前言

文章目录

  • 前言
  • 01、杀毒软件
    • 01、沙盒检测
    • 02、 数据挖掘技术
    • 03、基于签名的检测
    • 04、 Rootkit 检测
  • 02、 下一代防火墙(NGFW)
    • 01、防火墙具备路由器功能
    • 02、基于状态的防火墙
    • 03、 部署下一代防火墙的注意点
    • 网络安全学习资源分享:
  • 如何入门学习网络安全【黑客】
    • 大纲
    • 学习教程
    • 面试刷题
  • 资料领取

01、杀毒软件

杀毒软件不仅仅针对计算机病毒

杀毒软件,或杀毒软件(简称AV软件),也称反恶意软件,是一种用于预防、检测和清除恶意软件的计算机程序。

防病毒软件最初是为了检测和清除计算机病毒而开发的,因此得名。然而,随着其他恶意软件的扩散,防病毒软件开始防范其他计算机威胁。特别是,现代防病毒软件可以保护用户免受恶意浏览器帮助对象(BHO)、浏览器劫持者、勒索软件、键盘记录器、后门程序、rootkit、特洛伊木马、蠕虫、恶意LSP、拨号程序、欺诈工具、广告软件和间谍软件的侵害。

一些产品还包括防范其他计算机威胁,例如受感染和恶意URL、垃圾邮件、诈骗和网络钓鱼攻击、在线身份(隐私)、网上银行攻击、社会工程技术、高级持续威胁(APT) 和僵尸网络 DDoS攻击。

防病毒引擎可以使用多种方法来识别恶意软件:

01、沙盒检测

一种基于特定行为的检测技术,它不是在运行时检测行为指纹,而是在虚拟环境中执行程序,记录程序执行的操作。根据记录的操作,防病毒引擎可以确定程序是否为恶意程序。

如果不是,则程序在真实环境中执行。尽管这种技术已被证明非常有效,但鉴于其沉重和缓慢,它很少用于最终用户的防病毒解决方案。

02、 数据挖掘技术

应用于恶意软件检测的最新方法之一。给定一系列从文件本身提取的文件特征,数据挖掘和机器学习算法用于尝试对文件的行为(恶意或良性)进行分类。

03、基于签名的检测

传统的防病毒软件严重依赖签名来识别恶意软件。实质上,当恶意软件到达防病毒公司手中时,恶意软件研究人员或动态分析系统会对其进行分析。然后,一旦确定是恶意软件,就会提取文件的正确签名并将其添加到防病毒软件的签名数据库中。

尽管基于签名的方法可以有效地遏制恶意软件的爆发,但恶意软件的作者试图通过编写“寡态”、“多态”以及最近的“变形”病毒来领先于此类软件,这些病毒会对自身的某些部分或其他方式进行加密。修改自己作为一种伪装的方法,以便与字典中的病毒签名不匹配。

许多病毒从单一感染开始,通过其他攻击者的突变或改进,可以发展成数十种略有不同的毒株,称为变种。通用检测是指使用单个病毒定义检测和删除多个威胁。

例如,Vundo 木马有几个家族成员,具体取决于防病毒供应商的分类。赛门铁克将 Vundo 家族的成员分为两个不同的类别:Trojan.Vundo和Trojan.Vundo.B。

识别特定病毒是可行的,而通过通用签名或通过与现有签名的不精确匹配来检测病毒家族可能会更快。病毒研究人员发现一个家族中的所有病毒都具有独特的共同区域,因此可以创建一个单一的通用签名。这些签名通常包含不连续的代码,在差异所在的地方使用通配符。这些通配符允许扫描程序检测病毒,即使它们填充了额外的、无意义的代码。[99]使用这种方法的检测被称为“启发式检测”。

04、 Rootkit 检测

防病毒软件可以尝试扫描 Rootkit。Rootkit的是一种类型的恶意软件被设计成通过计算机系统,以获得管理级别的控制而不被发现。Rootkit 可以改变操作系统的运行方式,并且在某些情况下可以篡改防病毒程序并使其失效。Rootkit 也很难删除,在某些情况下需要完全重新安装操作系统。

