第七章 入侵防护技术演进

第七章 入侵防护技术演进7.1 主机层面的防护7.1.1 端点检测与响应

传统的杀毒软件基于签名库检测恶意软件，但面对零日漏洞和变形恶意软件，签名库难以覆盖。EDR（端点检测与响应）技术通过监控系统行为，识别异常活动。例如，当某个进程试图修改系统关键文件、注入代码到其他进程、连接已知恶意域名时，EDR会告警并阻断。

EDR的机器学习模型能够分析大量正常行为和恶意行为的特征，检测未知威胁。现代EDR还能记录完整的攻击链，帮助安全分析师溯源和响应。

7.1.2 应用程序控制

应用程序控制技术限制系统只能运行授权的软件。在白名单模式下，除系统程序和用户明确安装的软件外，其他任何程序都无法执行。这可以有效防止恶意软件运行，即使黑客通过漏洞写入恶意文件，也无法执行。

Windows的AppLocker、macOS的Gatekeeper、Android的Google Play Protect都是应用控制的具体实现。

7.2 网络层面的防护7.2.1 下一代防火墙

传统防火墙基于端口和协议进行过滤，但现代攻击常隐藏在允许的协议中。下一代防火墙集成了入侵防御系统、应用识别和威胁情报，能够检测并阻断攻击流量。例如，防火墙可以识别HTTP流量中隐藏的SQL注入攻击、识别并阻断与已知C2服务器的连接。

7.2.2 网络流量分析

网络流量分析工具持续监控网络流量，建立基线模型。当出现异常流量模式时，如某台设备突然大量连接外部IP、内部设备之间的异常通信等，系统会发出警报。这有助于发现已被入侵的设备，即使恶意软件本身未被检测到。

7.2.3 DNS过滤

DNS过滤服务维护恶意域名黑名单，当用户尝试访问黑名单中的域名时，DNS解析失败或重定向到警告页面。这可以有效阻断恶意软件与C2服务器的通信，即使设备已被入侵，也无法接收黑客的指令。

7.3 用户行为层面的防护7.3.1 安全意识和培训

技术防护无法完全阻止社会工程学攻击。用户的安全意识是最后一道防线。定期的安全培训能够帮助用户识别钓鱼邮件、恶意链接、假冒应用等常见攻击手法。

7.3.2 多因素认证

多因素认证要求用户提供至少两种不同类型的凭证，如密码+短信验证码、密码+生物特征、硬件令牌等。即使黑客窃取了密码，也无法通过第二道验证。SIM卡交换攻击虽然可以劫持短信验证码，但配合基于时间的一次性密码应用或硬件密钥，仍然可以有效防护。

7.3.3 最小权限原则

用户应遵循最小权限原则，仅在必要时授予应用权限。手机应用要求读取通讯录、位置、麦克风等权限时，应审慎考虑是否必要。对于智能设备，也应关闭不必要的远程访问功能，仅在需要时临时开启。