Cloud Firewall預設的入侵防禦IPS(Intrusion Prevention System)能力可以即時主動式偵測和攔截駭客惡意攻擊、漏洞利用、暴力破解、蠕蟲、挖礦程式、後門木馬、DoS等惡意流量,保護雲上公司資訊系統和網路架構免受侵害,防止業務被未授權訪問或資料泄露,以及業務系統和應用程式損壞或宕機等。
雲上常見的網路攻擊
在雲環境中,企業通常部署面向公網訪問及內網互訪的關鍵業務系統,包括開發環境、生產環境和資料中台等。此類系統面臨多種網路安全威脅,攻擊者可能通過網路渠道實施入侵或非授權訪問,導致資料泄露、伺服器資源耗盡或業務中斷。
常見的網路攻擊類型包括:
惡意軟體攻擊:攻擊者通過誘導使用者下載病毒、蠕蟲、木馬等惡意程式,感染雲端服務器,進而實現持久化控制或橫向移動。
連接埠掃描與暴力破解:攻擊者利用自動化工具掃描開放連接埠,並通過暴力破解嘗試擷取系統登入憑證。成功入侵後,常部署後門、挖礦程式或勒索軟體。
Web應用漏洞攻擊:包括SQL注入、跨站指令碼(XSS)、跨站請求偽造(CSRF)、遠程代碼執行(RCE)等,攻擊者利用應用程式缺陷竊取資料、篡改內容或擷取系統許可權。
四層協議漏洞攻擊:針對傳輸層(如TCP/UDP)協議棧的漏洞發起攻擊,可能導致服務拒絕或許可權提升。
資料庫攻擊:針對Redis、MySQL等資料庫服務的未授權訪問或配置缺陷,進行資料竊取或寫入惡意指令。
命令執行與反彈Shell:攻擊者利用系統或應用漏洞執行任意命令,或建立由內向外的反向串連(反彈Shell),繞過邊界防護實現遠端控制。
為有效應對上述風險,企業應部署縱深防禦措施,包括啟用Cloud Firewall、強化網路安全配置、及時修複漏洞,以保障業務系統的安全性與可用性。
Cloud Firewall的IPS能力
阿里雲Cloud Firewall整合入侵防禦系統(IPS)功能,通過即時資料流量檢測、虛擬補丁、出向威脅防護、威脅情報聯動及智能分析模型,為企業雲上業務提供高效、精準的安全防護。
核心能力包括:
漏洞攻擊攔截:內建超過5000條基礎防禦規則與虛擬補丁,可快速阻斷已知漏洞利用行為,顯著縮短攻擊視窗。
虛擬補丁機制:對於存在漏洞但尚未完成修複的業務系統,Cloud Firewall可在3小時內提供防護策略,無需安裝系統補丁或重啟服務,有效緩解高危及0day漏洞風險。
出向惡意流量防護:檢測並阻斷失陷主機與惡意C&C伺服器的通訊、挖礦外聯、異常資料外傳等行為,防止內部威脅擴散和敏感資訊泄露。
威脅情報聯動:基於阿里雲全網安全感知體系,即時同步惡意IP、惡意網域名稱、C&C地址、掃描源、爆破源等高信賴度威脅情報,實現動態精準防護。
智能威脅識別:依託阿里雲積累的海量攻擊樣本與行為資料,構建機器學習模型,提升對未知威脅和新型攻擊模式的識別與響應能力。
通過上述能力,Cloud FirewallIPS在不干擾業務啟動並執行前提下,為企業提供主動、持續、自動化的網路層與應用程式層安全防護。
Cloud Firewall的入侵防禦在互連網邊界出方向支援通過 TLS檢查對加密流量進行解密檢測;入方向建議結合使用Web Application Firewall進行防護。
威脅情報能力說明
阿里雲的威脅情報通過多維資料融合與智能分析產生,確保提供高信賴度的情報資訊。
資料來源
雲端全網攻擊事件:利用部署在公用雲端及合作網路中的感應器即時捕獲攻擊流量和樣本。
海量匿名安全流量日誌:通過對經過脫敏處理的網路流量進行分析,提取出攻擊模式和惡意串連。
全球開源威脅情報:整合並驗證來自行業權威機構和安全社區的開源情報(OSINT)。
夥伴情報共用:與電訊廠商、雲端運算廠商及其他安全機構進行可信的資料交換。
