威胁检测

威胁检测（精选5篇）

威胁检测 篇1

基于签名的安全防护解决方案、事件管理技术、防火墙, 以及传统的外围防御技术在网络威胁的斗争中仍然扮演者非常重要的角色, 只不过仅仅靠这些技术, 已经远远不够。根本原因在于——基于规则的安全防护系统在面对其先前不了解的威胁时就失效了, 它们已经跟不上当今各种互联网攻击的增长速度和变异能力。此外, 这些传统的技术通常非常昂贵, 并且难以进行管理、更新和扩展。如今, 许多老练的攻击者非常了解这些安全技术的局限性, 因而可以轻易地利用这些短板对用户电脑进行攻击。实际上, 传统安全技术的局限性, 可以说远在天边, 近在眼前——对于新的攻击, 由于缺乏已知的签名, 因而无法被系统检测到。

现在, 业内需要一种新的防护方式, 能够加强并扩展现有的安全解决方案, 能基于最先进的技术增加新的防护功能, 并能够应对大数据安全带来的挑战。而这, 就恰恰是Red Lambda所实现的。

总部位于弗罗里达州奥兰多市Red Lambda公司, 专注互联网安全、网格计算、数据驱动式安全防护、运营智能、威胁检测、威胁补救、事件管理、机器智能、网络举证和异常检测等安全领域。其在美国和英国伦敦同时进行业务经营, 并通过战略合作的方式, 将其安全防护解决方案推广至世界各地。借助于先进的大数据分析技术, Red Lambda突破了传统安全防护系统和基于设备的安全防护产品的局限和障碍, 帮助企业和政府机构在复杂的网络环境下, 有效地保障数据的安全。

Meta GridTM应运而生

为了实现更强大的数据保护功能, Red Lambda基于其大规模可扩展的分布式网格平台——Meta GridTM, 开发了一整套无缝集成式安全防护解决方案, 第一次将虚拟超级计算技术、关系型流处理技术和人工智能技术融合至一个完整的系统中, 从而实现对已知以及未知威胁的实时异常检测。这一系统具备非常强大的预测能力, 能够提供前所未有的可视化智能监测功能, 无需借助规则、签名或人工编程, 就可以解读所有结构化数据和非结构化数据。此外, 通过对终端用户的授权, 企业可以部署先发制人的策略, 从而能更自信地抵御网络攻击, 并同时从其运营数据中挖掘出巨大的商业价值。

Meta Grid以高度分布且模块化的架构为基础, 是一个全面的、基于软件的处理平台, 旨在充分利用现有的安全架构体系, 以前所未有的速度, 检测攻击用户网络的各种异常行为。作为一个完全集成的解决方案, Meta Grid以专利性的方式, 将新一代IT技术 (虚拟超级计算技术、关系型流处理技术和人工智能) 结合起来, 突破了现有安全系统在扩展、检测速度、数据摄取和相关性分析上的局限性, 帮助企业跨越签名检验技术的障碍, 发现以前无法检测到的威胁。Meta Grid对数据采集、数据关联、数据分析和响应流程进行了统一化, 较之于存在多年的传统安全防护方法, 取得了巨大的进步。

Meta Grid TM深度剖析

Meta Grid的领先技术和专利功能, 使得它能够帮助企业分析海量的网络信息和安全数据, 从而可以快速发现所有会对他们的数据资产或组织产生威胁的异常行为和操作模式。Meta Grid的工作机制主要可以分为以下4个步骤:数据获取、数据分析、结果关联、自动化处理。

1. 数据获取

对企业而言, 其所具有的并不是一个巨大的单一数据集。相反, 是以不同的形式、在不同的位置创建而成的多个数据集, 并存储在整个企业的系统中。这就是为什么我们将Meta Grid设计成摄取所有的数据——只要对象是数据, 我们就可以吸收它。这一功能对于IT安全防护至关重要, 因为情境感知需要对各个层级状态具有可见性, 不应该有任何不可见的黑暗角落。Meta Grid提供了前所未有的数据采集能力, 在一个单独的平台上, 为后续的搜索和分析, 无缝集成所有结构化、半结构化和非结构化的数据。

2. 数据分析

信息科学领域内的突破性技术进步为大量数据集的处理提供了新的可能, Meta Grid的专利性神经泡沫人工智能引擎正是利用了这一机遇, 将事件管理以通用共享的模式嵌入数据集中。每一个数据集都能显著地减少数据探索所需的工作量。同时, 基于事先学习和异常发现的神经泡沫功能, 能对事件进行分类。然后, 人工智能引擎会将分类结果可视化, 展示其运营范围内所发生的最不同寻常的事件。

3.结果关联

为了反映真实世界的相互关联性, 数据必须从多个源头同时进行处理, 从而产生可操作的信息。Meta Grid的关联功能, 可以发现不同数据源之间的深层关系。当传统的安全解决方案还在结构化数据上使用人工规则来进行信息关联时, Meta Grid已经能够揭示任何形式的、结构化或非结构化的数据中所隐藏的关系。Meta Grid的神经泡沫人工智能引擎可以自动从现有各种数据源中, 同时进行数据关联, 从而发现海量数据中有意义的关系和交互作用。4.自动化处理

