- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
11-APT防禦
本章節下載: 11-APT防禦 (337.65 KB)
本幫助主要介紹以下內容:
· 特性簡介
○ 沙箱檢測原理
· 配置指南
○ 配置沙箱
APT(Advanced Persistent Threat,高級持續性威脅)攻擊,是一種針對特定目標進行長期持續性的網絡攻擊。目前,沙箱技術是防禦APT攻擊最有效的方法之一,它用於構造隔離的威脅檢測環境。設備通過與沙箱進行聯動,將網絡流量送入沙箱進行隔離分析,由沙箱給出是否存在威脅的結論。如果沙箱檢測到某流量為惡意流量,設備將對流量實施阻斷等處理。
在設備配置了APT防禦功能的情況下,當流量經過設備時,設備將進行APT防禦處理。處理流程如下圖所示:
圖-1 APT防禦實現流程
1. 外網的攻擊者向企業內網發起APT攻擊,攻擊流量命中設備上的APT防禦配置文件。
2. 設備對攻擊流量中的文件進行還原,並將還原後的文件送往沙箱進行威脅分析。
3. 沙箱獲取到文件後將運行該文件,並對運行後的行為進行檢測分析。檢測結束後,會向設備推送檢測結果,並將檢測結果緩存到APT緩存中。
4. 如果檢測結果是惡意流量,則設備將根據配置的防病毒配置文件對後續流量進行阻斷或告警等處理,保護企業內網免遭攻擊。
沙箱可以看作是一個模擬真實網絡建造的虛擬檢測係統,當未知文件上送沙箱處理後,沙箱會運行該文件,並會對運行後的行為進行記錄。沙箱通過將未知文件的行為和沙箱獨有的行為特征庫進行匹配,最後給出文件是否為威脅的結論。沙箱的行為特征庫是通過分析大量的病毒、漏洞、威脅特征,提煉出各種惡意行為的規律和模式,形成的一套判斷規則,它能夠提供準確的檢測結果。
與根據被檢測對象的特征進行識別的檢測技術(如防病毒)不同的是,沙箱檢測是根據被檢測對象的行為進行識別。因此具有可以識別未知文件的優點,可以更好的防禦未知威脅。
設備收到沙箱推送的檢測結果後,如果需要對攻擊流量進行進一步的處理,則需要與防病毒功能進行聯動。配置防病毒功能後,當後續惡意流量流經設備時,設備將識別惡意流量的應用層協議,並與防病毒配置文件進行匹配,再根據匹配到的防病毒配置文件中對應的協議報文執行的動作對惡意流量進行處理。
如果用戶隻想根據檢測結果確定當前流量是否為惡意流量,而不需要對流量進行阻斷,則對防病毒功能是否配置不作要求。
有關防病毒功能的詳細介紹,請參見“防病毒聯機幫助”。
本功能的支持情況與設備型號有關,請以設備實際情況為準。
APT防禦功能的配置思路如下圖所示:
沙箱的具體配置步驟如下:
1. 選擇“對象 > 應用安全 > APT防禦 > 沙箱”。
2. 沙箱的具體配置內容如下:
表-1 沙箱配置參數
|
參數 |
說明 |
|
連接狀態 |
顯示沙箱的連接狀態 |
|
開啟沙箱聯動功能 |
開啟本功能後,設備將匹配APT防禦配置文件的流量送往沙箱進行檢測 |
|
沙箱地址 |
沙箱的IP地址或域名 |
|
協議 |
設備與沙箱傳輸數據的協議 目前僅支持使用HTTPS協議,可為數據傳輸過程加密 |
|
用戶名 |
登錄沙箱的用戶名 |
|
密碼 |
登錄沙箱的用戶密碼 |
|
緩存記錄條數 |
設備會將沙箱返回的查詢結果緩存在設備中,緩存中分為命中列表和非命中列表: · 非命中列表:表示該MD5值不屬於威脅或不確定是否屬於威脅 · 命中列表:表示該MD5值屬於威脅 本參數用於配置兩個列表中分別可以緩存的MD5條數 |
|
配置送往沙箱檢測的文件大小上限 |
設置流量還原和文件檢測支持的文件類型及大小上限 |
3. 單擊<確定>按鈕,完成沙箱的配置。
APT防禦配置文件的配置步驟如下
1. 選擇“對象 > 應用安全 > APT防禦 > 配置文件”。
2. 在“APT防禦配置文件”頁麵單擊<新建>按鈕,進入“新建APT防禦配置文件”頁麵。
3. 新建APT防禦配置文件,具體配置內容如下:
表-2 APT防禦配置文件參數
|
參數 |
說明 |
|
名稱 |
APT防禦配置文件的名稱 |
|
描述 |
通過合理編寫描述信息,便於管理員快速理解和識別APT防禦配置文件的作用,有利於後期維護 |
|
應用 |
APT防禦檢測的應用層協議類型 |
|
文件類型 |
需要送往沙箱檢測的文件類型 |
|
方向 |
需要檢測流量的方向,取值包括: · 上傳 · 下載 · 雙向 |
4. 單擊<確定>按鈕,新建APT防禦配置文件成功,且會在“APT防禦配置文件”頁麵中顯示。
5. 在安全策略的內容安全配置中引用此APT防禦配置文件,有關安全策略的詳細配置介紹請參見“安全策略聯機幫助”。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
