i修訂記錄修訂記錄累積了每次文檔更新的說明。最新版本的文檔包含以前所有文檔版本的更新內(nèi)容。日期作者文檔版本審核人備注符號說明在本文中可能出現(xiàn)下列標(biāo)志，它們所代表的含義如下。圖形文字使用原則危險若用戶忽略危險標(biāo)志，可能會因誤操作發(fā)生危害人身安全、環(huán)境安全等嚴(yán)重后果。警告該標(biāo)志后的注釋需給予格外的關(guān)注，不當(dāng)?shù)牟僮骺赡軙o人身造成傷害。小心若用戶忽略警告標(biāo)志，可能會因誤操作發(fā)生嚴(yán)重事故（如損壞設(shè)備）或人身傷害。注意提醒操作中應(yīng)注意的事項，不當(dāng)?shù)牟僮骺赡軙?dǎo)致設(shè)置無法生效、數(shù)據(jù)丟失或者設(shè)備損壞。說明對操作內(nèi)容的描述進(jìn)行必要的補(bǔ)充和說明。在本文中會出現(xiàn)圖形界面格式，它們所代表的含義如下。文字描述代替符號舉例窗口名、菜單名等方括號“[]”彈出[新建用戶]窗口。選擇[系統(tǒng)設(shè)置/接口配置]。按鈕名、鍵名尖括號“<>”單擊<確定>按鈕。

目錄1.概述 32.產(chǎn)品特性 42.1.靜態(tài)安全檢測 42.2.流量元數(shù)據(jù)采集 43.產(chǎn)品價值 63.1.資產(chǎn)/脆弱性識別 63.2.數(shù)據(jù)審計 63.3.全面檢測 74.產(chǎn)品功能 84.1.資產(chǎn)識別 84.2.脆弱性識別 84.2.1.實時漏洞分析 84.2.2.被動掃描 94.2.3.主動掃描 94.3.協(xié)議解析 94.3.1.協(xié)議解析內(nèi)容 94.3.2.HTTPS加密解析 104.3.3.自定義解析內(nèi)容 104.3.4.數(shù)據(jù)傳輸 114.4.威脅檢測 114.4.1.違規(guī)訪問檢測 114.4.2.漏洞利用攻擊檢測 114.4.3.Web應(yīng)用攻擊檢測 134.4.4.DDOS檢測 154.4.5.黑鏈檢測 155.產(chǎn)品架構(gòu)與部署 175.1.系統(tǒng)架構(gòu)設(shè)計 175.2.多核并行處理 175.3.單次解析架構(gòu) 185.4.跳躍式掃描技術(shù) 185.5.SangforRegex正則引擎 185.6.旁路部署 19概述近幾年來，隨著互聯(lián)網(wǎng)+、業(yè)務(wù)數(shù)字化轉(zhuǎn)型的深入推進(jìn)，各行各業(yè)都在加速往互聯(lián)網(wǎng)化、數(shù)字化轉(zhuǎn)型。業(yè)務(wù)越來越多的向公眾、合作伙伴，第三方機(jī)構(gòu)等開放，在數(shù)字化業(yè)務(wù)帶給我們高效和便捷的同時，信息暴露面的增加，網(wǎng)絡(luò)邊界的模糊化以及黑客攻擊的產(chǎn)業(yè)化使得安全事件越來越復(fù)雜。內(nèi)部威脅是最難檢測的威脅之一，且可能會導(dǎo)致大量敏感數(shù)據(jù)泄露。而針對威脅安全的調(diào)查，則需要大量原始網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行支撐。同時，客戶資產(chǎn)情況不明，也導(dǎo)致客戶需要消耗大量的事件用于調(diào)查運(yùn)營上。潛伏威脅探針是深信服自主原創(chuàng)并擁有完全自主知識產(chǎn)權(quán)的威脅檢測、數(shù)據(jù)審計產(chǎn)品，該產(chǎn)品采用多核的硬件架構(gòu)，秉承“安全檢測、流量審計”的目標(biāo)，使用全新的威脅檢測技術(shù)對各種攻擊行為以及網(wǎng)絡(luò)威脅具有高精度的檢測能力，尤其是，該產(chǎn)品對于潛伏在內(nèi)網(wǎng)威脅流量的異常情況具有非常準(zhǔn)確、有效的發(fā)現(xiàn)能力。