一个安全防护系统, 要能够阻止一个正在进行的攻击, 就必须具备快速修补功能。Meta Grid具有一个高度可定制的、可扩展的协议引擎, 能够授权系统在整个IT环境中推动减灾方法, 从而在威胁扩散之前, 遏制并隔离受感染的系统。

独特优势

Red Lambda是第一家将大数据、IT安全、商业分析这三大技术整合成一个统一的“三合一”安全解决方案的企业。

首先, Meta Grid是建立在大规模且可扩展的、基于软件的超级计算网格平台上的。这恰恰也就是它能够突破传统解决方案在容积、规模、存储上的局限性的关键基础。网格为一个单一系统的正常运行提供了必须的功能授权和适时控制, 它可以将企业内在全球分布下的各个服务器作为一个整体, 动态地进行平衡负载, 自适应地进行数据处理。

接下来, Red Lambda利用IT安全领域内的最新技术进步, 应用在Meta Grid中。Red Lambda将Meta Grid设为一个与数据无关的安全防护平台, 从而让它能够从任何源头、任何位置、任何时间, 同时吸收所有类型的数据。Meta Grid可以横跨整个高度分布化的IT安全环境 (包括事件管理、防火墙、入侵防护系统和其它系统) , 从每一个解决方案的数据集中采集任何类型的数据和信息。Meta Grid将各种类型的数据进行了统一, 从而能以一个单一的视图提供检测智能和情景感知。

最后, Red Lambda创建了神经泡沫。神经泡沫是Red Lambda在人工智能领域内的又一专利技术。使用网格的计算能力, 神经泡沫加速了对异常行为和操作模式的定义和发现过程。它也为安全防护专家提供了可视化信息, 以便他们能够迅速地了解数据。

在日益复杂和越来越剧侵略性的网络威胁面前, Red Lambda“三合一”与众不同的特点, 将会帮助企业在这场网络安全战役中获得优势地位。

各方应用

1.政府

世界各地的政府每天都面临着互联网安全挑战, 从黑客主义、网络战争、到间谍主义, 网络安全被视为当今时代最为棘手的全球性问题之一。随着世界上关键性的IT基础设施越来越依赖于与网络以及大数据计算系统的互联互通, 保护政府的机密资产, 如军事邮件系统, 空中交通管制系统, 全球金融市场和公用设施等, 被认为是保障每个国家经济和安全利益的基础。

然而, 各国政府面临的挑战是非常复杂的, 由于网络犯罪是无国界的, 因此很难确定治理的界限和权限。网络间谍和网络战争日益复杂, 安全威胁不断演变和发展。罪犯都相当地老练, 并形成了错综复杂的黑市经济。放眼全球, 缺乏相应的专业知识和资源来打击网络罪犯。更具讽刺意味的是, 往往只需一个人, 就可以攻击所有国际政府的信息安全。

为了把信息安全的控制权返还给政府, 必须要有一种新的方法来保障网络安全。Meta Grid正是这一新的解决方案, 其提供了统一的情景感知信息和计算能力, 从而能够轻松地处理今天政府所面临的网络攻击。通过将高性能的计算能力、先进的神经智能引擎、成熟的社会分析技术, 以及快速的应变能力整合在一个系统中, Meta Grid能够帮助政府抵御今天以及未来的网络威胁。

2.医疗

尽管法律和税收上的优惠都在不断激励信息技术在医疗行业中的应用, 从而可以增加资源连接和信息共享。但事实上, 医疗行业在IT安全保护方案的部署上还远远落后于其它行业, 病人的信息数据无法得到充分的保障。历史上Heartbleed病毒的攻击, 就造成了社区卫生系统中450万病人病例的泄露。

全球各地的医疗服务提供商被黑客视为高价值的攻击目标, 因为这些医疗服务商存储的数据包含了每个人的详细信息, 从社会保险号、到地址、出生日期、电话号码、个人健康等隐私信息。只要得到这些信息的一部分, 犯罪分子就能够在黑市上以极高的价钱贩卖数据。此外, 与其它行业相比, 医疗行业通常需要更长的时间才能检测到攻击和异常, 这也进一步诱导网络犯罪分子将目标瞄准医疗行业。

Meta Grid以高度分布且模块化的架构为基础, 充分利用现有的安全架构体系, 从而能以前所未有的速度, 检测攻击医疗网络系统的异常行为。此外, Meta Grid对数据采集、数据关联、数据分析和响应流程的统一, 可以极大地弥补医疗行业在IT安全防护上的空白, 充分保障病人的医疗信息。

3. 零售业

零售商一直是网络攻击的前五大目标之一。一方面, 零售商拥有客户的大量个人信息;另一方面, 其零售网络中存在多个信息接口——POS终端, 电子商务网站, 指向金融机构和支付处理商的链接。因此, 零售商面临的数据环境更加复杂, 要保障数据安全也变得更加困难。

Meta Grid通过为零售商提供情境感知, 帮助其实时洞察企业内的运营状态, 并防止整个商务运作流程中违规行为的发生。Meta Grid具有强大的实时分析能力, 不论数据量是多少, 数据是什么类型, 数据的扩散速度有多快, Meta Grid都能够基于关系, 对所有结果化、半结构化以及非结构化的数据进行分类。这种动态的安全防护方案, 对零售商深入了解并保护其复杂的零售环境而言是至关重要的。

