云防火墙默认的入侵防御IPS(Intrusion Prevention System)能力可以实时主动检测和拦截黑客恶意攻击、漏洞利用、暴力破解、蠕虫病毒、挖矿程序、后门木马、DoS等恶意流量,保护云上企业信息系统和网络架构免受侵害,防止业务被未授权访问或数据泄露,以及业务系统和应用程序损坏或宕机等。
云上常见的网络攻击
在云环境中,企业通常部署面向公网访问及内网互访的关键业务系统,包括开发环境、生产环境和数据中台等。此类系统面临多种网络安全威胁,攻击者可能通过网络渠道实施入侵或非授权访问,导致数据泄露、服务器资源耗尽或业务中断。
常见的网络攻击类型包括:
恶意软件攻击:攻击者通过诱导用户下载病毒、蠕虫、木马等恶意程序,感染云服务器,进而实现持久化控制或横向移动。
端口扫描与暴力破解:攻击者利用自动化工具扫描开放端口,并通过暴力破解尝试获取系统登录凭证。成功入侵后,常部署后门、挖矿程序或勒索软件。
Web应用漏洞攻击:包括SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)、远程代码执行(RCE)等,攻击者利用应用程序缺陷窃取数据、篡改内容或获取系统权限。
四层协议漏洞攻击:针对传输层(如TCP/UDP)协议栈的漏洞发起攻击,可能导致服务拒绝或权限提升。
数据库攻击:针对Redis、MySQL等数据库服务的未授权访问或配置缺陷,进行数据窃取或写入恶意指令。
命令执行与反弹Shell:攻击者利用系统或应用漏洞执行任意命令,或建立由内向外的反向连接(反弹Shell),绕过边界防护实现远程控制。
为有效应对上述风险,企业应部署纵深防御措施,包括启用云防火墙、强化网络安全配置、及时修复漏洞,以保障业务系统的安全性与可用性。
云防火墙的IPS能力
阿里云云防火墙集成入侵防御系统(IPS)功能,通过实时流量检测、虚拟补丁、出向威胁防护、威胁情报联动及智能分析模型,为企业云上业务提供高效、精准的安全防护。
核心能力包括:
漏洞攻击拦截:内置超过5000条基础防御规则与虚拟补丁,可快速阻断已知漏洞利用行为,显著缩短攻击窗口。
虚拟补丁机制:对于存在漏洞但尚未完成修复的业务系统,云防火墙可在3小时内提供防护策略,无需安装系统补丁或重启服务,有效缓解高危及0day漏洞风险。
出向恶意流量防护:检测并阻断失陷主机与恶意C&C服务器的通信、挖矿外联、异常数据外传等行为,防止内部威胁扩散和敏感信息泄露。
威胁情报联动:基于阿里云全网安全感知体系,实时同步恶意IP、恶意域名、C&C地址、扫描源、爆破源等高置信度威胁情报,实现动态精准防护。
智能威胁识别:依托阿里云积累的海量攻击样本与行为数据,构建机器学习模型,提升对未知威胁和新型攻击模式的识别与响应能力。
通过上述能力,云防火墙IPS在不干扰业务运行的前提下,为企业提供主动、持续、自动化的网络层与应用层安全防护。
威胁情报能力说明
阿里云的威胁情报通过多维数据融合与智能分析生成,确保提供高置信度的情报信息。
数据来源
云端全网攻击事件:利用部署在公有云及合作网络中的传感器实时捕获攻击流量和样本。
海量匿名安全流量日志:通过对经过脱敏处理的网络流量进行分析,提取出攻击模式和恶意连接。
全球开源威胁情报:集成并验证来自行业权威机构和安全社区的开源情报(OSINT)。
合作伙伴情报共享:与运营商、云计算厂商及其他安全机构进行可信的数据交换。
生产方法与识别标准
多维度关联分析:将IP地址、域名、URL、文件哈希值以及攻击手法等信息进行综合关联分析,构建完整的威胁图谱,以减少误报。
智能研判引擎
大数据与机器学习模型:采用行为分析和异常检测模型,从大量数据中自动识别可疑的恶意模式和新兴威胁家族。
专家规则系统:运用由安全专家提炼的精准检测规则,实现对已知威胁类型的快速且准确的匹配。
动态信誉评分:为每个威胁指标计算一个基于活动历史、分布范围、威胁类型和置信度等因素的动态信誉分数。
人工研判与验证:针对高价值或复杂的威胁情况,由专业的安全分析团队进行最终审核与定性,保证情报的准确性与可靠性。
威胁情报核心分类
阿里云威胁情报围绕网络交互的关键要素构建,分为三类:IP威胁情报、域名威胁情报和URL威胁情报。其中,IP威胁情报依据流量方向进一步划分为出向威胁情报与入向威胁情报。
