攻擊類型

攻擊危害

防護(hù)建議

異常連接

攻擊者可能利用掃描器掃描服務(wù)器上開(kāi)放的端口，如果服務(wù)器存在未授權(quán)的數(shù)據(jù)庫(kù)端口或其他弱口令的業(yè)務(wù)，可能會(huì)導(dǎo)致數(shù)據(jù)丟失或泄露。例如，Redis未授權(quán)訪問(wèn)是一種常見(jiàn)的風(fēng)險(xiǎn)，如果未對(duì)Redis數(shù)據(jù)庫(kù)進(jìn)行適當(dāng)?shù)陌踩渲茫粽呖梢酝ㄟ^(guò)未授權(quán)訪問(wèn)獲得敏感數(shù)據(jù)或?qū)?shù)據(jù)庫(kù)進(jìn)行破壞。

如果您的業(yè)務(wù)中有較多的非Web應(yīng)用，例如MySQL、SQLServer等非Web服務(wù)器（開(kāi)放的端口不是80、443、8080），那么您應(yīng)該重點(diǎn)關(guān)注是否命中此類規(guī)則，如Shellcode、敏感執(zhí)行等多種針對(duì)非Web應(yīng)用的攻擊方式。

如果您的業(yè)務(wù)中沒(méi)有上述的非Web應(yīng)用，建議您開(kāi)啟IPS威脅引擎攔截模式-嚴(yán)格模式。

命令執(zhí)行

攻擊者執(zhí)行惡意命令可能導(dǎo)致嚴(yán)重后果，如獲取機(jī)器的控制權(quán)限、竊取敏感數(shù)據(jù)或攻擊其他系統(tǒng)。例如Log4j漏洞，攻擊者可以利用該漏洞執(zhí)行惡意命令，從而造成系統(tǒng)的安全威脅。

寬松模式下，可以制御大部分Web應(yīng)用的通用和非通用遠(yuǎn)程命令執(zhí)行攻擊，并能夠滿足日常防護(hù)的需求。然而，遠(yuǎn)程命令執(zhí)行攻擊在眾多攻擊中具有最大的危害性，因此您需要關(guān)注中等模式下各種組件的攻擊命中情況。

如果您的業(yè)務(wù)較為復(fù)雜，涉及到許多非Web應(yīng)用的暴露面，建議您開(kāi)啟IPS威脅引擎的攔截模式-嚴(yán)格模式。

掃描

網(wǎng)絡(luò)掃描可能會(huì)對(duì)機(jī)器機(jī)或網(wǎng)絡(luò)設(shè)備造成過(guò)載，導(dǎo)致服務(wù)中斷或不穩(wěn)定，可能會(huì)導(dǎo)致系統(tǒng)崩潰或服務(wù)不可用。

建議重點(diǎn)關(guān)注業(yè)務(wù)中是否開(kāi)啟了SMB命名管道，該協(xié)議主要用于文件共享等功能。如果業(yè)務(wù)中沒(méi)有使用SMB命名管道的需求，建議禁用該功能，以減少潛在的安全風(fēng)險(xiǎn)。

如果確實(shí)需要使用SMB命名管道，建議開(kāi)啟IPS威脅引擎的攔截模式-中等或攔截模式-嚴(yán)格模式。

信息泄露

信息泄露可能導(dǎo)致個(gè)人隱私權(quán)受到侵犯，敏感個(gè)人身份信息、聯(lián)系方式、財(cái)務(wù)信息等可能被惡意利用。

鑒于不同業(yè)務(wù)對(duì)信息泄露的定義可能不同，您可以重點(diǎn)關(guān)注攔截模式-中等及攔截模式-嚴(yán)格模式下規(guī)則的命中情況。

建議先開(kāi)啟觀察模式 ，對(duì)規(guī)則進(jìn)行監(jiān)控，在一個(gè)業(yè)務(wù)周期內(nèi)（例如24小時(shí)、一周、一月）觀察是否會(huì)出現(xiàn)誤報(bào)的情況。如果觀察模式 下沒(méi)有出現(xiàn)誤報(bào)，即規(guī)則沒(méi)有錯(cuò)誤地判定正常流量為威脅行為，那么可以考慮開(kāi)啟IPS威脅引擎的攔截模式-中等或攔截模式-嚴(yán)格模式。

DoS攻擊

DoS（拒絕服務(wù)）攻擊可能會(huì)對(duì)服務(wù)器和網(wǎng)絡(luò)設(shè)備造成過(guò)載，導(dǎo)致服務(wù)中斷或不穩(wěn)定，甚至可能導(dǎo)致系統(tǒng)崩潰或服務(wù)不可用。

該類攻擊直接危害性較小，您可以關(guān)注業(yè)務(wù)中是否存在未知原因?qū)е碌闹袛唷⒕芙^服務(wù)等。如果沒(méi)有，可以維持攔截模式-寬松模式。