4. 金融服务业

对于金融服务机构, 赢得客户的信任是至关重要的。然而, 尽管金融服务机构不断增加对网络和IT安全产品的投入, 其仍然是网络犯罪分子的首要目标。无论是内部人员, 或是国内或国外的网络犯罪分子窃取金融服务机构的数据或发起恶意攻击, 其结果都是灾难性的——不仅仅是个人客户财务记录的泄露, 而是给银行、贷款公司、信用卡公司或其它组织的生存都造成威胁。

金融机构要保护自己的数据资产, 面临着许多挑战。由于其通常有多个分支机构, 并不断推出新的服务, 而且客户要求从多个端点设备访问他们的帐户信息, 传统的安全防护技术已经不足以应对金融机构今天面临的复杂环境, Meta Grid则可以满足这一需求。Red Lambda将网络中海量数据转化为金融机构所需的关键信息, 从而帮助金融机构迅速地识别并应对威胁。对于大型的金融机构而言, Meta Grid可以在全球范围内, 为其世界各地的分支网点提供数据安全防护。

总结

Meta Grid作为Red Lambda开发的新一代威胁检测解决方案, 能够为企业、政府以及其他组织提供最先进的安全防护技术, 帮助用户检测到以前无法发现的各种异常行为, 是迄今为止市场上反应最敏捷的威胁检测技术。

是威胁?还是感到威胁? 篇2

一、杰维斯的《国际政治中的认识与错误认识》

杰维斯在关于如何判断他国是否具有威胁性的论述中认为,政策制定者在以下几种情形下会比较容易得出他国具有高度威胁性的结论:

(一)政策制定者将他国行为的原因归于他国行为的非常理智的方式。

(二)发现另一个国家将大笔金钱花在只能以发生战争来证明是正当的工程上是相当令人担忧的。

(三)当国家采取观察者认为违背其自身经济利益的行动时会产生更加强烈的效果。

(四)当观察者相信行为者可以在不阻碍他人的情况下就能达到其表面的目标那么这个行为者就会被认为想要伤害他人。

(五)当另一个国家拒绝政治家相信可以达到对方所声称寻求的目标的建议时,对他国可能会采取的行为方法的选择的同样的分析也同样可以采用。

二、从认知角度看美国国会中的“中国威胁论”

90年代以来,第一次“中国威胁论”泛滥于1992—1993年间。Ross H. Munro在美国传统基金会所办刊物《政策研究》上发表了题为《正在觉醒的巨龙:亚洲真正的威胁来自中国》的文章。在这篇文章中,他认为中国在一个多世纪的努力之后,忠于坚实地走上了经济腾飞之路,在军事上也开始锋芒毕露,而且还是世界上屈指可数的共产主义国家,无论在经济方面还是在战略方面,中国将对美国至关重要的利益构成一种越来越大的威胁①。这个论调出台的背景是,1992年11月28日出版的《经济学家》杂志“中国特辑”中首次将中国的国民生产总值(GDP)估算为中国官方数字的两倍,则中国的经济实力次于美国和日本,已与德国比肩。此外,还有国际货币基金组织、美国兰德公司、世界银行等相继评估中国经济发展状况,1993年时,国际货币基金组织甚至公开声称中国的GDP“即使算不上第二,也已经是世界第三经济大国”②。这些关于中国实力和潜力的评估被美国中央情报局采用,作为美国对中国经济崛起考量的参照。美国的“中国威胁论”鼓吹者们认为,世界大国发展的必然逻辑就是经济发展—政治崛起—军事扩张,中国既然可以在经济上威胁到美国的绝对统治地位,那么在政治和军事上也可能威胁;中国在经济上的苏醒,显示了它在政治和军事领域里的苏醒。这个道理也可以从八、九十年代美国对日本的态度上显示出来,当日本经济如日中天时,美国相当担心日本未来的走向,双方互有嫌隙,而当1997年金融危机过后,美日显然又成了亲密无间的好伙伴,特别是在中国经济崛起之后,美国相当鼓励日本加强军事。此其一。其二,虽然日本经济仅次于美国,但是美国人对于日本的担心显然不如对于中国来得大。在分析当时各个机构对中国经济的评估时,我们注意到一个现象,《经济学家》1992年的评估数字是中国官方数字的两倍③,而在美国中央情报局递交给国会的1993年年度报告中对中国GDP的评估为2.35万亿美元,是中国官方统计数字的7—8倍④。显然,在他们看来,中国的官方数字是不可靠的,而如果中国在这些数字上没有讲实话,而是大大减小了数字,那么,一方面,想到的是中国即使在经济方面有所欺瞒,那么在其他方面呢?中国的国防开支呢?军队规模呢?关键也许不仅在于所欺瞒的实质内容,更在于欺瞒这种行为本身,中国所公开的其他一切东西都将遭到质疑,包括其所宣称的良好意图。而更糟的是,对于中国的信用产生了疑问之后,会进一步怀疑是什么样的动机会使得中国政府掩盖真实的数据和意图。另一方面,欺瞒这种行为,又暗示着对国际机构的藐视,因为欺瞒者的行为动机中暗含着这样的思考:我可以唬弄过这些机构,而这些机构的运作规则和合法性则是若干国家共同认可的,藐视它们也就是藐视他们,而对于他们所认可的其他规则,比如说联合国的权威、和平、不首先向其他国家动用核武器等等也是可以视而不见的。正是这样的推理,真正使得

