最深入的一-層一系統(tǒng)底層, 這就使得黑客們需要掌握的各種高精尖知識爆炸式增長，這-舉動(dòng)將大批的黑客技術(shù)的初學(xué)者擋在了門外。

5. 反病毒技術(shù)有哪些？
反病毒：
反病毒是指一種安全機(jī)制，它可以通過識別和處理病毒文件來保證網(wǎng)絡(luò)安全，必免因?yàn)椴《疚募鸬臄?shù)據(jù)破壞、權(quán)限更改和系統(tǒng)崩潰等情況的發(fā)生.

反病毒的技術(shù)
單機(jī)反病毒
1）可以使用檢測工具

單機(jī)反病毒可以通過使用殺毒軟加的方式來進(jìn)行防御，也可以通過專業(yè)的防病毒工具實(shí)現(xiàn)
病毒檢測工具用于檢測病毒、木馬、蠕蟲等惡意代碼，有些檢測工具同時(shí)提供修復(fù)的功能
常見的病毒檢測工具有：
TCP View
Regmon
Filemon
Process Explorer
IceSword
Process Monitor
Wsyscheck
SREng
Wtool
Malware Defender
2）殺毒軟件
殺毒軟件主要通過一些引擎技術(shù)來實(shí)現(xiàn)病毒的查殺比如說主流的查殺技術(shù)：
特征碼技術(shù)：殺毒軟件存在病毒特征庫，包含了各種病毒的特征碼；特征碼是一段特殊的程序，從病毒樣本中抽取出來，與正常的程序不太一樣，把被掃描的信息與特征庫進(jìn)行對比，如果匹配到了特征庫，則認(rèn)為掃描的信息為病毒
行為查殺技術(shù)：病毒在運(yùn)行的時(shí)候會有各種行為特征，比如會在系統(tǒng)里面增加有特殊后綴的文件，監(jiān)控用戶的行為等，當(dāng)檢測到某被檢測信息有這些特征行為的時(shí)候，會認(rèn)為這個(gè)檢測的信息是病毒
網(wǎng)關(guān)反病毒
內(nèi)網(wǎng)用戶可以訪問外網(wǎng)，并且經(jīng)常需要從外網(wǎng)下載文件
內(nèi)網(wǎng)部署的服務(wù)器經(jīng)常接受外網(wǎng)用戶上傳的文件。
6. 反病毒網(wǎng)關(guān)的工作原理是什么？
首包檢測技術(shù)
通過提取PE系統(tǒng)下可以移植的執(zhí)行體，包括exe，dll等文件類型、文件頭部特征判斷文件是否是病毒文件，提取PE文件頭部數(shù)劇，這些數(shù)據(jù)通常帶有某些特殊操作，并且采用hash算法生成文件頭部簽名，與反病毒首包規(guī)則簽名進(jìn)行比較，能匹配的話就判定為是病毒
啟發(fā)式檢測技術(shù)
啟發(fā)檢測是指對傳輸文件進(jìn)行反病毒檢測時(shí)，發(fā)現(xiàn)該文件的程序存在潛在風(fēng)險(xiǎn)，極有可能是
病毒文件。比如說文件加殼，當(dāng)這些與正常文件不一致的行為達(dá)到一定的閾值，則認(rèn)為該文件是病毒
啟發(fā)檢測的響應(yīng)動(dòng)作與對應(yīng)協(xié)議的病毒檢測的響應(yīng)動(dòng)作相同，啟發(fā)式檢測可以提升網(wǎng)絡(luò)環(huán)境的安全性，消除安全隱患，但是這個(gè)功能會降低病毒檢測的性能，并且存在誤報(bào)風(fēng)險(xiǎn)，所以系統(tǒng)默認(rèn)情況下這個(gè)功能是關(guān)閉狀態(tài)。
文件信譽(yù)檢測技術(shù)
文件信譽(yù)檢測時(shí)計(jì)算全文MD5，通過MD5值與文件信譽(yù)特征庫匹配進(jìn)行加測，文件信譽(yù)特征庫里面包含了大量的知名的病毒文件的MD5值，話溫載文件信譽(yù)檢測技術(shù)方面主要依賴于文件信譽(yù)靜態(tài)上級更新以及與沙箱聯(lián)動(dòng)，然后自學(xué)到的動(dòng)態(tài)緩存。
7. 反病毒網(wǎng)關(guān)的工作過程是什么？
1.網(wǎng)絡(luò)流量進(jìn)入智能感知引擎后，首先智能感知引擎對流量進(jìn)行深層分析，識別出流量對協(xié)議類型和文件傳輸?shù)姆较颉?br /> 2.判斷文件傳輸所使用的協(xié)議和文件傳輸?shù)姆较蚴欠裰С植《緳z測
3.判斷是否命中白名單，命中白名單單后，防火墻將不會對文件進(jìn)行病毒檢測
4.針對域名和URL，白名單規(guī)則有以下4種匹配方式：
前綴匹配：host-text或url-text配置為“example”的形式，即只要域名或URL的前綴是
“example”就命中白名單規(guī)則。
后綴匹配：host-text或url-text配置為“example”的形式，即只要域名或URL的后綴是
“example”就命中白名單規(guī)則。
關(guān)鍵字匹配：host-text或url-text配置為“example”的形式，即只要域名或URL中包含
“example”就命中白名單規(guī)則。
精確匹配：域名或URL必須與host-text或url-text完全一致，才能命中白名單規(guī)則
5.病毒檢測

