当前位置: 首页 > news >正文

奇安信全流量(天眼)面试题

《网安面试指南》https://mp.weixin.qq.com/s/RIVYDmxI9g_TgGrpbdDKtA?token=1860256701&lang=zh_CN

5000篇网安资料库https://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247486065&idx=2&sn=b30ade8200e842743339d428f414475e&chksm=c0e4732df793fa3bf39a6eab17cc0ed0fca5f0e4c979ce64bd112762def9ee7cf0112a7e76af&scene=21#wechat_redirect

一、全流量设备(天眼)的部署架构

天眼系统采用旁路部署模式,通过流量镜像实现非侵入式监测,核心组件包括流量传感器、分析平台和文件威胁鉴定器,具体部署架构如下:

  1. 传感器部署

    • 关键节点覆盖:在核心交换机、出口网关、DMZ区等关键位置部署流量传感器,镜像全量网络流量。例如,在护网场景中,需覆盖办公区、服务器区、云环境等区域的核心交换节点。

    • 协议解析能力:支持HTTP、DNS、SMTP、SMB等40余种协议解码,覆盖Web攻击、文件传输、邮件通信等场景,实现全流量元数据提取。

    • 性能优化配置:根据网络带宽调整捕获频率(如千兆/万兆适配),设置过滤规则减少冗余数据处理,并启用双向会话分析提升检测精度。

  2. 分析平台集群化

    • 集中化威胁分析:分析平台接收传感器上传的流量日志和文件样本,结合威胁情报进行关联分析。例如,某大型企业在15个产业园部署传感器,统一汇聚至总部分析平台实现全局威胁感知。

    • 分布式存储与计算:采用分布式搜索引擎(如ElasticSearch技术栈),支持PB级数据存储和秒级检索,满足护网期间海量日志的快速溯源需求。

  3. 管理组件扩展

    • 文件威胁鉴定器:独立部署沙箱模块,对传感器提交的可疑文件(如PE文件、脚本)进行动态行为分析,检测未知恶意代码。

    • 集中管理平台:通过统一界面管理多台天眼设备,实现规则库更新、补丁升级和状态监控,提升运维效率。

二、对普通漏洞的防护方式与作用

针对已知漏洞(如SQL注入、XSS、弱口令),天眼通过多维度检测引擎自动化响应机制实现高效防御:

  1. 规则匹配与协议分析

    • 特征库检测:内置超4万条入侵检测规则(如CVE漏洞利用特征),实时匹配流量中的攻击行为,例如检测永恒之蓝漏洞(MS17-010)的SMB协议异常。

    • 协议深度解析:通过HTTP请求参数解码识别SQL注入语句,或从邮件附件中提取恶意文件,阻断WebShell上传等攻击链环节。

  2. 多维度关联分析

    • 攻击链还原:将离散告警(如端口扫描、漏洞利用、横向移动)关联为完整攻击事件,基于ATT&CK模型可视化展示攻击阶段(侦察-入侵-横向渗透)。

    • 威胁情报联动:结合云端情报(如恶意IP、域名)进行实时碰撞,快速识别已知恶意行为。例如,匹配Shodan扫描IP或恶意证书签名。

  3. 自动化响应与处置

    • 联动防御设备:通过OpenC2接口与防火墙、WAF联动,自动拦截攻击源IP或隔离受感染主机。

    • 漏洞修复辅助:生成漏洞扫描报告(如Nessus格式),标记未修复的高危漏洞(如Log4j2),指导护网期间优先修补。

三、对0day攻击的防护能力

针对无公开特征的0day漏洞,天眼通过行为分析动态检测技术实现主动防御:

  1. 沙箱动态行为检测

    • 文件沙箱分析:对可疑文件(如Office文档、压缩包)在虚拟环境中执行,监控进程创建、注册表修改、网络连接等异常行为,识别无特征恶意代码。

    • 内存攻击防护:检测堆栈溢出、代码注入等内存操作,阻断漏洞利用链的关键步骤。

  2. 异常行为建模

    • 机器学习模型:基于历史流量建立正常行为基线(如访问频率、协议分布),识别偏离基线的异常活动(如非工作时间大量SSH登录)。

    • 攻击链狩猎:通过可视化拓线分析工具,从单条告警(如异常DNS请求)追溯潜在攻击路径,发现隐蔽的C&C通信或横向移动。

  3. 威胁情报与攻击溯源

    • 攻击痕迹留存:全流量原始数据包(PCAP)存储,支持按时间戳提取攻击发生时的完整流量,用于0day漏洞的逆向分析与漏洞验证。

    • EDR联动:结合终端响应系统(如天擎)获取进程树、注册表变更等数据,关联网络侧异常行为,实现跨层威胁闭环处置。

相关文章:

  • 基于CATIA二次开发的低音炮腔体容积精准计算技术详解
  • LLMs基础学习(五)模型微调专题(上)
  • 蓝桥杯刷题周计划(第三周)
  • Java 绘制图形验证码
  • 浏览器对一个资源设置了缓存,如何清除缓存,且后续请求不命中缓存
  • docker删除容器不成功问题
  • Matlab 多输入系统极点配置
  • python+MySQL+HTML实现产品管理系统
  • 打印模板公司名称动态实现自动匹配打印
  • 基于YOLO目标检测 识别 APP页面点击跳转页面加载时间,视频拆帧统计应用场景,场景数获取时间差,前端性能测试和统计
  • ChatGPT推理模型通用模型大解析!
  • 如何管理需求
  • 从零开始的python学习(六)P81+P82+P83+P84+P85
  • Vitis HLS中的hls::vector详解 矢量数据类型 单指令流多数据流 (SIMD)
  • python2和python3的区别
  • 基于SpringBoot+Vue+uniapp的高校招聘小程序+LW参考示例
  • 二叉树的层序遍历
  • Implementing SAP BPC Embedded - 2nd Edition
  • 【unity】GPU顶点动画
  • 【推理】大模型ReasonGraph:推理路径的可视化论文及代码分析
  • 山西太原一处居民小区发生爆炸,现场产生大量浓烟
  • 看见“看得见的手”,看见住房与土地——读《央地之间》
  • 体坛联播|欧冠半决赛阿森纳主场不敌巴黎,北京男篮险胜山西
  • 中国人保一季度业绩“分化”:财险净利增超92%,寿险增收不增利
  • IMF前副总裁朱民捐赠1000万元,在复旦设立青云学子基金
  • 新一届中国女排亮相,奥运冠军龚翔宇担任队长