“中国威胁论”者惊恐难安。其三,苏联解体后,美国人自己也还没有做好准备来面对后冷战时代的世界,不知道如何处理其他社会主义国家。在过往的几十年中,美国人没有很多和中国(“红色中国”)打交道的经验,却有很多和前苏联打交道的经验,当人们在遇到不熟悉的对象时,很容易在不熟悉的对象身上寻找原本熟悉的一些特征,分门别类,然后用一种已经熟悉的模式化的方法来应对。所以,中国既然和前苏联一样是社会主义国家,那么前苏联所具有的特征中国也必然拥有,这是很容易得出的结论。那么,对于中国具有“威胁性”的假设也是自然的,仿如先验。

第二次“中国威胁论”浪潮的掀起源于1995—1996年间的台海危机,这一场危机导致了美国国内对华政策的大辩论。是不是中国的飞弹试射本身真的对“台湾海峡的和平与稳定构成威胁”,又或者对美国的安全战略有任何实质性的影响,这个问题本文不予讨论,但是观察者对这个行为的认知和理解,则是本文所考察的。试射飞弹的这一行为与其说是要造成实质伤害,不如说是一种实力的显示,显示给谁看的呢?在“中国威胁论”鼓吹者们看来,如果中国真的如所说的那样是为了达到影响台湾选举的目的,那么试射飞弹非但不能达到这个目的,反而会使得岛内舆论偏向更不利的方向,如此一来,中国的真正用意又是值得怀疑了,这种情况下,很容易就会联想到自己是一个明显的多的目标。一方面,台湾问题本来就是中国的内政,要解决也是海峡两岸之间解决,最好是和平磋商解决,现在一言不和就动用武力,不啻是“耀武扬威”,是对美国的一种威胁和挑战,更何况当时的情况显示大陆方面温度飙升的一个导火线就是美国给予李登辉前往美国的签证并参加康奈尔大学的校友会。Richard Bernstein和Munro在他们合作的《即将到来的美中冲突》中声称中美两国已成为全球范围的对手,中国对美国在世界上“至高无上的地位”形成了“难以应付的挑战”,断言美中军事冲突不可避免⑤。而这个言论不能说不是这种心理的产物。另一方面,大陆的飞弹针对的是军事实力相对较弱的台湾,那么,美国方面理所当然的一个推理就是,一旦大陆的军事实力处于优越的位置上,它就会显示出它的扩张性,对周边提出领土要求,而这是直接危害到美国利益的。这种推理忽略了台湾问题的特殊性,以及台湾和大陆之间血脉相连的事实,而模糊了“台湾”与“中国周边国家”之间的巨大差别。除此之外,在美国看来,台湾问题是可以用和平的手段来解决的,需要尊重台湾民众的意愿和选择,大陆不放弃动用武力,也就是说,在有更好的方法来解决问题的情况下,却仍然选择一个会招致巨大经济损失的方法,那么,是不是中国为之冒险的诱惑(目标)大到足够弥补这个损失呢?也就是说,中国不惜违背自己的巨大经济利益,宁愿以台湾民众的痛苦(在美国人看来是痛苦)和克林顿政府的政治挫折为代价,而诉诸武力。

第三次“中国威胁论”起于1998—1999年间,从“李文和案”到“中国政治献金案”“中国卫星案”,直到1999年5月25日众议院特别调查委员会抛出《关于美国国家安全以及对华军事及商业关系的报告》为其高潮。这一次的“中国威胁论”,战场从媒体和学界转向了国会,归根结底是前两次“中国威胁论”在国会的反映,焦点和第一次有所雷同,在于对中国信誉的质疑。在前文中已有分析。2002年7月12日,美国国防部依据国会通过的《2000财年国防授权法》向国会提交《中国军力年度报告》,7月15日美国国会新成立的美中安全评估委员会向国会提交了第一份年度报告《美中经济关系对美国国家安全的影响》。连同紧随其后的媒体文章舆论宣传,掀起了第四次“中国威胁论”高潮。与前几次相比,在内容上并没有新鲜的东西,只是增加了许多捏造的事实。

三、结语

这种间歇性发作的病症——“中国威胁论”,当然有鼓吹者自己不可告人的动机这个因素,但是他们对于中国的形象的认知,是威胁还是伙伴,起到了相当大的作用。了解到他人为什么会产生出“中国-威胁”的意象,有助于我们致力于罗伯特·杰维斯所说的“廉价的形象”(cheap image),从而为我国的和平崛起创造和平和谐的外部环境。

注释:

①Ross H. Monro, “Awakening Dragon: The Real Danger in Asia from China”, Policy Review, No.62, Fall, 1992, pp.10-17

②吴心伯.“论克林顿亚太安全战略的形成”[J].国际政治研究,2003(2):69.

③同上.

