高级逃避技术_第四课.pptxVIP

AET 第四课;课程纲要;为什么这些安全厂商产品无法检测并防护？;传统方式采用垂直检测数据流-基于数据包，数据分段的检测;一大部分的逃避技术仅仅基于协议的正常功能，而且这些功能在正常的通信中被广泛的使用着。;使用静态特征库进行防护的?;测试工具受限; “高级逃避技术”的应对策略及防范建议;1、安全设备规范要求 安全硬件和软件系统需要合乎以下标准 分层的标准化检测 基于RFC标准的协议解码是在所有的协议层进行标准化检测 合规标准化检查是目??防御逃避攻击的一种最可行的方式 具备逃避防护技术就绪的系统取决于它有能力和有效率在所有层面实现合规标准化检查。 合规化检查的原理就是利用TCP/IP协议的堆栈，打开堆栈发现异常数据字节然后清洗干净，再根据协议类型编写真正数据流的特征。这就是说, 所有协议需要准确解码并进行标准化检查之后根据已经具备的指纹特征准确匹配风险 独立的特征匹配 指纹识别不需要去担心逃避，因为标准化检测就已经可以对付它们了。 动态化保护 高级逃避技术特征动态升级，需要集中管理平台对设备和特征库统一升级和配置管理 ;安全引擎在每一层执行完整的协议栈检测，基于应用层数据流的检测过程;; 定期审计关键资产，关键数据和应用系统是否遭受过入侵（高级逃避技术的出现导致目前的任何系统都是受到威胁的） 应该考虑长期的计划和策略来迁移到动态的，可以有效拦截逃避攻击的解决方案，通过集中管理方式快速更新系统的补丁，实现实时监控系统和应用状态， 对于不能及时更新补丁的关键资产，要执行风险分析，可以防御逃避/高级逃避技术的动态的解决方案可以作为关键资产系统的虚拟补丁 ;3、取证 ，事后跟踪 ;总结;安全是一个过程;谢谢