為了解決客戶對安全事件過程的調(diào)查，探針的流量元數(shù)據(jù)采集技術(shù)采集并存儲了網(wǎng)絡(luò)流量中重要數(shù)據(jù)。同時，為了減少大量用戶調(diào)查運(yùn)營時間，探針采用了被動掃描和主動掃描兩種方式幫助客戶進(jìn)行資產(chǎn)識別和脆弱性識別，最后探針設(shè)計各種數(shù)據(jù)接口，向安全分析平臺提供檢測數(shù)據(jù)和原始數(shù)據(jù)，一方面降低第三方平臺的安全分析壓力，另一方面又提供原始素材供其進(jìn)行進(jìn)一步安全分析。產(chǎn)品特性潛伏威脅探針作為流量采集設(shè)備，主要與交換機(jī)等具備旁路鏡像功能的匯聚設(shè)備進(jìn)行對接，對其鏡像的流量（按方案采集要求）進(jìn)行如圖2-3處理和輸出數(shù)據(jù)：圖2-3：探針對流量的處理流程示意圖靜態(tài)安全檢測檢測：基于黑客攻擊的靜態(tài)規(guī)則檢測，包括漏洞利用攻擊、Web網(wǎng)站攻擊、異常流量識別。形成安全檢測日志。基于情報分析，包括攻擊源匹配、請求流量匹配等發(fā)現(xiàn)僵尸網(wǎng)絡(luò)通信流量（如C&C通信、遠(yuǎn)控行為等）。形成安全檢測日志。基于資產(chǎn)梳理，包括自動識別內(nèi)網(wǎng)網(wǎng)段及互聯(lián)網(wǎng)，對內(nèi)網(wǎng)網(wǎng)段自動發(fā)現(xiàn)終端、服務(wù)器，并識別異常訪問行為、違規(guī)訪問行為。形成資產(chǎn)識別信息、違規(guī)訪問日志。就要脆弱性范圍聚焦，包括基于流量的方式發(fā)現(xiàn)存在的漏洞、弱密碼等暴露面問題，方便安全人員快速聚焦具體位置再分析，無需進(jìn)行大范圍的滲透處理。基于應(yīng)用檢測，識別流量中包含的具體應(yīng)用類型、訪問的網(wǎng)站類型特性等，形成審計日志。輸出：安全檢測日志、違規(guī)訪問日志。審計日志。資產(chǎn)識別信息。流量元數(shù)據(jù)采集采集：流量元數(shù)據(jù)，包括從TCP、UDP等組成NetFlow形式，從其他重要協(xié)議，如FTP、HTTP、DNS、POP3、SMTP、SMB等組成相應(yīng)的XFlow形式（如DNSFlow）傳遞給平臺，包含協(xié)議流量的所有關(guān)鍵四層以上數(shù)據(jù)。文件還原。支持從HTTP、FTP、Mail等相關(guān)可明文傳輸、下載文件的協(xié)議中還原指定大小范圍內(nèi)的2具體文件或附件信息，傳遞給平臺進(jìn)行分析。支持可執(zhí)行文件、OFFICE文件。輸出：XFlow形式的流量元數(shù)據(jù)。流量中還原的文件。產(chǎn)品價值潛伏威脅探針的核心價值在于資產(chǎn)識別、海量原始數(shù)據(jù)審計以及全面精確的威脅檢測。資產(chǎn)/脆弱性識別潛伏威脅探針能夠在對內(nèi)部的服務(wù)器進(jìn)行自動識別，如圖3-1所示，并且還能自動識別服務(wù)器上開放端口和存在的漏洞，弱密碼等風(fēng)險。圖3-1探針資產(chǎn)/脆弱性識別示意圖數(shù)據(jù)審計潛伏威脅探針支持包括DNS協(xié)議、SMB協(xié)議、FTP協(xié)議、LDAP協(xié)議等常見應(yīng)用類型的共100多種應(yīng)用協(xié)議數(shù)據(jù)審計，為了解決存儲問題，探針簡化數(shù)據(jù)流，不僅大大降低對數(shù)據(jù)存儲的要求，卻又不丟失重要信息。