- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
11-APT防御
本章节下载: 11-APT防御 (337.65 KB)
本帮助主要介绍以下内容:
· 特性简介
○ 沙箱检测原理
· 配置指南
○ 配置沙箱
APT(Advanced Persistent Threat,高级持续性威胁)攻击,是一种针对特定目标进行长期持续性的网络攻击。目前,沙箱技术是防御APT攻击最有效的方法之一,它用于构造隔离的威胁检测环境。设备通过与沙箱进行联动,将网络流量送入沙箱进行隔离分析,由沙箱给出是否存在威胁的结论。如果沙箱检测到某流量为恶意流量,设备将对流量实施阻断等处理。
在设备配置了APT防御功能的情况下,当流量经过设备时,设备将进行APT防御处理。处理流程如下图所示:
图-1 APT防御实现流程
1. 外网的攻击者向企业内网发起APT攻击,攻击流量命中设备上的APT防御配置文件。
2. 设备对攻击流量中的文件进行还原,并将还原后的文件送往沙箱进行威胁分析。
3. 沙箱获取到文件后将运行该文件,并对运行后的行为进行检测分析。检测结束后,会向设备推送检测结果,并将检测结果缓存到APT缓存中。
4. 如果检测结果是恶意流量,则设备将根据配置的防病毒配置文件对后续流量进行阻断或告警等处理,保护企业内网免遭攻击。
沙箱可以看作是一个模拟真实网络建造的虚拟检测系统,当未知文件上送沙箱处理后,沙箱会运行该文件,并会对运行后的行为进行记录。沙箱通过将未知文件的行为和沙箱独有的行为特征库进行匹配,最后给出文件是否为威胁的结论。沙箱的行为特征库是通过分析大量的病毒、漏洞、威胁特征,提炼出各种恶意行为的规律和模式,形成的一套判断规则,它能够提供准确的检测结果。
与根据被检测对象的特征进行识别的检测技术(如防病毒)不同的是,沙箱检测是根据被检测对象的行为进行识别。因此具有可以识别未知文件的优点,可以更好的防御未知威胁。
设备收到沙箱推送的检测结果后,如果需要对攻击流量进行进一步的处理,则需要与防病毒功能进行联动。配置防病毒功能后,当后续恶意流量流经设备时,设备将识别恶意流量的应用层协议,并与防病毒配置文件进行匹配,再根据匹配到的防病毒配置文件中对应的协议报文执行的动作对恶意流量进行处理。
如果用户只想根据检测结果确定当前流量是否为恶意流量,而不需要对流量进行阻断,则对防病毒功能是否配置不作要求。
有关防病毒功能的详细介绍,请参见“防病毒联机帮助”。
本功能的支持情况与设备型号有关,请以设备实际情况为准。
APT防御功能的配置思路如下图所示:
沙箱的具体配置步骤如下:
1. 选择“对象 > 应用安全 > APT防御 > 沙箱”。
2. 沙箱的具体配置内容如下:
表-1 沙箱配置参数
|
参数 |
说明 |
|
连接状态 |
显示沙箱的连接状态 |
|
开启沙箱联动功能 |
开启本功能后,设备将匹配APT防御配置文件的流量送往沙箱进行检测 |
|
沙箱地址 |
沙箱的IP地址或域名 |
|
协议 |
设备与沙箱传输数据的协议 目前仅支持使用HTTPS协议,可为数据传输过程加密 |
|
用户名 |
登录沙箱的用户名 |
|
密码 |
登录沙箱的用户密码 |
|
缓存记录条数 |
设备会将沙箱返回的查询结果缓存在设备中,缓存中分为命中列表和非命中列表: · 非命中列表:表示该MD5值不属于威胁或不确定是否属于威胁 · 命中列表:表示该MD5值属于威胁 本参数用于配置两个列表中分别可以缓存的MD5条数 |
|
配置送往沙箱检测的文件大小上限 |
设置流量还原和文件检测支持的文件类型及大小上限 |
3. 单击<确定>按钮,完成沙箱的配置。
APT防御配置文件的配置步骤如下
1. 选择“对象 > 应用安全 > APT防御 > 配置文件”。
2. 在“APT防御配置文件”页面单击<新建>按钮,进入“新建APT防御配置文件”页面。
3. 新建APT防御配置文件,具体配置内容如下:
表-2 APT防御配置文件参数
|
参数 |
说明 |
|
名称 |
APT防御配置文件的名称 |
|
描述 |
通过合理编写描述信息,便于管理员快速理解和识别APT防御配置文件的作用,有利于后期维护 |
|
应用 |
APT防御检测的应用层协议类型 |
|
文件类型 |
需要送往沙箱检测的文件类型 |
|
方向 |
需要检测流量的方向,取值包括: · 上传 · 下载 · 双向 |
4. 单击<确定>按钮,新建APT防御配置文件成功,且会在“APT防御配置文件”页面中显示。
5. 在安全策略的内容安全配置中引用此APT防御配置文件,有关安全策略的详细配置介绍请参见“安全策略联机帮助”。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