智能感知引擎對符合病毒檢測的文件進(jìn)行特征提取，提取后的特征與病毒特征庫中的特征進(jìn)行
匹配。如果匹配，則認(rèn)為該文件為病毒文件，并按照配置文件中的響應(yīng)動(dòng)作進(jìn)行處理。如果不
匹配，則允許該文件通過。當(dāng)開啟聯(lián)動(dòng)檢測功能時(shí)，對于未命中病毒特征庫的文件還可以上送
沙箱進(jìn)行深度檢測。如果沙箱檢測到惡意文件，則將惡意文件的文件特征發(fā)送給FW，FW將此
惡意文件的特征保存到聯(lián)動(dòng)檢測緩存。下次再檢測到該惡意文件時(shí)，則按照配置文件中的響應(yīng)
動(dòng)作進(jìn)行處理。
病毒特征庫是由華為公司通過分析各種常見病毒特征而形成的。該特征庫對各種常見的病毒特
征進(jìn)行了定義，同時(shí)為每種病毒特征都分配了一個(gè)唯一的病毒ID。當(dāng)設(shè)備加載病毒特征庫
后，即可識別出特征庫里已經(jīng)定義過的病毒。同時(shí)，為了能夠及時(shí)識別出最新的病毒，設(shè)備上
的病毒特征庫需要不斷地從安全中心平臺（sec.huawei.com）進(jìn)行升級。
6.當(dāng)NGFW檢測出傳輸文件為病毒文件時(shí)，需要進(jìn)行如下處理：
判斷該病毒文件是否命中病毒例外。如果是病毒例外，則允許該文件通過。
病毒例外，即病毒白名單。為了避免由于系統(tǒng)誤報(bào)等原因造成文件傳輸失敗等情況的發(fā)生，當(dāng)用戶認(rèn)為已檢測到的某個(gè)病毒為誤報(bào)時(shí)，可以將該對應(yīng)的病毒ID添加到病毒例外，使該病毒規(guī)則失效。如果檢測結(jié)果命中了病毒例外，則對該文件的響應(yīng)動(dòng)作即為放行。
如果不是病毒例外，則判斷該病毒文件是否命中應(yīng)用例外。如果是應(yīng)用例外，則按照應(yīng)用例外的響應(yīng)動(dòng)作（放行、告警和阻斷）進(jìn)行處理。
應(yīng)用例外可以為應(yīng)用配置不同于協(xié)議的響應(yīng)動(dòng)作。應(yīng)用承載于協(xié)議之上，同一協(xié)議上可以承載多種應(yīng)用。
由于應(yīng)用和協(xié)議之間存在著這樣的關(guān)系，在配置響應(yīng)動(dòng)作時(shí)也有如下規(guī)定：
如果只配置協(xié)議的響應(yīng)動(dòng)作，則協(xié)議上承載的所有應(yīng)用都繼承協(xié)議的響應(yīng)動(dòng)作。
如果協(xié)議和應(yīng)用都配置了響應(yīng)動(dòng)作，則以應(yīng)用的響應(yīng)動(dòng)作為準(zhǔn)。
如果病毒文件既沒命中病毒例外，也沒命中應(yīng)用例外，則按照配置文件中配置的協(xié)議和傳輸方向?qū)?yīng)的響應(yīng)動(dòng)作進(jìn)行處理。
8. 反病毒網(wǎng)關(guān)的配置流程是什么？
申請并激活license
加載特征庫
配置AV Profile
配置安全策略
其他配置