因此，探針用戶可以存儲一周的流量數(shù)據(jù)以實現(xiàn)更全面的調(diào)查分析。圖3-2展示部分常見的應(yīng)用協(xié)議。3-2解析的常用應(yīng)用協(xié)議此外，為了滿足不同的客戶不同的業(yè)務(wù)需求所需要的特定審計數(shù)據(jù)，探針支持過濾客戶不想審計的協(xié)議數(shù)據(jù)，審計存儲客戶關(guān)注的數(shù)據(jù)，不僅能減少客戶的數(shù)據(jù)存儲壓力，更能減少客戶對審計數(shù)據(jù)進(jìn)一步分析的工作量。全面檢測潛伏威脅探針對于病毒、蠕蟲、木馬后門、拒絕服務(wù)攻擊、各種服務(wù)器攻擊、終端攻擊、掃描攻擊、SQL注入、XSS、緩沖區(qū)溢出、欺騙劫持等攻擊行為以及網(wǎng)絡(luò)資源濫用行為（如P2P上傳/下載、CGI訪問攻擊、IIS服務(wù)器攻擊、網(wǎng)絡(luò)游戲、視頻/音頻、網(wǎng)絡(luò)炒股）等威脅具有高精度的檢測能力。同時，探針的自定義應(yīng)用識別規(guī)則庫模塊，可以通過參數(shù)的靈活設(shè)定，把關(guān)注的特殊事件作為自定義策略下發(fā)給引擎進(jìn)行檢測。對于網(wǎng)絡(luò)流量的異常情況具有非常準(zhǔn)確、有效的發(fā)現(xiàn)能力。產(chǎn)品功能潛伏威脅探針實現(xiàn)了網(wǎng)絡(luò)入侵檢測和網(wǎng)絡(luò)流量采集的完美結(jié)合，該產(chǎn)品不僅擁有業(yè)界其它產(chǎn)品無以比擬的高性能、高安全性、高可靠性和易操作性等特性，同時具備資產(chǎn)識別、脆弱性識別、原始網(wǎng)絡(luò)流量解析、全面的威脅檢測、以及持續(xù)的威脅開放共享五大功能，為用戶帶來了極佳的安全體驗。資產(chǎn)識別潛伏威脅探針為幫助保護(hù)用戶快速管理自身資產(chǎn)，實現(xiàn)了基于流量檢測的資產(chǎn)自動發(fā)現(xiàn)功能，可以通過流量的IP地址檢測及端口檢測快速發(fā)現(xiàn)用戶資產(chǎn)。對于網(wǎng)絡(luò)中的流量，我們可以通過是否與知名DNS服務(wù)器連接、是否訪問知名網(wǎng)站、是否有被搜索引擎進(jìn)行檢測等算法來判定哪些是內(nèi)網(wǎng)主機(jī)。在通過端口的連接情況，記錄開放的端口情況，幫助用戶了解自身的業(yè)務(wù)對外開放情況。另外探針支持通過添加設(shè)置哪些IP地址組為內(nèi)網(wǎng)主機(jī)，達(dá)到客戶自定義自身資產(chǎn)的目的。脆弱性識別通過對用戶資產(chǎn)的脆弱性識別，感知用戶資產(chǎn)中的漏洞風(fēng)險、配置風(fēng)險、弱密碼、Web明文傳輸，幫助用戶對自身資產(chǎn)安全情況的了解，以及達(dá)到提前預(yù)防的效果。實時漏洞分析潛伏威脅探針實時漏洞分析系統(tǒng)（PVS）實時旁路地檢測經(jīng)過設(shè)備的應(yīng)用流量，對流量進(jìn)行對應(yīng)的應(yīng)用解析，對解析后的應(yīng)用數(shù)據(jù)匹配實時漏洞分析識別庫，發(fā)現(xiàn)服務(wù)器存在漏洞。圖4-1實時漏洞分析示意圖旁路檢測實時漏洞分析采用的是旁路檢測技術(shù)，即將待檢測的數(shù)據(jù)包鏡像一份到待檢測隊列，檢測進(jìn)程對檢測的數(shù)據(jù)包進(jìn)行掃描檢測，對原有數(shù)據(jù)包的轉(zhuǎn)發(fā)不會造成任何性能影響。