杀毒软件的实时保护

实时保护、按访问扫描、后台保护、驻留防护、自动保护和其他同义词是指大多数防病毒、反间谍软件和其他反恶意软件程序提供的自动保护。这会监视计算机系统是否存在可疑活动,例如计算机病毒、间谍软件、广告软件和其他恶意对象。实时保护检测打开文件中的威胁,并在应用程序安装在设备上时实时扫描这些应用程序。插入 CD、打开电子邮件或浏览网页时,或者打开或执行计算机上已有的文件时。

02、 下一代防火墙(NGFW)

下一代防火墙(NGFW)这是这些年经常听到的概念,抛开字面意思单从使用上来讲与传统防火墙还是有区别的,传统防火墙我们更多的是用访问控制,VPN,NAT等功能,但是下一代重点是在他的应用层安全能力,通常集成了应用控制,IPS,WAF,网关杀毒,邮件安全,沙箱,加密流量检测,安全情报,安全中心,restful API等功能。国内比较好的厂家包括华为,深信服,国外飞塔,PALO ALTO。

01、防火墙具备路由器功能

由于防火墙的存在,企业使用路由器也越来越少,基本上路由器有的功能防火墙都有。

以前使用路由器的过程中经常遇到这样的问题,单个业务同时发布联通和电信,会存在来回路径不一致的问题,但是防火墙由于是状态会话的机制,所以多了源进源出的能力,也就是说从哪条运营商的线路进来,就可以从哪条线路出去,这一下就解决了应用多线路发布的问题。因为防火墙经常用于应用发布,随之相应的安全能力就要求提高,所以也可能是为啥没有下一代路由器,而有下一代防火墙的原因吧。

02、基于状态的防火墙

现在防火墙基本都是状态防火墙,什么意思呢,就是防火墙会根据每一个流量的五元组,源IP,源端口,目标IP,目标端口,协议创建一个会话,会话作为一种状态,是阻断还是允许,会有状态的生存时间,如果流量持续流动,那么这个状态会持续的刷新。

这种机制很好的保证了安全性的同时提高了处理性能,同时也优化了管理员策略的管理

如果不是状态防火墙,用户如果需要访问某个应用,开策略时除了允许用户访问应用的策略,还需开启应用主动访问用户的策略,这给维护带来了很大的麻烦。过去许多网络管理员都使用cli来维护设备,但是防火墙基本不需要cli,web可以完成全部的功能操作,也正是如此,所以管理员无须去记那些生硬的命令,只需把专注力停留于防火墙的功能防护上。

03、 部署下一代防火墙的注意点

1、首先评估好需要的功能,因为下一代防火墙的功能实在是丰富,可能许多功能用户并不需要。例如邮件安全,文件杀毒,沙箱这些其实通过防火墙来做效果并不太好,规模较大的企业也会有独立的安全设备来满足这类需求,因此只需要买合适的,推荐使用IPS,实际在使用中发现防火墙的ips比专业的ips库少,但是更稳定,很少会导致业务异常的情况,维护起来也较为简单,另外应用控制也是个不错的功能,例如以前开RDP协议,可能就是开个3389端口,但是在应用层防火墙上可以单独加个WindowsRDP应用,这样就可以避免端口伪造其它应用。

2、其次评估好需要保护的流量大小,来选择购买合适的防火墙,通常下一代防火墙有应用层吞吐量(网络接口的上下行带宽总和)的指标,所以购买时应跟渠道确认好性能是否满足。

3、尽可能使用bypass 卡,防止业务中断。

4、配备SSD 来存储防火墙的log,如果没有也尽可能将防火墙的log存入日志服务器,这对出问题时的排查是至关重要的。

5、配置策略时尽可能是权限最小化原则,单向原则,策略应设定相应的有效期,备注描述。

6、目前大部分支持restful 接口,可以基于此做策略开通的自动化,省去了人为的操作。

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可前往文末获取

如何入门学习网络安全【黑客】

> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集(含答案)
> ⑧ APP客户端安全检测指南(安卓+IOS)

大纲

首先要找一份详细的大纲。

学习教程

第一阶段:零基础入门系列教程

该阶段学完即可年薪15w+

第二阶段:技术入门

弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞

该阶段学完年薪25w+

阶段三:高阶提升

反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练

该阶段学完即可年薪30w+

面试刷题

资料领取

上述这份完整版的网络安全学习资料已经上传网盘,朋友们如果需要可以微信扫描下方二维码 即可自动领取↓↓↓
或者
【点此链接】领取