IP出向威胁情报
匹配对象:匹配内部网络主动向外访问的目的IP地址。
核心价值:用于检测内部主机是否已失陷(如感染木马、成为僵尸主机),或是否存在违规、恶意的外联行为(如访问矿池、C&C服务器)。
具体类型与特征说明:
类型
匹配特征与威胁描述
Tor节点
匹配已知的Tor网络出口、入口或中继节点IP。内部主机访问可能意味着试图进行匿名化通信,以隐藏数据窃取、命令控制等恶意活动。
挖矿
匹配加密货币挖矿木马通信的IP或公开/隐蔽的矿池IP地址。访问此类IP表明系统可能已被植入挖矿程序,消耗计算资源。
C&C
匹配僵尸网络、远程控制木马、勒索软件等恶意软件的命令与控制服务器IP。失陷主机通过访问此类IP接收攻击指令或回传数据。
APT
匹配由高级持续性威胁(APT)组织拥有或使用的基础设施IP。访问此类IP极可能意味着已遭受有组织、有特定目标的高级攻击。
反弹Shell
匹配历史上曾被观测到用于接收“反弹Shell”连接的IP。内部主机访问可能是在尝试建立一条由内向外、绕过防火墙的反向控制通道。
网络钓鱼
匹配用于托管钓鱼网站的后端服务器IP。访问此类IP可能是用户在点击钓鱼链接后,与诈骗服务器建立了连接。
恶意下载源
匹配用于分发恶意软件(病毒、木马、间谍软件等)的服务器IP。访问此类IP可能是在下载或更新恶意负载。
IP入向威胁情报
匹配对象:匹配外部网络主动访问内部资产的源IP地址。
核心价值:用于实时检测和预警针对网络边界、服务器、应用系统的外部攻击行为。
具体类型与特征说明:
类型
匹配特征与威胁描述
扫描
匹配具有端口扫描、服务探测、网络映射等侦察行为的IP。这是攻击发起前的典型准备活动。
暴力破解
匹配针对SSH、RDP、FTP、数据库、Web登录口等发起大量尝试登录行为的IP。
漏洞利用
匹配发起已知漏洞(如Apache Log4j2、永恒之蓝等)利用攻击的IP。特征包括发送特定的攻击载荷或利用链流量。
SQL注入
匹配向Web应用参数中注入恶意SQL代码,试图操纵数据库的IP。
代码执行
匹配利用Web应用、服务漏洞,尝试远程执行系统命令或代码的IP。
Webshell
匹配尝试上传Webshell文件,或与已知Webshell后门进行通信的IP。
XSS攻击
匹配发起跨站脚本攻击,向网页中注入恶意脚本的IP。
域名威胁情报
匹配对象:匹配内部主机解析或访问的域名。
核心价值:攻击者常利用域名动态切换IP以规避封锁。域名情报能更持久、有效地检测基于域名构建的恶意基础设施访问。
具体类型与特征说明:
类型
匹配特征与威胁描述
Dnslog域名
匹配常用于攻击检测或数据外泄的DNS日志平台域名。非人为的异常访问可能意味着系统存在漏洞(如盲注、远程代码执行)且已被成功利用,导致无意的DNS解析泄露。
暗网代理
匹配提供暗网(如Tor网络)接入服务的Web代理域名(如Tor2web类)。访问此类域名通常是访问暗网服务的起点。
黑洞域名
匹配因恶意或滥用,其DNS记录已被安全厂商或运营商解析到“黑洞”(无效地址)的域名。访问尝试表明内部可能存在恶意软件或配置错误。
挖矿
匹配挖矿脚本或木马连接的矿池域名、更新服务器域名。
C&C
匹配使用域名而非静态IP作为命令控制服务器的恶意软件家族相关域名。
APT
匹配APT组织注册、使用的专属域名,用于长期活动。
网络钓鱼
匹配伪装成合法机构(如银行、社交平台)的钓鱼网站域名。
恶意下载源
匹配用于分发恶意软件的域名,常通过URL缩短服务或CDN隐藏。
URL威胁情报
匹配对象:匹配内部主机访问的完整网页地址(URL)。
核心价值:提供精确的访问目标定位,识别托管在合法云服务或共享IP上的特定恶意页面。
具体类型与特征说明:
类型
匹配特征与威胁描述
挖矿
匹配内嵌网页挖矿脚本(如Coinhive类)的特定页面URL,或矿池管理页面。
C&C
匹配作为木马、僵尸网络控制面板或数据交换接口的特定URL路径。
APT
匹配APT攻击活动中使用的特定武器化文档下载链接、漏洞利用页面等URL。
网络钓鱼
匹配高度仿真的特定钓鱼页面URL,用于窃取账号密码、支付信息。