強(qiáng)大的漏洞特征庫實時漏洞分析所使用的漏洞特征庫由深信服北京研究中心安全專家針對目前最新的軟件、系統(tǒng)等漏洞提取特征，形成庫并快速的更新到探針設(shè)備，保證識別出網(wǎng)絡(luò)中出現(xiàn)的最新漏洞。被動掃描潛伏威脅探針分析用戶主機(jī)遭受攻擊后反饋的流量信息，可以識別出哪些漏洞是用戶主機(jī)存在，以及開發(fā)了哪些不必要的端口服務(wù)，哪些配置項配置錯誤。通過暴力破解攻擊是否成功識別用戶主機(jī)是否存在弱密碼。主動掃描潛伏威脅探針提供主動掃描功能，幫助管理員分析服務(wù)器開放的端口和存在的風(fēng)險，并對掃描結(jié)果提供對應(yīng)防護(hù)操作，如漏洞防護(hù)，端口屏蔽等來方便用戶進(jìn)行安全防護(hù)。端口掃描對用戶指定的服務(wù)器IP，端口進(jìn)行掃描，告知用戶該服務(wù)器開放了那些端口和服務(wù)漏洞分析針對端口掃描結(jié)果對開放的端口和服務(wù)進(jìn)行風(fēng)險分析，告知用戶服務(wù)器存在的漏洞。弱密碼探測提供內(nèi)置和自定義弱密碼庫，對用戶指定的服務(wù)器進(jìn)行弱密碼探測，分析服務(wù)器是否存在弱密碼風(fēng)險。協(xié)議解析協(xié)議審計目的就是把原始流量日志解析并存儲下來，然后再使用檢測引擎進(jìn)行檢測。協(xié)議解析內(nèi)容潛伏威脅探針支持協(xié)議解析，包括：HTTP協(xié)議、DNS協(xié)議、數(shù)據(jù)庫協(xié)議、遠(yuǎn)程過程調(diào)用（DCE-RPC）協(xié)議、動態(tài)地址解析協(xié)議、Kerberos協(xié)議、LDAP協(xié)議、SMB協(xié)議、SMTP協(xié)議、文件協(xié)議、文件傳輸協(xié)議、隧道協(xié)議、郵件訪問協(xié)議、地址解析協(xié)議等。HTTPS加密解析由于HTTPS的數(shù)據(jù)是經(jīng)過SSL加密處理的，如果不進(jìn)行HTTPS解密，則無法分析加密數(shù)據(jù)包里面的內(nèi)容，從而也無法達(dá)到各種攻擊檢測和防護(hù)的作用，而只能進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。HTTPS解密主要是在潛伏威脅探針內(nèi)部實現(xiàn)了HTTPS的代理功能，如圖4-4所示。當(dāng)探針識別到用戶在與HTTPS服務(wù)器建立連接時，根據(jù)用戶配置的策略，把這條連接的所有數(shù)據(jù)包抓到應(yīng)用層，并用用戶配置的SSL證書進(jìn)行SSL解密，然后把解密后的數(shù)據(jù)包進(jìn)行各種安全檢測處理，如數(shù)據(jù)包無異常，則再使用用戶配置的SSL證書進(jìn)行加密發(fā)送出去。圖4-4HTTP加密解析示意圖自定義解析內(nèi)容潛伏威脅探針通過設(shè)置自定義協(xié)議解析規(guī)則，根據(jù)業(yè)務(wù)需求，針對不同的協(xié)議內(nèi)容進(jìn)行定制數(shù)據(jù)審計，過濾客戶不想審計的協(xié)議數(shù)據(jù)，審計存儲客戶關(guān)注的數(shù)據(jù)。數(shù)據(jù)傳輸潛伏威脅探針支持多種API，探針能夠傳送檢測數(shù)據(jù)和審計數(shù)據(jù)信息給態(tài)勢感知平臺、SIEM平臺、SOC平臺。威脅檢測威脅檢測主要針對違規(guī)訪問、漏洞利用攻擊、Web應(yīng)用攻擊、DDoS攻擊、病毒攻擊、黒鏈進(jìn)行檢測。