④黄仁伟.“‘中国超级大国论’及其对我国国际环境的影响”.我国周边环境及国家关系.上海国际战略问题研究会1993年年会论文集,P.23.

⑤Richard Bernstein and Ross H. Munro, The Coming Conflict with China, New York, A. A. Knopf, Distributed by Random House, 1997.

参考文献:

[1] 吴心伯.“论克林顿亚太安全战略的形成”[J].国际政治研究,2003(2).

[2] 黄仁伟.“‘中国超级大国论’及其对我国国际环境的影响”[OC]我国周边环境及国家关系,上海国际战略问题研究会1993年年会论文集.

[3]Richard Bernstein and Ross H. Munro, The Coming Conflict with China, New York, A. A. Knopf, Distributed by Random House, 1997.

威胁检测 篇3

全网终端联防

V8+ 终端安全系统以未知文件动态行为分析为核心,以特征匹配为辅助,依托海量的金山特征库以及用户自定义的专属特征库, 将传统的单终端查杀防御,转变为全网终端的联防与分析能力,实现对用户终端安全已知和未知威胁的防御。

有专家认为,目前“超过90%的安全威胁,都是从应用终端的边界进入。而基于对未知威胁的程序检测,才是新一代企业终端安全软件的核心。”为此,基于成熟的“可信云查杀”、拥有自主知识产权的多核引擎技术、KVM云启发引擎技术 , V8+ 终端安全系统内置了超过亿级的威胁与可信特征库,运行过程中通过自我学习和不断进化,无需频繁升级,就可以直接查杀未知新病毒。

“黑白灰”尽在掌控中

在信息安全产业中, 我们把已知病毒称为“黑名单”,未知程序称为“灰名单”,可信程序称为“白名单”。针对“黑白灰名单”, V8+ 终端安全系统在传统杀毒软件对“黑名单”管控的技术基础上进行了进化,不但能处理“黑”,更能管理“灰”。在可信“白名单”技术的支撑下,依托V8+ 终端安全系统,即可让杀毒从黑名单管控时代迈向“黑白灰”全网监控的全新阶段。

不仅如此,V8+ 终端安全系统具有行为规则库的自动化分析能力, 它可以将原有的企业网络单点终端查杀,变成为向企业全网终端联防技术体系的跃迁,从而实现从多层防御到向纵深防御持续对抗的安全模型跨越,这相当于给企业的网络构建了一条安全的“护城河”。

专业病毒分析能力

V8+ 终端安全系统可以同时在云端对边界进入的多个任务进行分析、记录,可持续、实时地监测执行体生命周期内的行为动作, 识别0day漏洞、溢出等高级威胁,为用户提供实时、专有的全网未知威胁分析与鉴定能力。V8+ 终端安全系统通过对数据进行收集和处理以简单、可理解的交互形式,展现所有通过系统边界进入计算机的文件, 并形成全网的追踪与审计知识库,在已有的安全知识库的支撑下,让用户能够清晰、明晰地知道未知威胁是什么, 在全网的传播与行为模型是什么, 方便用户快速定位威胁的根本原因和紧急程度,实现对未知威胁的分析和取证。V8+ 终端安全系统相当于为用户提供了一支私有的专业病毒分析团队。

跨平台作战

展现了跨平台战略。V8+ 终端安全系统涵盖了传统PC端、新型虚拟化终端、移动端及国产终端 ,且所有终端都可通过控制台做统一管理。

在PC端方面 ,V8+ 终端安全 系统除全 面支持Windows全系列操作系统外 , 还支持Linux操作系统全方位地保护企业内部终端安全。在虚拟化系统方面V8+ 终端安全系统虚拟化解决方案 , 创新性地提出了“虚拟环境轻客户端模式”,结合无代理模式的性能优势和基于代理的多重安全保护手段,突破了“I/O风暴”技术壁垒。在系统中心的集成任务调度系统,负责所有高性能消耗的工作调度。安装在虚拟机上的“轻终端”可快速地响应调度器的统一指令,使得服务器整体时刻保持着很低的负载,从而将其对机器性能的影响降到最低。

在移动终端支持方面,V8+ 终端安全系统实现了跨平台统一管理企业移动设备,在为企业用户管理带来方便的同时,能保护移动设备上的数据、通信及应用程序安全。面对木马病毒的侵扰,V8+ 终端安全系统提供对移动终端的病毒 / 木马统一查杀功能,进一步减少数据泄漏的风险。

安全防护的技术路径

目前,企业内外网的病毒隐蔽性越来越高,侵袭的对象已经从以PC为主,正在向移动终端、服务器、云主机等快速延伸;企业需要的是整合、具有强大的云分析与鉴定能力的终端安全防护、管控、优化产品。而作为企业终端安全市场的最新一代产品,必须要具有三大判断基准,即是否以未知威胁的检测、有效实现边界管控和文件追溯、达成前置主动防御;是否以“黑灰”双控的模式,有效达成扫“灰”打“黑”,清理死角;是否以可理解的方式, 让用户真正地感知和了解病毒 / 木马的来龙去脉,做到防范于未然。三者缺一不可。而V8+ 终端安全系统作为企业终端安全市场的最新一代产品,不仅三者俱全,而且还在深度优化的基础上,改进了原有的“防杀、管、控、优”五大功能,重新定义了传统的杀毒软件的概念。