恶意下载源
匹配直接指向恶意可执行文件(.exe, .dll)、脚本、文档的下载链接。
云防火墙IPS防御原理
云防火墙是串联在云上网络链路中,包括互联网出入向,NAT边界、内网跨VPC及云上和线下IDC机房之间。网络架构如下图所示:
所有接入云防火墙的网络流量都会经过云防火墙IPS引擎和ACL引擎过滤,再转发出去。
针对网络流量,云防火墙通过深度数据包协议识别解析DPI(Deep Packet Inspection)引擎进行检测和识别,可以识别网络流量中的协议并进行包解析。同时,针对IPS攻击和威胁情报,云防火墙会进行流过滤和包过滤。如果命中了威胁引擎模式(观察模式、拦截模式-宽松、拦截模式-中等、拦截模式-严格)以及IPS规则动作,那么该攻击数据包将被丢弃或放行,从而实现对攻击的实时告警和拦截。
云防火墙支持的攻击类型
配置IPS威胁引擎模式的具体操作,请参见IPS配置。
攻击类型 | 攻击危害 | 防护建议 |
异常连接 | 攻击者可能利用扫描器扫描服务器上开放的端口,如果服务器存在未授权的数据库端口或其他弱口令的业务,可能会导致数据丢失或泄露。例如,Redis未授权访问是一种常见的风险,如果未对Redis数据库进行适当的安全配置,攻击者可以通过未授权访问获得敏感数据或对数据库进行破坏。 | 如果您的业务中有较多的非Web应用,例如MySQL、SQLServer等非Web服务器(开放的端口不是80、443、8080),那么您应该重点关注是否命中此类规则,如Shellcode、敏感执行等多种针对非Web应用的攻击方式。 如果您的业务中没有上述的非Web应用,建议您开启IPS威胁引擎拦截模式-严格模式。 |
命令执行 | 攻击者执行恶意命令可能导致严重后果,如获取机器的控制权限、窃取敏感数据或攻击其他系统。例如Log4j漏洞,攻击者可以利用该漏洞执行恶意命令,从而造成系统的安全威胁。 | 宽松模式下,可以制御大部分Web应用的通用和非通用远程命令执行攻击,并能够满足日常防护的需求。然而,远程命令执行攻击在众多攻击中具有最大的危害性,因此您需要关注中等模式下各种组件的攻击命中情况。 如果您的业务较为复杂,涉及到许多非Web应用的暴露面,建议您开启IPS威胁引擎的拦截模式-严格模式。 |
扫描 | 网络扫描可能会对机器机或网络设备造成过载,导致服务中断或不稳定,可能会导致系统崩溃或服务不可用。 | 建议重点关注业务中是否开启了SMB命名管道,该协议主要用于文件共享等功能。如果业务中没有使用SMB命名管道的需求,建议禁用该功能,以减少潜在的安全风险。 如果确实需要使用SMB命名管道,建议开启IPS威胁引擎的拦截模式-中等或拦截模式-严格模式。 |
信息泄露 | 信息泄露可能导致个人隐私权受到侵犯,敏感个人身份信息、联系方式、财务信息等可能被恶意利用。 | 鉴于不同业务对信息泄露的定义可能不同,您可以重点关注拦截模式-中等及拦截模式-严格模式下规则的命中情况。 建议先开启观察模式 ,对规则进行监控,在一个业务周期内(例如24小时、一周、一月)观察是否会出现误报的情况。如果观察模式 下没有出现误报,即规则没有错误地判定正常流量为威胁行为,那么可以考虑开启IPS威胁引擎的拦截模式-中等或拦截模式-严格模式。 |
DoS攻击 | DoS(拒绝服务)攻击可能会对服务器和网络设备造成过载,导致服务中断或不稳定,甚至可能导致系统崩溃或服务不可用。 | 该类攻击直接危害性较小,您可以关注业务中是否存在未知原因导致的中断、拒绝服务等。如果没有,可以维持拦截模式-宽松模式。 如果您的业务SLA要求较高,可以选择IPS威胁引擎拦截模式-中等或拦截模式-严格模式。 |
溢出攻击 | 溢出攻击可能会对服务器和网络设备造成过载,导致服务中断或不稳定,甚至可能导致系统崩溃或服务不可用。 | 溢出攻击主要是由于二进制中的输入点未经严格控制,导致参数传递过程中发生内存越界,从而可能导致命令执行、信息泄露等其他攻击。在对溢出攻击进行防护时,需要重点关注非Web应用攻击的命中情况。 如果业务以Web应用为主,可以选择拦截模式-宽松模式。如果业务中包含较多非Web应用,建议选择IPS威胁引擎拦截模式-中等或拦截模式-严格模式。 |