違規(guī)訪問檢測違規(guī)訪問指的是匹配到潛伏威脅探針的違規(guī)訪問策略黑名單或違反了白名單，主機(jī)頻繁發(fā)生違規(guī)訪問，說明該主機(jī)可能被黑客控制，或為內(nèi)網(wǎng)用戶的違規(guī)操作。圖4-4HTTP加密解析示意圖漏洞利用攻擊檢測漏洞利用是獲得系統(tǒng)控制權(quán)限的重要途徑。黑客從目標(biāo)系統(tǒng)中找到容易攻擊的漏洞，然后利用該漏洞獲取權(quán)限，從而實現(xiàn)對目標(biāo)系統(tǒng)的控制。潛伏威脅探針具備先進(jìn)的漏洞攻擊特征識別規(guī)則，而且深信服有專業(yè)安全團(tuán)隊不斷的針對新型漏洞進(jìn)行識別，更新特征庫，保證探針檢測最新的威脅。潛伏威脅探針能夠有效檢測來自服務(wù)器、終端、惡意軟件三個方面的漏洞攻擊，主要漏洞攻擊如：服務(wù)器漏洞攻擊Database漏洞攻擊數(shù)據(jù)庫類規(guī)則識別各種數(shù)據(jù)庫服務(wù)器漏洞，如Oracle、Sqlserver、Mysql等，防止攻擊者通過數(shù)據(jù)庫服務(wù)器漏洞攻擊用戶。DNS漏洞攻擊DNS類規(guī)則識別各種dns服務(wù)器漏洞，如Bind等，防止攻擊者通過dns服務(wù)器漏洞攻擊用戶。FTP漏洞攻擊FTP類規(guī)則識別各種FTP服務(wù)器洞，如Serv-U、WU-FTPD、WS_FTP、3CDeamon等，防止攻擊者通過FTP服務(wù)器漏洞攻擊用戶。郵件漏洞攻擊郵件庫類規(guī)則識別各種郵件服務(wù)器漏洞，如SendMail、FoxMail、MSExchange等，防止攻擊者通過郵件服務(wù)器漏洞攻擊用戶。網(wǎng)絡(luò)設(shè)備漏洞攻擊網(wǎng)絡(luò)設(shè)備類規(guī)則識別各種網(wǎng)絡(luò)設(shè)備漏洞，如Cisco、Juniper、HP等，防止攻擊者通過網(wǎng)絡(luò)設(shè)備漏洞攻擊用戶。掃描漏洞攻擊端口掃描是指攻擊者發(fā)送一組端口掃描信息，試圖以此入侵計算機(jī)，并了解其提供的計算機(jī)網(wǎng)絡(luò)服務(wù)類型。Scan規(guī)則識別各種掃描攻擊，如Nmap端口掃描，防止攻擊者獲取用戶信息。Shellcode漏洞攻擊Shellcode是一段小的程序，作為漏洞執(zhí)行的負(fù)載，執(zhí)行某種功能。Shellcode規(guī)則識別shellcode代碼，防止攻擊者遠(yuǎn)程執(zhí)行shellcode代碼。Telnet漏洞攻擊Telnet類規(guī)則識別各種Telnet服務(wù)器漏洞，防止攻擊者通過Telnet服務(wù)器漏洞攻擊用戶。TFTP漏洞攻擊TFTP類規(guī)則識別各種tFTP服務(wù)器漏洞，如3CDeamon、FutureSoft等，防止攻擊者通過tFTP服務(wù)器漏洞攻擊用戶。Web漏洞攻擊Web類規(guī)則識別各種Web服務(wù)器漏洞，如IIS、Apache等，防止攻擊者通過Web服務(wù)器漏洞攻擊用戶?？蛻舳寺┒蠢霉鬭pplication漏洞攻擊應(yīng)用軟件類規(guī)則識別各種應(yīng)用軟件漏洞，如即時通訊軟件、P2P下載軟件、媒體播放軟件、游戲軟件、安全軟件、備份軟件等，防止攻擊者通過應(yīng)用軟件漏洞攻擊用戶。File漏洞攻擊文件類規(guī)則識別各種文件格式漏洞，如office文件、pdf文件、媒體文件、圖片文件等，防止攻擊者通過文件格式漏洞攻擊用戶。System漏洞攻擊系統(tǒng)類規(guī)則識別各種操作系統(tǒng)漏洞，如Windows、Linux、Unix等操作系統(tǒng)，防止攻擊者通過操作系統(tǒng)漏洞攻擊用戶。WebActiveXActiveX是可以重用的軟件組件程序，可以嵌入到Web瀏覽器中使用。