生產方法與識別標準
多維度關聯分析:將IP地址、網域名稱、URL、檔案雜湊值以及攻擊手法等資訊進行綜合關聯分析,構建完整的威脅圖譜,以減少誤判。
智能研判引擎
巨量資料與機器學習模型:採用行為分析和異常檢測模型,從大量資料中自動識別可疑的惡意模式和新興威脅家族。
專家規則系統:運用由安全專家提煉的精準檢測規則,實現對已知威脅類型的快速且準確的匹配。
動態信譽評分:為每個威脅指標計算一個基於活動歷史、分布範圍、威脅類型和信賴度等因素的動態信譽評分數。
人工研判與驗證:針對高價值或複雜的威脅情況,由專業的安全分析團隊進行最終審核與定性,保證情報的準確性與可靠性。
威脅情報核心分類
阿里雲威脅情報圍繞網路互動的關鍵要素構建,分為三類:IP威脅情報、網域名稱威脅情報和URL威脅情報。其中,IP威脅情報依據流量方向進一步劃分為出向威脅情報與入向威脅情報。
IP出向威脅情報
匹配對象:匹配內部網路主動向外訪問的目的IP地址。
核心價值:用於檢測內部主機是否已失陷(如感染木馬、成為殭屍主機),或是否存在違規、惡意的外聯行為(如訪問礦池、C&C伺服器)。
具體類型與特徵說明:
類型
匹配特徵與威脅描述
Tor節點
匹配已知的Tor網路出口、入口或中繼節點IP。內部主機訪問可能意味著試圖進行匿名化通訊,以隱藏資料竊取、命令控制等惡意活動。
挖礦
匹配加密貨幣挖礦木馬通訊的IP或公開/隱形礦池IP地址。訪問此類IP表明系統可能已被植入挖礦程式,消耗計算資源。
C&C
匹配殭屍網路、遠端控制木馬、勒索軟體等惡意軟體的命令與控制伺服器IP。失陷主機通過訪問此類IP接收攻擊指令或回傳資料。
APT
匹配由進階持久性威脅(APT)組織擁有或使用的基礎設施IP。訪問此類IP極可能意味著已遭受有組織、有特定目標的進階攻擊。
反彈Shell
匹配歷史上曾被觀測到用於接收“反彈Shell”串連的IP。內部主機訪問可能是在嘗試建立一條由內向外、繞過防火牆的反向控制通道。
網路釣魚
匹配用於託管釣魚網站的後端伺服器IP。訪問此類IP可能是使用者在點擊釣魚連結後,與詐騙伺服器建立了串連。
惡意下載源
匹配用於分發惡意軟體(病毒、木馬、間諜軟體等)的伺服器IP。訪問此類IP可能是在下載或更新惡意負載。
IP入向威脅情報
匹配對象:匹配外部網路主動訪問內部資產的源IP地址。
核心價值:用於即時檢測和預警針對網路邊界、伺服器、應用系統的外部攻擊行為。
具體類型與特徵說明:
類型
匹配特徵與威脅描述
掃描
匹配具有連接埠掃描、服務探測、網路映射等偵察行為的IP。這是攻擊發起前的典型準備活動。
暴力破解
匹配針對SSH、RDP、FTP、資料庫、Web登入口等發起大量嘗試登入行為的IP。
漏洞利用
匹配發起已知漏洞(如Apache Log4j2、永恒之藍等)利用攻擊的IP。特徵包括髮送特定的攻擊載荷或利用鏈流量。
SQL注入
匹配向Web應用參數中注入惡意SQL代碼,試圖操縱資料庫的IP。
代碼執行
匹配利用Web應用、服務漏洞,嘗試遠程執行系統命令或代碼的IP。
Webshell
匹配嘗試上傳Webshell檔案,或與已知Webshell後門進行通訊的IP。
XSS攻擊
匹配發起跨站指令碼攻擊,向網頁中注入惡意指令碼的IP。
網域名稱威脅情報
匹配對象:匹配內部主機解析或訪問的網域名稱。
核心價值:攻擊者常利用網域名稱動態切換IP以規避封鎖。網域名稱情報能更持久、有效地檢測基於網域名稱構建的惡意基礎設施訪問。
具體類型與特徵說明:
類型
匹配特徵與威脅描述
Dnslog網域名稱
匹配常用於攻擊檢測或資料外泄的DNS日誌平台網域名稱。非人為的異常訪問可能意味著系統存在漏洞(如盲注、遠程代碼執行)且已被成功利用,導致無意的DNS解析泄露。