威胁检测 篇4

WEB浏览器是一个软件程序, 用于与WWW建立联结, 并与之进行通信, 它可以在WWW系统中根据链接确定信息资源的位置, 并将用户感兴趣的信息资源取回来, 对HTML文件进行解释, 然后将文字图像显示出来, 或者将多媒体信息还原出来。浏览器主要包括用户界面、浏览器引擎、网络、JS解释器、数据存储等组件。目前典型的WEB浏览器有InternetExplorer、360极速浏览器、360安全浏览器、搜狗浏览器、猎豹浏览器等, 它们适用于各种不同的环境。

2 WEB安全简介

WEB漏洞:

WEB应用程序的正常运行, 涉及到客户端浏览器、网络协议传输、服务器响应、数据库査询等许多方面。其中无论哪一方面出现漏洞, 均可能导致WEB安全问题。漏洞即某个程序 (包括操作系统) 在设计时未考虑周全, 当程序遇到一个看似合理, 但实际无法处理的问题时, 引发的不可预见的错误。系统漏洞又称安全缺陷, 如漏洞被恶意用户利用, 会造成信息泄漏, 如黑客攻击网站即利用网络服务器操作系统的漏洞。任何事物都非十全十美, 作为应用于桌面的操作系统—Windows以及运行于该环境中的WEB浏览器也是如此。这直接危害到我们使用计算机的安全行为, 漏洞受病毒及恶意代码利用, 容易导致巨大损失。OWASP于2010年发布的Top 10应用程序, 其中涉及到WEB应用程序的方面的有:客户端的注入漏洞、跨站脚本漏洞、服务端的授权管理、安全误配置、不安全的密码存储、网络传输层的失效的URL访问重定向、弱保护等。

3浏览器WEB安全威胁检测与实现

3.1 XSS动态检测技术

跨站脚本是服务端代码漏洞产生的问题, 因此唯有从服务端入手才能彻底解决。下面我们就主要讨论浏览器XSS动态检测技术。

动态检测技术之所以称为“动态”, 是指它不直接在文本层次分析可执行代码的行为, 而是在代码运行时进行动态调试、分析。动态检测技术将代码语义分析工作交给现成的代码解析器, 可以极大降低系统复杂度, 避免语法语义分析不到位导致的误判。

在XSS攻击检测领域, 动态检测意味着浏览器端XSS过滤器不再是一个相对独立的附加組件, 而是与浏览器各组件结合更紧密的一个安全机制。从浏览器架构的角度看, 动态检测技术工作在HTML解析器和Javascript解析器之间, 即在HTML解析器生成的文档对象模型 (Document Object Model, 简称DOM) 树中检测脚本节点, 完成后才将DOM树中的脚本结点传递给JavaScript引擎执行。因此, 动态检测技术可以完全规避浏览器的HTML解析“怪癖”, 直接在DOM树中命中HTML文档中的可执行脚本, 准确率大幅提升。动态检测技术有其优点, 动态检测技术在DOM树的基础上作检测, 因此与静态检测技术相比, 它最显著的优点就是不受浏览器解析怪癖的影响。无论多么复杂晦涩的HTML文档, 只要浏览器能解析出DOM树, 动态检测时就不会产生歧义。同时, 动态检测直接从DOM树的脚本节点下手还有个优点, 它无须重复扫描分析HTML文档。与传统的模拟解析方法相比, 这可以提升一定的性能。有优点, 自然也少不了缺点, XSSAuditor假设服务端只采用简单的几种参数变换, 并使用字符串精确匹配算法从URL中查找可疑脚本, 这显然不能覆盖所有场景。一旦攻击者发现服务端采用了XSSAuditor未知的参数转换方法, 就可以绕过它的检测。另外, 检测策略不够完善, 对间接脚本注入无能为力。常见的反射型XSS攻击都是将可执行脚本作为参数直接注入HTML响应中的, 而XSSAuditor也作了针对性的匹配检测。然而, 对于间接注入的恶意代码, XSSAuditor就无能为力了。

针对XSSAuditor未考虑复杂的服务端参数转换, 攻击者可以针对存在复杂参数转换的服务端发起反射型XSS攻击。

例如, 下面的服务端代码会把参数中的“you”改成“me”, 然后返回给浏览器:

正常的URL请求如下所示:

http://l 27.0.0. l/xss5.php?name=you

服务端收到请求后, 会将参数中的“you”替换成“me”, 因此正常的HTTP回应内容如下段代码所示:

然而, XSSAuditor并不知道服务端有这样奇怪的转换, 攻击者就可以构造—个恶意请求URL:

http://l 27.0.0.1 /xss5.php?name=

服务端收到请求后, 仍然把参数中的“you”替换成“me”, 于是HTML响应如下:

XSSAuditor从DOM树中知道返回的HTML文档中存在一段JS脚本。但当它把这段脚本与恶意请求URL做匹配时, 因为服务端把“you”替换成“me”, 匹配失败。XSSAuditor未能识别它是一个恶意攻击。