Web_activeX類規(guī)則識別各種嵌入到瀏覽器的AcitveX控件漏洞，防止攻擊者通過AcitveX控件漏洞攻擊用戶。WebBrowseWeb瀏覽器類規(guī)則識別各種Web瀏覽器漏洞，如IE、Firfox、GoolgeChrome等，防止攻擊者通過Web瀏覽器漏洞攻擊用戶。惡意軟件檢測Backdoor漏洞攻擊后門軟件是一種惡意軟件，可以安裝在用戶計算機(jī)上，繞過正常的認(rèn)證系統(tǒng)獲取遠(yuǎn)程計算機(jī)數(shù)據(jù)。后門規(guī)則識別后門軟件的網(wǎng)絡(luò)操作，防止攻擊者通過后門軟件獲取用戶數(shù)據(jù)。Spyware漏洞攻擊間諜軟件是一種惡意軟件，可以安裝在用戶計算機(jī)上，在沒有通知用戶的情況下，定期收集用戶信息。間諜規(guī)則識別間諜軟件的網(wǎng)絡(luò)操作，防止攻擊者通過間諜軟件獲取用戶數(shù)據(jù)。Trojan漏洞攻擊木馬木馬軟件是一種惡意軟件，可以安裝在用戶計算機(jī)上，通過木馬軟件遠(yuǎn)程操控目標(biāo)系統(tǒng)并執(zhí)行各種操作。木馬規(guī)則識別木馬軟件的網(wǎng)絡(luò)操作，防止攻擊者通過木馬軟件控制目標(biāo)系統(tǒng)。Worm漏洞攻擊蠕蟲程序是一種可以自我復(fù)制的惡意程序，可以通過網(wǎng)絡(luò)進(jìn)行傳播，消耗網(wǎng)絡(luò)和系統(tǒng)資源。蠕蟲規(guī)則識別蠕蟲程序的傳播，防止攻擊者通過蠕蟲程序破壞目標(biāo)系統(tǒng)。Web應(yīng)用攻擊檢測潛伏威脅探針具備先進(jìn)的Web應(yīng)用防護(hù)識別庫，探針具備先進(jìn)的Web應(yīng)用防護(hù)識別規(guī)則，而且深信服有專業(yè)安全團(tuán)隊不斷的針對新型Web應(yīng)用攻擊進(jìn)行識別，更新特征庫，保證探針檢測最新的威脅。潛伏威脅探針能夠有效防護(hù)OWASP組織提出的10大Web安全威脅的主要攻擊，主要功能如：SQL注入攻擊SQL注入攻擊產(chǎn)生的原因是由于在開發(fā)Web應(yīng)用時，沒有對用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQLInjection，即SQL注入。潛伏威脅探針可以通過高效的URL過濾技術(shù)，過濾SQL注入的關(guān)鍵信息，從而有效的避免網(wǎng)站服務(wù)器受到SQL注入攻擊。XSS跨站腳本攻擊跨站攻擊產(chǎn)生的原理是攻擊者通過向Web頁面里插入惡意html代碼，從而達(dá)到特殊目的。潛伏威脅探針通過先進(jìn)的數(shù)據(jù)包正則表達(dá)式匹配原理，可以準(zhǔn)確地過濾數(shù)據(jù)包中含有的跨站攻擊的惡意代碼，從而保護(hù)用戶的Web服務(wù)器安全。CSRF攻擊CSRF即跨站請求偽造，從成因上與XSS漏洞完全相同，不同之處在于利用的層次上，CSRF是對XSS漏洞更高級的利用，利用的核心在于通過XSS漏洞在用戶瀏覽器上執(zhí)行功能相對復(fù)雜的JavaScript腳本代碼劫持用戶瀏覽器訪問存在XSS漏洞網(wǎng)站的會話，攻擊者可以與運(yùn)行于用戶瀏覽器中的腳本代碼交互，使攻擊者以受攻擊瀏覽器用戶的權(quán)限執(zhí)行惡意操作。探針通過先進(jìn)的數(shù)據(jù)包正則表達(dá)式匹配原理，可以準(zhǔn)確地過濾數(shù)據(jù)包中含有的CSRF的攻擊代碼，防止Web系統(tǒng)遭受跨站請求偽造攻擊。