暗網代理
匹配提供暗網(如Tor網路)接入服務的Web代理網域名稱(如Tor2web類)。訪問此類網域名稱通常是訪問暗網服務的起點。
黑洞網域名稱
匹配因惡意或濫用,其DNS記錄已被安全廠商或電訊廠商解析到“黑洞”(無效地址)的網域名稱。訪問嘗試表明內部可能存在惡意軟體或配置錯誤。
挖礦
匹配挖礦指令碼或木馬串連的礦池網域名稱、補救伺服器網域名稱。
C&C
匹配使用網域名稱而非靜態IP作為命令控制伺服器的惡意軟體家族相關網域名稱。
APT
匹配APT組織註冊、使用的專屬網域名稱,用於長期活動。
網路釣魚
匹配偽裝成合法機構(如銀行、社交平台)的釣魚網站網域名稱。
惡意下載源
匹配用於分發惡意軟體的網域名稱,常通過URL縮短服務或CDN隱藏。
URL威脅情報
匹配對象:匹配內部主機訪問的完整網頁地址(URL)。
核心價值:提供精確的訪問目標定位,識別託管在合法雲端服務或共用IP上的特定惡意頁面。
具體類型與特徵說明:
類型
匹配特徵與威脅描述
挖礦
匹配內嵌網頁挖礦指令碼(如Coinhive類)的特定頁面URL,或礦池管理頁面。
C&C
匹配作為木馬、殭屍網路控制台或資料交換介面的特定URL路徑。
APT
匹配APT攻擊活動中使用的特定武器化文檔下載連結、漏洞利用頁面等URL。
網路釣魚
匹配高度模擬的特定釣魚頁面URL,用於竊取帳號密碼、支付資訊。
惡意下載源
匹配直接指向惡意可執行檔(.exe, .dll)、指令碼、文檔的下載連結。
Cloud FirewallIPS防禦原理
Cloud Firewall是串聯在雲上網路鏈路中,包括互連網出入向,NAT邊界、內網跨VPC及雲上和線下IDC機房之間。網路架構如下圖所示:
所有接入Cloud Firewall的網路流量都會經過Cloud FirewallIPS引擎和ACL引擎過濾,再轉寄出去。
針對網路流量,Cloud Firewall通過深度資料包協議識別解析DPI(Deep Packet Inspection)引擎進行檢測和識別,可以識別網路流量中的協議並進行包解析。同時,針對IPS攻擊和威脅情報,Cloud Firewall會進行流過濾和包過濾。如果命中了威脅引擎模式(觀察模式、拦截模式-宽松、拦截模式-中等、拦截模式-严格)以及IPS規則動作,那麼該攻擊資料包將被丟棄或允許存取,從而實現對攻擊的即時警示和攔截。
Cloud Firewall支援的攻擊類型
配置IPS威脅引擎模式的具體操作,請參見IPS配置。
攻擊類型 | 攻擊危害 | 防護建議 |
異常串連 | 攻擊者可能利用掃描器掃描伺服器上開放的連接埠,如果伺服器存在未授權的資料庫連接埠或其他弱口令的業務,可能會導致資料丟失或泄露。例如,Redis未授權訪問是一種常見的風險,如果未對Redis資料庫進行適當的安全配置,攻擊者可以通過未授權訪問獲得敏感性資料或對資料庫進行破壞。 | 如果您的業務中有較多的非Web應用,例如MySQL、SQLServer等非Web伺服器(開放的連接埠不是80、443、8080),那麼您應該重點關注是否命中此類規則,如Shellcode、敏感執行等多種針對非Web應用的攻擊方式。 如果您的業務中沒有上述的非Web應用,建議您開啟IPS威脅引擎拦截模式-严格模式。 |
命令執行 | 攻擊者執行惡意命令可能導致嚴重後果,如擷取機器的控制許可權、竊取敏感性資料或攻擊其他系統。例如Log4j漏洞,攻擊者可以利用該漏洞執行惡意命令,從而造成系統的安全威脅。 | 寬鬆模式下,可以制禦大部分Web應用的通用和非通用遠程命令執行攻擊,並能夠滿足日常防護的需求。然而,遠程命令執行攻擊在眾多攻擊中具有最大的危害性,因此您需要關注中等模式下各種組件的攻擊命中情況。 如果您的業務較為複雜,涉及到許多非Web應用的暴露面,建議您開啟IPS威脅引擎的拦截模式-严格模式。 |