3.2 XSSBreaker的设计与实现

现有的浏览器端XSS检测技术均存在一定问题, 这里将重新设计并实现一个浏览器端的XSS检测机制, 新的XSS检测机制被命名为“XSSBreaker”。

3.2.1 XSSBreaker的核心架构和工作流程

XSSBreaker的核心是采用动态检测技术, 这里着重参考XSSAuditor的架构。XSSBreaker架构中Web服务器和浏览器之间通过Internet连接。深入到浏览器内部, XSSBreaker是浏览器的一个安全组件, 将与浏览器的HTML解析器、DOM树、JavaScript引擎等组件交互。HTML解析器负责将HTML文档解析成DOM树, DOM树由HTML解析器生成, JavaScript引擎负责解释执行网页内容中的JavaScript脚本。在这个架构内, XSSBreaker的主要工作流程是:浏览器向网站服务器提交一个HTTP请求, Web服务端向浏览器返回一个html响应文档, 浏览器调用XSSBreaker的init方法, 进入XSS检测初始化流程, 浏览器内置的HTML解析器开始解析html响应文档, HTML解析器生成文档对应的DOM树, 其中包含文本节点和脚本节点, XSSBreaker进入检测流程, 检测每一个脚本节点, XSSBreaker使用字符串近似匹配算法, 在脚本中査找GET/POST参数, DOM树的剩余脚本节点传递给JavaScript引擎执行, 若JavaScript引擎遇到evalO之类的动态函数, 那么新脚本也将被传递到XSSBreaker的check () 方法, 重复前面两步, 若文档通过document.writeO方法或DOM节点的innerHTML属性产生了新的HTML文档, 那么新内容也将被传递给HTML解析引擎, 即重复第5步之后的步骤。

3.2.2 XSSBreaker的实现

XSSBreaker是基于Firefox浏览器的内容安全策略 (Content Security Policies, 简称CSP) 实现的。XSS检测策略可以分为内联策略、外部策略和白名单检测策略。内联策略用于阻挡集成在内联脚本的XSS攻击, 外部策略应用于外部代码, 如果外部脚本的URL指向的主机不是由参数提供, 则可以信任, 即使外部脚本的URL指向的主机是由参数提供的, 只要该主机属于当前页面的可信域, 则直接放行。白名单并不是孤立的策略, 而是贯穿于XSS检测过程中, 在参数匹配算法中, XSSBreaker首先排除小于8字节的参数, 因为它甚至不能构成一个脚本标签, 不可能是XSS参数。这些白名单策略既可以减少检测时间, 又能降低误报率, 是优化XSSBreaker的重要手段。

内容安全策略是一套开发者工具集, 用于帮助开发者预防多种类型的Web攻击。它支持让开发者预定义安全规则, 以减少跨站脚本、点击劫持、数据包嗅探等攻击。当CSP检测到网页内容违反安全规则时, 会将信息报告给网站开发者, 以帮助其修复网站程序漏洞。

总之, 本文通过论述跨站脚本检测技术的原理、优缺点, 并构造实例演示了攻击方法。研宄表明, 目前己有的浏览器端跨站脚本检测技术存在诸多安全缺陷, 而且未能在安全性、兼容性、性能之间取得较好平衡, 为了提高浏览器整体安全性, 我们设计XSSBreaker来检测和实现浏览器的WEB标准的改进的兼容性。这不仅能让安全站点更容易部署, 而且能够减少试图使网页在所有平台正确显示所花的时间。

参考文献

[1]吴健君, 周兵.浏览器/Web服务器与C-B-S模式及其应用.

[2]国家互联网应急中心, 2010尔中国互联网网络安全报告,

[3]陈爱华.浏览器Web安全威胁检测技术研究与实现.北京邮电大学.2013 (01)

[4]刘大勇.Web的安全威胁与安全防护.大众科技.2005 (03)

[5]曾平.基于浏览器嵌入规则的非安全JavaScript检测与分析.湖南大学2011 (05)

[6]王欣.WEB应用系统安全检测关键技术研究.北京邮电大学.2011 (05)

[7]韦银.浅谈Web的安全威胁与安全防护.科学咨询 (决策管理) .2010 (01)

威胁检测 篇5

关键词：电磁空间,电子战,安全,对策

今日世界, 依托高技术优势和信号化武器装备进行电子对抗, 已经成为交战双方达成作战目的的基本途径和惯用手段。由于军事领域电磁应用的日趋广泛, 使得战争环境发生了重大改变, 出现了与传统战场并重的新要素———电磁空间。

所谓电磁空间, 是指在一定的战场空间内, 由空域、时域、频域、能量上分布的数量繁多、式样复杂、密集重叠、动态交迭的电磁信号构成的电磁环境, 其形成与发展及对信息化战争的影响, 当前十分引人注目。

在未来信息化战争中, 夺取电磁空间信息优势成为赢得未来战胜主动权的先决条件。未来信息化战争, 战场透明度将进一步增强, 电磁空间不可避免的要展开侦查与反侦察的斗争。未来战争中, 制空权、制海权, 已逐步转为依靠电子设备、技术、战术等“软杀伤”系统的优势上来;同时, 如果电磁空间安全建设做不好, 就可能造成信息被窃, 网络被毁, 指挥控制系统瘫痪, 制信息权丧失等严重后果, 也就无法发挥信息化军队的作战能力。可以说, 谁拥有了作战制电磁权, 谁就赢得了战争的主动权。