弱口令檢測弱口令被視為眾多認(rèn)證類Web應(yīng)用程序的普遍風(fēng)險問題，潛伏威脅探針通過對弱口令的檢查，制定弱口令檢查規(guī)則控制弱口令廣泛存在于Web應(yīng)用程序中。同時通過時間鎖定的設(shè)置防止黑客對Web系統(tǒng)口令的暴力破解。HTTP異常檢測通過對HTTP協(xié)議內(nèi)容的單次解析，分析其內(nèi)容字段中的異常，用戶可以根據(jù)自身的Web業(yè)務(wù)系統(tǒng)來量身定造允許的HTTP頭部請求方法，有效過濾其他非法請求信息。文件上傳過濾由于Web應(yīng)用系統(tǒng)在開發(fā)時并沒有完善的安全控制，對上傳至Web服務(wù)器的信息進(jìn)行檢查，從而導(dǎo)致Web服務(wù)器被植入病毒、木馬成為黑客利用的工具。潛伏威脅探針通過嚴(yán)格控制上傳文件類型，檢查文件頭的特征碼防止有安全隱患的文件上傳至服務(wù)器。同時還能夠結(jié)合病毒防護(hù)、插件過濾等功能檢查上傳文件的安全性，以達(dá)到保護(hù)Web服務(wù)器安全的目的。緩沖區(qū)溢出檢測緩沖區(qū)溢出攻擊是利用緩沖區(qū)溢出漏洞所進(jìn)行的攻擊行動?？梢岳盟鼒?zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作。潛伏威脅探針通過對URL長度，POST實體長度和HTTP頭部內(nèi)容長度檢測來防御此類型的攻擊。DDOS檢測潛伏威脅探針采用自主研發(fā)的DOS攻擊算法，可防護(hù)基于數(shù)據(jù)包的DOS攻擊、IP協(xié)議報文的DOS攻擊、TCP協(xié)議報文的DOS攻擊、基于HTTP協(xié)議的DOS攻擊等，實現(xiàn)對網(wǎng)絡(luò)層、應(yīng)用層的各類資源耗盡的拒絕服務(wù)攻擊的防護(hù)，實現(xiàn)L2-L7層的異常流量清洗。探針通過兩個檢測階段進(jìn)行DDoS的檢測，如圖4-5所示：圖4-5DDoS檢測過程示意圖對于業(yè)務(wù)數(shù)據(jù)第一階段進(jìn)行TCP異常包、IP選項攻擊、未知IP協(xié)議攻擊、IP分片攻擊、LAND攻擊、WINNUKE攻擊、SMURF攻擊、TCP選項攻擊、各種FLOOD攻擊（包括SYNFLOOD,ICMPFLOOD,UDPFLOOD,DNSQUERYFLOOD）等DDoS檢測。當(dāng)?shù)谝浑A段中檢測到SYN包頻率過高時，將在第二階段對TCP連接做SYNCOOKIE代理，第二階段還進(jìn)行ICMP大包攻擊(即pingofdeath)等檢測。對于本機(jī)（訪問探針自身）數(shù)據(jù)，DDoS檢測模塊會在第一階段做端口掃描的檢測（SYN掃描和CONNECT掃描），包括所有的nmap掃描：FIN掃描，NULL掃描，xmastree掃描，UDP掃描，ACK掃描，MAIMON掃描，WINDOWS掃描，TCPIdle掃描。而第二階段根據(jù)第一階段的檢測結(jié)果決定是否做本機(jī)的syn代理。黑鏈檢測黑客通過非法手段在Web服務(wù)器中的頁面插入非法鏈接，或者在Web服務(wù)器中放置存在非法鏈接的頁面。這些非法鏈就是黑鏈。黑鏈對客戶造成許多的不良影響：損害網(wǎng)站形象、降低搜索排名、同時也說明客戶網(wǎng)站存在嚴(yán)重安全隱患。黑鏈檢測功能實現(xiàn)識別客戶的Web服務(wù)器是否被植入黑鏈。其關(guān)鍵技術(shù)：頁面緩存重組、自然語言分析、關(guān)鍵字關(guān)聯(lián)、特征分析、KNN、頁面屬性識別、動態(tài)權(quán)重。黒鏈檢測過程如下：在爬蟲請求和瀏覽器請求內(nèi)網(wǎng)站點頁面時，緩存頁面關(guān)鍵屬性內(nèi)容，重組html、css、js等站點關(guān)鍵信息，進(jìn)入分析階段。