掃描 | 網路掃描可能會對機器機或網路裝置造成過載,導致服務中斷或不穩定,可能會導致系統崩潰或服務不可用。 | 建議重點關注業務中是否開啟了SMB具名管道,該協議主要用於檔案分享權限設定等功能。如果業務中沒有使用SMB具名管道的需求,建議禁用該功能,以減少潛在的安全風險。 如果確實需要使用SMB具名管道,建議開啟IPS威脅引擎的拦截模式-中等或拦截模式-严格模式。 |
資訊泄露 | 資訊泄露可能導致個人隱私權受到侵犯,敏感個人識別資訊、連絡方式、財務資訊等可能被惡意利用。 | 鑒於不同業務對資訊泄露的定義可能不同,您可以重點關注拦截模式-中等及拦截模式-严格模式下規則的命中情況。 建議先開啟观察模式 ,對規則進行監控,在一個業務周期內(例如24小時、一周、一月)觀察是否會出現誤判的情況。如果观察模式 下沒有出現誤判,即規則沒有錯誤地判定正常流量為威脅行為,那麼可以考慮開啟IPS威脅引擎的拦截模式-中等或拦截模式-严格模式。 |
DoS攻擊 | DoS(拒絕服務)攻擊可能會對伺服器和網路裝置造成過載,導致服務中斷或不穩定,甚至可能導致系統崩潰或服務不可用。 | 該類攻擊直接危害性較小,您可以關注業務中是否存在未知原因導致的中斷、拒絕服務等。如果沒有,可以維持拦截模式-宽松模式。 如果您的業務SLA要求較高,可以選擇IPS威脅引擎拦截模式-中等或拦截模式-严格模式。 |
溢出攻擊 | 溢出攻擊可能會對伺服器和網路裝置造成過載,導致服務中斷或不穩定,甚至可能導致系統崩潰或服務不可用。 | 溢出攻擊主要是由於二進位中的輸入焦點未經嚴格控制,導致參數傳遞過程中發生記憶體越界,從而可能導致命令執行、資訊泄露等其他攻擊。在對溢出攻擊進行防護時,需要重點關注非Web應用攻擊的命中情況。 如果業務以Web應用為主,可以選擇拦截模式-宽松模式。如果業務中包含較多非Web應用,建議選擇IPS威脅引擎拦截模式-中等或拦截模式-严格模式。 |
Web攻擊 | Web攻擊是一種嚴重的安全威脅,攻擊者通過此類攻擊可以擷取目標機器的控制許可權,竊取敏感性資料,並且可能導致業務中斷。 | 除了遠程命令執行之外,在Web應用中還存在其他常見攻擊,例如OWASP TOP攻擊中的SQL注入、XSS、任意檔案上傳等。針對這些攻擊,建議在規則的灰階發布和正式發布過程中進行嚴格測試,並且日常營運中建議開啟IPS威脅引擎拦截模式-中等或拦截模式-严格模式。 |
木馬後門 | 木馬後門是一種危險的惡意軟體,它可以為攻擊者提供持續訪問受害機器的能力。即使系統漏洞被修複,攻擊者仍有可能重新進入系統。通過木馬後門,攻擊者可以長期監控受感染系統,竊取敏感性資料。同時,系統存在木馬後門可能導致法律責任、法律訴訟、罰款等問題,同時也會造成聲譽損失。 | 木馬後門通訊通常包含了加密、混淆、編碼等對抗防禦手法,strict 模式下通常用以弱特徵進行檢測、攔截故需重點關注。日常模式下建議開啟IPS威脅引擎中等模式。 木馬後門通訊通常採用加密、混淆和編碼等對抗防禦手法,strict 模式下通常注意使用弱特徵進行檢測和攔截。 日常營運中,建議開啟IPS威脅引擎拦截模式-中等或拦截模式-严格模式。 |
病毒蠕蟲 | 病毒蠕蟲是一種具有持久性的惡意軟體,它可以為攻擊者提供持續訪問受害機器的能力。即使系統漏洞被修複,攻擊者仍有可能重新進入系統。通過病毒蠕蟲,攻擊者可以長期監控感染系統,並竊取其中的資料。同時,系統存在病毒蠕蟲可能導致法律責任、法律訴訟、罰款等問題,同時也會造成聲譽損失。 | 通常,這類事件會導致主機失陷。如果在观察模式 下發現規則命中,就需要進行溯源分析,以確定攻擊來源和採取適當的應對措施。如果沒有任何規則命中,則可以推斷主機大機率處於無風險的正常運行模式,建議開啟IPS威脅引擎拦截模式-中等模式。 |