如果您的業(yè)務(wù)SLA要求較高，可以選擇IPS威脅引擎攔截模式-中等或攔截模式-嚴(yán)格模式。

溢出攻擊

溢出攻擊可能會(huì)對(duì)服務(wù)器和網(wǎng)絡(luò)設(shè)備造成過(guò)載，導(dǎo)致服務(wù)中斷或不穩(wěn)定，甚至可能導(dǎo)致系統(tǒng)崩潰或服務(wù)不可用。

溢出攻擊主要是由于二進(jìn)制中的輸入點(diǎn)未經(jīng)嚴(yán)格控制，導(dǎo)致參數(shù)傳遞過(guò)程中發(fā)生內(nèi)存越界，從而可能導(dǎo)致命令執(zhí)行、信息泄露等其他攻擊。在對(duì)溢出攻擊進(jìn)行防護(hù)時(shí)，需要重點(diǎn)關(guān)注非Web應(yīng)用攻擊的命中情況。

如果業(yè)務(wù)以Web應(yīng)用為主，可以選擇攔截模式-寬松模式。如果業(yè)務(wù)中包含較多非Web應(yīng)用，建議選擇IPS威脅引擎攔截模式-中等或攔截模式-嚴(yán)格模式。

Web攻擊

Web攻擊是一種嚴(yán)重的安全威脅，攻擊者通過(guò)此類攻擊可以獲取目標(biāo)機(jī)器的控制權(quán)限，竊取敏感數(shù)據(jù)，并且可能導(dǎo)致業(yè)務(wù)中斷。

除了遠(yuǎn)程命令執(zhí)行之外，在Web應(yīng)用中還存在其他常見(jiàn)攻擊，例如OWASP TOP攻擊中的SQL注入、XSS、任意文件上傳等。針對(duì)這些攻擊，建議在規(guī)則的灰度發(fā)布和正式發(fā)布過(guò)程中進(jìn)行嚴(yán)格測(cè)試，并且日常運(yùn)維中建議開(kāi)啟IPS威脅引擎攔截模式-中等或攔截模式-嚴(yán)格模式。

木馬后門(mén)

木馬后門(mén)是一種危險(xiǎn)的惡意軟件，它可以為攻擊者提供持續(xù)訪問(wèn)受害機(jī)器的能力。即使系統(tǒng)漏洞被修復(fù)，攻擊者仍有可能重新進(jìn)入系統(tǒng)。通過(guò)木馬后門(mén)，攻擊者可以長(zhǎng)期監(jiān)控受感染系統(tǒng)，竊取敏感數(shù)據(jù)。同時(shí)，系統(tǒng)存在木馬后門(mén)可能導(dǎo)致法律責(zé)任、法律訴訟、罰款等問(wèn)題，同時(shí)也會(huì)造成聲譽(yù)損失。

木馬后門(mén)通信通常包含了加密、混淆、編碼等對(duì)抗防御手法，嚴(yán)格模式下通常用以弱特征進(jìn)行檢測(cè)、攔截故需重點(diǎn)關(guān)注。日常模式下建議開(kāi)啟IPS威脅引擎中等模式。

木馬后門(mén)通信通常采用加密、混淆和編碼等對(duì)抗防御手法，嚴(yán)格模式下通常注意使用弱特征進(jìn)行檢測(cè)和攔截。

日常運(yùn)維中，建議開(kāi)啟IPS威脅引擎攔截模式-中等或攔截模式-嚴(yán)格模式。

病毒蠕蟲(chóng)

病毒蠕蟲(chóng)是一種具有持續(xù)性的惡意軟件，它可以為攻擊者提供持續(xù)訪問(wèn)受害機(jī)器的能力。即使系統(tǒng)漏洞被修復(fù)，攻擊者仍有可能重新進(jìn)入系統(tǒng)。通過(guò)病毒蠕蟲(chóng)，攻擊者可以長(zhǎng)期監(jiān)控感染系統(tǒng)，并竊取其中的數(shù)據(jù)。同時(shí)，系統(tǒng)存在病毒蠕蟲(chóng)可能導(dǎo)致法律責(zé)任、法律訴訟、罰款等問(wèn)題，同時(shí)也會(huì)造成聲譽(yù)損失。

通常，這類事件會(huì)導(dǎo)致主機(jī)失陷。如果在觀察模式 下發(fā)現(xiàn)規(guī)則命中，就需要進(jìn)行溯源分析，以確定攻擊來(lái)源和采取適當(dāng)?shù)膽?yīng)對(duì)措施。如果沒(méi)有任何規(guī)則命中，則可以推斷主機(jī)大概率處于無(wú)風(fēng)險(xiǎn)的正常運(yùn)行模式，建議開(kāi)啟IPS威脅引擎攔截模式-中等模式。

挖礦行為

挖礦行為是一種占用機(jī)器帶寬和算力的惡意行為，會(huì)導(dǎo)致系統(tǒng)卡頓和性能下降，從而導(dǎo)致應(yīng)用程序運(yùn)行緩慢、響應(yīng)延遲等問(wèn)題，對(duì)用戶的工作效率和體驗(yàn)產(chǎn)生負(fù)面影響。