提取關(guān)鍵信息中的Html各代碼段顯示特性（如隱藏、位移等）、關(guān)鍵字、外部鏈接、插入的JS等信息。根據(jù)自然語言分析、KNN等智能分析技術(shù)識別上述信息，得到初步鑒定結(jié)果權(quán)重值。將關(guān)鍵字、顯示特征與已知黑鏈識別庫（樣本識別提取的入庫特征）進(jìn)行關(guān)聯(lián)，按匹配程度調(diào)整權(quán)重值。識別頁面站點屬性和插入JS屬性（已知購物、政府、企業(yè)、視頻、教育等），根據(jù)屬性調(diào)整權(quán)重值，最后得出是否為黑鏈。（4、5步均為降低誤判舉措，如政府網(wǎng)站很少出現(xiàn)購物信息，但會出現(xiàn)打擊賭博相關(guān)語言）圖4-7黒鏈檢測過程示意圖產(chǎn)品架構(gòu)與部署潛伏威脅探針是構(gòu)筑在多核平臺上，系統(tǒng)各平面、各模塊間的監(jiān)控和協(xié)調(diào)運(yùn)作，以及內(nèi)容審計和安全檢測等功能都是運(yùn)行在多核平臺上。探針的部署方式是旁路部署，接入旁路鏡像口對數(shù)據(jù)流進(jìn)行審計，不改變原有網(wǎng)絡(luò)結(jié)構(gòu)。系統(tǒng)架構(gòu)設(shè)計潛伏威脅探針構(gòu)筑在64位多核并發(fā)，高速硬件平臺之上，采用自主研發(fā)基于Linux操作系統(tǒng)的并行處理操作（SangforOS），將控制平面、內(nèi)容平面并行運(yùn)行在多核平臺上。多平面并發(fā)處理，緊密協(xié)作，極大的提升了網(wǎng)絡(luò)數(shù)據(jù)包的安全處理性能。潛伏威脅探針通過軟件設(shè)計將網(wǎng)絡(luò)層和應(yīng)用層的數(shù)據(jù)處理進(jìn)行分離，在底層以應(yīng)用識別模塊為基礎(chǔ)，對所有網(wǎng)卡接收到的數(shù)據(jù)進(jìn)行識別，再通過抓包驅(qū)動把需要處理的應(yīng)用數(shù)據(jù)報文抓取到應(yīng)用層。若應(yīng)用層發(fā)生數(shù)據(jù)處理失敗的情況，也不會影響到網(wǎng)絡(luò)層數(shù)據(jù)的轉(zhuǎn)發(fā)，從而實現(xiàn)高效、可靠的數(shù)據(jù)報文處理。整體架構(gòu)設(shè)計如圖1-1所示：圖1-1系統(tǒng)架構(gòu)設(shè)計圖控制平面負(fù)責(zé)整個系統(tǒng)各平面、各模塊間的監(jiān)控和協(xié)調(diào)工作，此平面包括配置存儲、配置下發(fā)、控制臺UI、數(shù)據(jù)中心等功能。內(nèi)容平面負(fù)責(zé)內(nèi)容審計和內(nèi)容安全功能的協(xié)調(diào)運(yùn)行，采用一次解析引擎，一次掃描便可識別出各種威脅和攻擊，內(nèi)容安全平面包括漏洞攻擊識別、Web應(yīng)用防護(hù)、實時漏洞分析、僵尸網(wǎng)絡(luò)、數(shù)據(jù)防泄密、內(nèi)容過濾等功能。內(nèi)容審計平面包括HTTP協(xié)議審計、DNS協(xié)議審計、FTP協(xié)議審計、SMTP協(xié)議審計等功能。多核并行處理潛伏威脅探針的設(shè)計不僅采用了多核的硬件架構(gòu)，如圖2-1所示，在計算指令設(shè)計上還采用了先進(jìn)的無鎖并行處理技術(shù)，能夠?qū)崿F(xiàn)多流水線同時處理，成倍提升系統(tǒng)吞吐量，在多核系統(tǒng)下性能表現(xiàn)十分優(yōu)異，是真正的多核并行處理架構(gòu)。圖2-1多核硬件架構(gòu)