挖礦行為 | 挖礦行為是一種佔用機器頻寬和算力的惡意行為,會導致系統卡頓和效能下降,從而導致應用程式運行緩慢、響應延遲等問題,對使用者的工作效率和體驗產生負面影響。 | 通常,這類事件會導致主機失陷。如果在观察模式 下發現規則命中,就需要進行溯源分析,以確定攻擊來源和採取適當的應對措施。如果沒有任何規則命中,則可以推斷主機大機率處於無風險的正常運行模式,建議開啟IPS威脅引擎拦截模式-中等模式。 |
反彈Shell | 反彈Shell是一種危險的攻擊工具,它可以為攻擊者提供持續訪問受害機器的能力。即使系統漏洞被修複,攻擊者仍有可能重新進入系統。通過反彈Shell,攻擊者可以長期監控感染系統,並竊取其中的資料。同時,系統存在反彈Shell可能導致法律責任、法律訴訟、罰款等問題,同時也會造成聲譽損失。 | 通常,這類事件會導致主機失陷。如果在观察模式 下發現規則命中,就需要進行溯源分析,以確定攻擊來源和採取適當的應對措施。如果沒有任何規則命中,則可以推斷主機大機率處於無風險的正常運行模式,建議開啟IPS威脅引擎拦截模式-中等模式。 |
其他 | 主要用於非法外聯和由於外聯引起的攻擊,也包含無法歸類到其他攻擊分類的攻擊。 |
|
IPS防禦模式說明
威脅引擎運行模式分為觀察模式、攔截模式。根據配置的威脅引擎運行模式不同,基礎防禦和虛擬補丁中的規則匹配的動作不同,例如配置攔截-strict 模式,則大部分基礎防禦和虛擬補丁的規則匹配動作為攔截動作。威脅引擎運行模式可以分為以下幾種。
分類 | 適用情境 | 特點 | 樣本 | |
觀察模式 | 不防護。 | 針對攻擊行為僅記錄及警示,攔截模式會對攻擊行為阻斷。 | Apache Tomcat塊請求遠程拒絕服務(CVE-2014-0075)、Atlassian Jira SSRF攻擊(CVE-2019-16097)、Godlua後門軟體通訊。 | |
攔截模式 | 寬鬆模式 | 防護粒度較粗,主要覆蓋低誤判規則,適合對誤判要求高的業務情境。 | 明確漏洞利用關鍵字、關鍵參數,有明顯的攻擊報文和行為,無誤判可能性。 | Struts 2遠程代碼執行(CVE-2018-11776)、Spark REST API未授權訪問(CVE-2018-11770)、Jenkins遠程命令執行(CVE-2018-1000861)。 |
中等模式 | 防護粒度介於寬鬆和嚴格之間,適合日常營運的常規規則情境。 | 涉及每種攻擊類型,綜合利用各類漏洞利用分析方式,即為常規規則,基本無誤判的可能性。 | Oracle WebLogic Server遠程代碼執行(CVE-2020-2551)、Microsoft WindowsRDP Client遠程代碼執行(CVE-2020-1374)、SMBv1拒絕服務的攻擊(CVE-2020-1301)。 | |
strict 模式 | 防護粒度最精細,主要覆蓋基本全量規則,相比中等規則群組可能誤判更高,適合對安全防護漏報要求高的情境。 | 棧溢出、緩衝區溢位等高危害性漏洞,其中絕大部分四層漏洞,需經過協議分析、關鍵字匹配、多次跳轉、關鍵字位移等攻擊確認。 | Squid Proxy HTTP Request Processing緩衝區溢位(CVE-2020-8450)、Nginx 0-Length Headers Leak拒絕服務(CVE-2019-9516)、Oracle WebLogic | |