当我国的电子战界人士正在全力以赴地研究和开发适应21世纪数字化战场要求的电磁战技术和装备时, 决不可以对我们所面临的电磁空间威胁掉以轻心。众所周知, 现代战争中的电磁战负有双重任务, 一是对敌方电子系统实施“软杀伤”或“硬杀伤”的电子攻击任务, 二是保护己方电子系统不受敌方电子战系统所实施的电子攻击的影响。

我国在新世纪里所面临的主要电磁威胁来自于美国及周边国家和地区的电子战能力, 其主要特点可以简单归纳为:

1) 全天候的陆、海、空、天基的综合一体化监视侦察系统几乎覆盖全球每个角落, 能够在重要事件发生时, 适时地调集资源, 重点监视该事件发生地域, 收集各种级别作战需要的情报。不管是在战时或是平时, 它们都能将对方的任何军事行动、装备部署、武器试验甚至人员活动情况置于严密的监视之下, 从而使其失去了原有地理空间上的安全屏障。其中, 具代表性的威胁有美国的“大酒瓶”、“小号”等电子侦察卫星, 美国的“RC-135U”、“E-2C”等预警机和电子侦察机。

2) 天基和机载监视侦察系统对各种辐射源的高分辨力、高精度地理位置定位能力, 完全能够支援各种武器平台实施精确打击。据报道, 美国电子侦察卫星的地理位置定位精度最高可达百米甚至数十米数量级, 图像侦察卫星能够看清楚地面上1米大小的目标。预警或资源探测卫星甚至可以发现隐蔽在地下的导弹发射装置和地下工程。

3) 机载和地面大功率电子干扰系统普遍具有机动性强的特点, 能够执行各种随队掩护干扰和远距离压制干扰任务, 有力地支援空中和地面部队的作战行动。美军现役的电子战装备基本能够满足军一级作战对纵深150公里、师一级作战对纵深70公里目标实施侦察干扰的要求。

4) 反辐射导弹是所有无线电射频和红外等辐射源的致命武器, 也是电子战的“硬杀伤”武器。美军现役的AGM“哈姆”系列高速反辐射导弹采用微波、电视、激光、红外成像或混合制导方式, 大大提高了命中精度和命中概率。

5) 信息战新武器的成功运用使防御方陷入了“防不胜防”的危机境地, 关键的指挥控制节点、通信节点、网络节点等面临了空前未有的威胁。信息战新武器包括计算机网络上的信息攻击武器、电磁炸弹和石墨炸弹等。在美伊战争中, 美英联军就在卫星、电子战飞机等平台的支持下, 在这场开始就步入电子战模式的现代战争中, 取得了压倒性优势。

在未来战争中, 要保证使用无线电资源的安全和自由, 不被敌所窃听和使用, 就应加强电磁空间的防护与建设, 以保证电磁空间安全。

首先是严格电磁管控。一是加强频谱管制, 严格划分通信频段, 从频域上区分干扰与通信所使用的范围, 必要时可设置保护频段。二是在时域上进行控制, 从时域上区分干扰与通信所使用的时段。三是在空域上进行控制, 使实施电子干扰方向避开己方工作的方向。四是在能域上进行控制, 将电子干扰功率控制在完成任务所需的最低限度以最大限度降低自扰现象。同时严格落实电磁保密规定, 在使用上加强对各种电磁波信号的控制, 以减少被敌侦测的机会。

其次, 采用扩展频谱、跳频、跳时以及突发等先进技术和手段, 提高雷达、通信、导航等电子设备的抗截获、抗干扰、抗检测能力, 保证电磁信息的安全畅通。

第三, 加强电子战力量建设, 提高信息站能力。借助先进信息技术, 靠“软件”实现实时电磁兼容。以电子防空作战中通信对抗干扰为例。首先综合根据己方通信对作战影响的重要程度和敌方通信对己方威胁的程度设定合理的优先级。在己方电子防空力量侦察到敌通信并在对敌实施干扰之前, 系统自动询问相关空域、频域内有无己方通信正在使用或即将使用。若无, 则立即实施干扰;若有, 则比较己方通信和敌方通信的优先级, 以优先级高的优先处理为准。

随着完全的信息战争时期到来, 传统的作战形式进行了以信息功能为主体的优化组合, 制电磁权已经成为未来高技术战争的制高点。只有综合使用电子战术手段, 才能夺取和保持制电磁权。只有把有限的财力、物力和技术, 使用于战争能力倍增器环节的建设上, 以综合电子战和计算机网络战为中心建立具有中国特色的武器装备体系, 规划和发展我们的综合电子战武器装备体系, 进行军事斗争准备和训练部队, 是尽快提高作战能力, 尽快做好军事斗争准备的最有效途径和赢得未来信息化战争的明智之举。

参考文献

[1]国防科技名词大典总编委会.国防科技名词大典[M].航天工业出版社;兵器工业出版社;原子能出版社, 2001.

[2]周宇昌, 熊之凡.空间信息战初探[J].空间电子技术, 2004.

[3]贾仁耀, 李修和等.卫星通信对抗可行性分析[J].电子对杭技术, 2005.