?1. 什么是APT？

APT攻擊即高級可持續(xù)威脅攻擊,也稱為定向威脅攻擊，指某組織對特定對象展開的持續(xù)有效的攻擊活
動(dòng)。

APT是黑客以竊取核心資料為目的，針對客戶所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲行為，是一種蓄謀已久的“惡意商
業(yè)間諜威脅”。這種行為往往經(jīng)過長期的經(jīng)營與策劃，并具備高度的隱蔽性。APT的攻擊手法，在于隱匿
自己，針對特定對象，長期、有計(jì)劃性和組織性地竊取數(shù)據(jù)，這種發(fā)生在數(shù)字空間的偷竊資料、搜集情
報(bào)的行為，就是一種“網(wǎng)絡(luò)間諜”的行為。

APT攻擊是一個(gè)集合了多種常見攻擊方式的綜合攻擊。綜合多種攻擊途徑來嘗試突破網(wǎng)絡(luò)防御，通常是
通過Web或電子郵件傳遞，利用應(yīng)用程序或操作系統(tǒng)的漏洞，利用傳統(tǒng)的網(wǎng)絡(luò)保護(hù)機(jī)制無法提供統(tǒng)一的
防御。除了使用多種途徑，高級定向攻擊還采用多個(gè)階段穿透一個(gè)網(wǎng)絡(luò)，然后提取有價(jià)值的信息，這使
得它的攻擊更不容易被發(fā)現(xiàn)。

2.APT的入侵過程
第一階段：掃描探測
在APT攻擊中，攻擊者會花幾個(gè)月甚至更長的時(shí)間對"目標(biāo)"網(wǎng)絡(luò)進(jìn)行踩點(diǎn)，針對性地進(jìn)行信息收集，目標(biāo)
網(wǎng)絡(luò)環(huán)境探測，線上服務(wù)器分布情況，應(yīng)用程序的弱點(diǎn)分析，了解業(yè)務(wù)狀況，員工信息等等。

第二階段：工具投送
在多數(shù)情況下，攻擊者會向目標(biāo)公司的員工發(fā)送郵件，誘騙其打開惡意附件，或單擊一個(gè)經(jīng)過偽造的惡
意URL，希望利用常見軟件(如Java或微軟的辦公軟件)的0day漏洞，投送其惡意代碼。一旦到位，惡意軟
件可能會復(fù)制自己，用微妙的改變使每個(gè)實(shí)例都看起來不一樣，并偽裝自己，以躲避掃描。有些會關(guān)閉
防病毒掃描引擎，經(jīng)過清理后重新安裝，或潛伏數(shù)天或數(shù)周。惡意代碼也能被攜帶在筆記本電腦、USB
設(shè)備里，或者通過基于云的文件共享來感染一臺主機(jī)，并在連接到網(wǎng)絡(luò)時(shí)橫向傳播。

第三階段：漏洞利用
利用漏洞，達(dá)到攻擊的目的。攻擊者通過投送惡意代碼，并利用目標(biāo)企業(yè)使用的軟件中的漏洞執(zhí)行自
身。而如果漏洞利用成功的話，你的系統(tǒng)將受到感染。普通用戶系統(tǒng)忘記打補(bǔ)丁是很常見的，所以他們
很容易受到已知和未知的漏洞利用攻擊。一般來說，通過使用零日攻擊和社會工程技術(shù)，即使最新的主
機(jī)也可以被感染，特別是當(dāng)這個(gè)系統(tǒng)脫離企業(yè)網(wǎng)絡(luò)后。