通常，這類事件會(huì)導(dǎo)致主機(jī)失陷。如果在觀察模式 下發(fā)現(xiàn)規(guī)則命中，就需要進(jìn)行溯源分析，以確定攻擊來(lái)源和采取適當(dāng)?shù)膽?yīng)對(duì)措施。如果沒(méi)有任何規(guī)則命中，則可以推斷主機(jī)大概率處于無(wú)風(fēng)險(xiǎn)的正常運(yùn)行模式，建議開(kāi)啟IPS威脅引擎攔截模式-中等模式。

反彈Shell

反彈Shell是一種危險(xiǎn)的攻擊工具，它可以為攻擊者提供持續(xù)訪問(wèn)受害機(jī)器的能力。即使系統(tǒng)漏洞被修復(fù)，攻擊者仍有可能重新進(jìn)入系統(tǒng)。通過(guò)反彈Shell，攻擊者可以長(zhǎng)期監(jiān)控感染系統(tǒng)，并竊取其中的數(shù)據(jù)。同時(shí)，系統(tǒng)存在反彈Shell可能導(dǎo)致法律責(zé)任、法律訴訟、罰款等問(wèn)題，同時(shí)也會(huì)造成聲譽(yù)損失。

通常，這類事件會(huì)導(dǎo)致主機(jī)失陷。如果在觀察模式 下發(fā)現(xiàn)規(guī)則命中，就需要進(jìn)行溯源分析，以確定攻擊來(lái)源和采取適當(dāng)?shù)膽?yīng)對(duì)措施。如果沒(méi)有任何規(guī)則命中，則可以推斷主機(jī)大概率處于無(wú)風(fēng)險(xiǎn)的正常運(yùn)行模式，建議開(kāi)啟IPS威脅引擎攔截模式-中等模式。

其他

主要用于非法外聯(lián)和由于外聯(lián)引起的攻擊，也包含無(wú)法歸類到其他攻擊分類的攻擊。

• 如果業(yè)務(wù)中基本無(wú)外聯(lián)行為，可以選擇攔截模式-寬松模式。

• 如果主機(jī)上安裝了較多瀏覽器和應(yīng)用程序，并且外聯(lián)通信沒(méi)有進(jìn)行管控，那么由于外部到內(nèi)部的攻擊相對(duì)困難，攻擊者可能更容易通過(guò)外聯(lián)下載、C2通信進(jìn)行攻擊。如果對(duì)此類攻擊非常關(guān)注，建議開(kāi)啟IPS威脅引擎的攔截模式-嚴(yán)格模式。

分類

適用場(chǎng)景

特點(diǎn)

示例

觀察模式

不防護(hù)。

針對(duì)攻擊行為僅記錄及告警，攔截模式會(huì)對(duì)攻擊行為阻斷。

Apache Tomcat塊請(qǐng)求遠(yuǎn)程拒絕服務(wù)(CVE-2014-0075)、Atlassian Jira SSRF攻擊(CVE-2019-16097)、Godlua后門(mén)軟件通信。

攔截模式

寬松模式

防護(hù)粒度較粗，主要覆蓋低誤報(bào)規(guī)則，適合對(duì)誤報(bào)要求高的業(yè)務(wù)場(chǎng)景。

明確漏洞利用關(guān)鍵字、關(guān)鍵參數(shù)，有明顯的攻擊報(bào)文和行為，無(wú)誤報(bào)可能性。

Struts 2遠(yuǎn)程代碼執(zhí)行（CVE-2018-11776）、Spark REST API未授權(quán)訪問(wèn)（CVE-2018-11770）、Jenkins遠(yuǎn)程命令執(zhí)行（CVE-2018-1000861）。

中等模式

防護(hù)粒度介于寬松和嚴(yán)格之間，適合日常運(yùn)維的常規(guī)規(guī)則場(chǎng)景。

涉及每種攻擊類型，綜合利用各類漏洞利用分析方式，即為常規(guī)規(guī)則，基本無(wú)誤報(bào)的可能性。

Oracle WebLogic Server遠(yuǎn)程代碼執(zhí)行（CVE-2020-2551）、Microsoft WindowsRDP Client遠(yuǎn)程代碼執(zhí)行（CVE-2020-1374）、SMBv1拒絕服務(wù)攻擊（CVE-2020-1301）。

嚴(yán)格模式

防護(hù)粒度最精細(xì)，主要覆蓋基本全量規(guī)則，相比中等規(guī)則組可能誤報(bào)更高，適合對(duì)安全防護(hù)漏報(bào)要求高的場(chǎng)景。

棧溢出、緩沖區(qū)溢出等高危害性漏洞，其中絕大部分四層漏洞，需經(jīng)過(guò)協(xié)議分析、關(guān)鍵字匹配、多次跳轉(zhuǎn)、關(guān)鍵字偏移等攻擊確認(rèn)。

Squid Proxy HTTP Request Processing緩沖區(qū)溢出（CVE-2020-8450）、Nginx 0-Length Headers Leak拒絕服務(wù)（CVE-2019-9516）、Oracle WebLogic rda_tfa_ref_date命令注入（CVE-2018-2615）。