第四階段：木馬植入
隨著漏洞利用的成功，更多的惡意軟件的可執(zhí)行文件——擊鍵記錄器、木馬后門、密碼破解和文件采集
程序被下載和安裝。這意味著，犯罪分子現(xiàn)在已經(jīng)建成了進(jìn)入系統(tǒng)的長期控制機(jī)制。

第五階段：遠(yuǎn)程控制
一旦惡意軟件安裝，攻擊者就已經(jīng)從組織防御內(nèi)部建立了一個(gè)控制點(diǎn)。攻擊者最常安裝的就是遠(yuǎn)程控制
工具。這些遠(yuǎn)程控制工具是以反向連接模式建立的，其目的就是允許從外部控制員工電腦或服務(wù)器，即
這些工具從位于中心的命令和控制服務(wù)器接受命令，然后執(zhí)行命令，而不是遠(yuǎn)程得到命令。這種連接方
法使其更難以檢測，因?yàn)閱T工的機(jī)器是主動(dòng)與命令和控制服務(wù)器通信而不是相反。

第六階段：橫向滲透
一般來說，攻擊者首先突破的員工個(gè)人電腦并不是攻擊者感興趣的，它感興趣的是組織內(nèi)部其它包含重
要資產(chǎn)的服務(wù)器，因此，攻擊者將以員工個(gè)人電腦為跳板，在系統(tǒng)內(nèi)部進(jìn)行橫向滲透，以攻陷更多的pc
和服務(wù)器。攻擊者采取的橫向滲透方法包括口令竊聽和漏洞攻擊等。

第七階段：目標(biāo)行動(dòng)
也就是將敏感數(shù)據(jù)從被攻擊的網(wǎng)絡(luò)非法傳輸?shù)接晒粽呖刂频耐獠肯到y(tǒng)。在發(fā)現(xiàn)有價(jià)值的數(shù)據(jù)后，APT
攻擊者往往要將數(shù)據(jù)收集到一個(gè)文檔中，然后壓縮并加密該文檔。此操作可以使其隱藏內(nèi)容，防止遭受
深度的數(shù)據(jù)包檢查和DLP技術(shù)的檢測和阻止。然后將數(shù)據(jù)從受害系統(tǒng)偷運(yùn)出去到由攻擊者控制的外部。
大多數(shù)公司都沒有針對這些惡意傳輸和目的地分析出站流量。那些使用工具監(jiān)控出站傳輸?shù)慕M織也只是
尋找"已知的"惡意地址和受到嚴(yán)格監(jiān)管的數(shù)據(jù)。

如何防御APT
目前，防御APT攻擊最有效的方法就是沙箱技術(shù)，通過沙箱技術(shù)構(gòu)造一個(gè)隔離的威脅檢測環(huán)境，然后將
網(wǎng)絡(luò)流量送入沙箱進(jìn)行隔離分析并最終給出是否存在威脅的結(jié)論。如果沙箱檢測到某流量為惡意流量，
則可以通知FW實(shí)施阻斷

APT防御技術(shù)–沙箱
針對APT攻擊的防御過程如下∶
黑客（攻擊者）向企業(yè)內(nèi)網(wǎng)發(fā)起APT攻擊，FW從網(wǎng)絡(luò)流量中識別并提取需要進(jìn)行APT檢測的文件類型。
FW將攻擊流量還原成文件送入沙箱進(jìn)行威脅分析。
沙箱通過對文件進(jìn)行威脅檢測，然后將檢測結(jié)果返回給FW。
FW獲取檢測結(jié)果后，實(shí)施相應(yīng)的動(dòng)作。如果沙箱分析出該文件是一種惡意攻擊文件，FW側(cè)則可以實(shí)施阻斷操作，防止該文件進(jìn)入企業(yè)內(nèi)網(wǎng)，保護(hù)企業(yè)內(nèi)網(wǎng)免遭攻擊。
APT防御與反病毒的差異。
反病毒系統(tǒng)通常是將病毒文件的特征與病毒特征庫進(jìn)行對比來識別一個(gè)文件是否為病毒文件。
這種防御方式具有一定的局限性，就是只能針對已知病毒進(jìn)行防御，而無法識別未知攻擊。
APT防御機(jī)制則有別于反病毒系統(tǒng)。APT防御系統(tǒng)中的沙箱可以看做是一個(gè)模擬真實(shí)網(wǎng)絡(luò)建造
的虛擬檢測系統(tǒng)，未知文件放入沙箱以后將會被運(yùn)行，沙箱中的收集程序會記錄該文件被運(yùn)行
以后的行為。沙箱通過將未知文件的行為和沙箱獨(dú)有的行為模式庫進(jìn)行匹配，最后給出該程序
是否為惡意程序的定性結(jié)論。沙箱的行為模式庫是通過分析大量的病毒、漏洞、威脅特征，提
煉出各種惡意行為的規(guī)律和模式，并形成一套判斷規(guī)則，因此能提供準(zhǔn)確的檢測結(jié)果。
總體來看，反病毒系統(tǒng)是以被檢測對象的特征來識別攻擊對象，APT防御系統(tǒng)是以被檢測對象的行
為來識別攻擊對象。

??4. 什么是對稱加密？

對稱加密：也稱為對稱密碼,是指在加密和解密時(shí)使用同一密鑰得加密方式

5. 什么是非對稱加密？

非對稱加密是一種保證區(qū)塊鏈安全的基礎(chǔ)技術(shù)。該技術(shù)含有兩個(gè)密鑰：公鑰和私鑰，首先，系統(tǒng)按照某種密鑰生成算法，將輸入經(jīng)過計(jì)算得出私鑰，然后，采用另一個(gè)算法根據(jù)私鑰生成公鑰，公鑰的生成過程不可逆。

6. 私密性的密碼學(xué)應(yīng)用

身份認(rèn)證技術(shù)的應(yīng)用 身份認(rèn)證：通過標(biāo)識和鑒別用戶身份，防止攻擊者假冒合法用戶來獲取訪問權(quán)限。 身份認(rèn)證技術(shù)：在網(wǎng)絡(luò)總確認(rèn)操作者身份的過程而產(chǎn)生的有效解決方法。 如何確認(rèn)信息的發(fā)送者一定是他本人？ 發(fā)送者是alice，使用非對稱算法，生成私鑰A，公鑰B。 1. alice把公鑰給bob 2. alice發(fā)送信息hello，world！ 3. alice把發(fā)送的信息用對稱加密算法加密到加密信息C。 4. alice把發(fā)送的hello，world！先用hash算法計(jì)算得到hash值D。 5. alice把hash值D用非對稱加密計(jì)算得到E。E值就是用于身份驗(yàn)證的。 6. alice把C，E一起發(fā)給bob。 7. bob收到C,E值，先用非對稱的公鑰對E進(jìn)行解密，如果能正常解開則證明C值是alice的。 上述1中如果黑客偷換了alice的公鑰，那么就會出現(xiàn)身份認(rèn)證漏洞。 解決： alice把公鑰給bob的環(huán)節(jié)能確保是安全的，一定是alice給的。 想辦法證明alice的公鑰一定是alice的。

SSL連接（connection)一個(gè)連接是一個(gè)提供一種合適類型服務(wù)的傳輸（OSI分層的定義）。SSL的連接是 點(diǎn)對點(diǎn)的關(guān)系。連接是暫時(shí)的，每一個(gè)連接和一個(gè)會話關(guān)聯(lián)。 SSL會話（session）一個(gè)SSL會話是在客戶與服務(wù)器之間的一個(gè)關(guān)聯(lián)。會話由Handshake Protocol創(chuàng) 建。會話定義了一組可供多個(gè)連接共享的密碼安全參數(shù)。會話用以避免為每一個(gè)連接提供新的安全參數(shù) 所需昂貴的協(xié)商代價(jià)。