Web攻击 | Web攻击是一种严重的安全威胁,攻击者通过此类攻击可以获取目标机器的控制权限,窃取敏感数据,并且可能导致业务中断。 | 除了远程命令执行之外,在Web应用中还存在其他常见攻击,例如OWASP TOP攻击中的SQL注入、XSS、任意文件上传等。针对这些攻击,建议在规则的灰度发布和正式发布过程中进行严格测试,并且日常运维中建议开启IPS威胁引擎拦截模式-中等或拦截模式-严格模式。 |
木马后门 | 木马后门是一种危险的恶意软件,它可以为攻击者提供持续访问受害机器的能力。即使系统漏洞被修复,攻击者仍有可能重新进入系统。通过木马后门,攻击者可以长期监控受感染系统,窃取敏感数据。同时,系统存在木马后门可能导致法律责任、法律诉讼、罚款等问题,同时也会造成声誉损失。 | 木马后门通信通常包含了加密、混淆、编码等对抗防御手法,严格模式下通常用以弱特征进行检测、拦截故需重点关注。日常模式下建议开启IPS威胁引擎中等模式。 木马后门通信通常采用加密、混淆和编码等对抗防御手法,严格模式下通常注意使用弱特征进行检测和拦截。 日常运维中,建议开启IPS威胁引擎拦截模式-中等或拦截模式-严格模式。 |
病毒蠕虫 | 病毒蠕虫是一种具有持续性的恶意软件,它可以为攻击者提供持续访问受害机器的能力。即使系统漏洞被修复,攻击者仍有可能重新进入系统。通过病毒蠕虫,攻击者可以长期监控感染系统,并窃取其中的数据。同时,系统存在病毒蠕虫可能导致法律责任、法律诉讼、罚款等问题,同时也会造成声誉损失。 | 通常,这类事件会导致主机失陷。如果在观察模式 下发现规则命中,就需要进行溯源分析,以确定攻击来源和采取适当的应对措施。如果没有任何规则命中,则可以推断主机大概率处于无风险的正常运行模式,建议开启IPS威胁引擎拦截模式-中等模式。 |
挖矿行为 | 挖矿行为是一种占用机器带宽和算力的恶意行为,会导致系统卡顿和性能下降,从而导致应用程序运行缓慢、响应延迟等问题,对用户的工作效率和体验产生负面影响。 | 通常,这类事件会导致主机失陷。如果在观察模式 下发现规则命中,就需要进行溯源分析,以确定攻击来源和采取适当的应对措施。如果没有任何规则命中,则可以推断主机大概率处于无风险的正常运行模式,建议开启IPS威胁引擎拦截模式-中等模式。 |
反弹Shell | 反弹Shell是一种危险的攻击工具,它可以为攻击者提供持续访问受害机器的能力。即使系统漏洞被修复,攻击者仍有可能重新进入系统。通过反弹Shell,攻击者可以长期监控感染系统,并窃取其中的数据。同时,系统存在反弹Shell可能导致法律责任、法律诉讼、罚款等问题,同时也会造成声誉损失。 | 通常,这类事件会导致主机失陷。如果在观察模式 下发现规则命中,就需要进行溯源分析,以确定攻击来源和采取适当的应对措施。如果没有任何规则命中,则可以推断主机大概率处于无风险的正常运行模式,建议开启IPS威胁引擎拦截模式-中等模式。 |
其他 | 主要用于非法外联和由于外联引起的攻击,也包含无法归类到其他攻击分类的攻击。 |
|
IPS防御模式说明
威胁引擎运行模式分为观察模式、拦截模式。根据配置的威胁引擎运行模式不同,基础防御和虚拟补丁中的规则匹配的动作不同,例如配置拦截-严格模式,则大部分基础防御和虚拟补丁的规则匹配动作为拦截动作。威胁引擎运行模式可以分为以下几种。
分类 | 适用场景 | 特点 | 示例 | |
观察模式 | 不防护。 | 针对攻击行为仅记录及告警,拦截模式会对攻击行为阻断。 | Apache Tomcat块请求远程拒绝服务(CVE-2014-0075)、Atlassian Jira SSRF攻击(CVE-2019-16097)、Godlua后门软件通信。 | |
拦截模式 | 宽松模式 | 防护粒度较粗,主要覆盖低误报规则,适合对误报要求高的业务场景。 | 明确漏洞利用关键字、关键参数,有明显的攻击报文和行为,无误报可能性。 | Struts 2远程代码执行(CVE-2018-11776)、Spark REST API未授权访问(CVE-2018-11770)、Jenkins远程命令执行(CVE-2018-1000861)。 |
中等模式 | 防护粒度介于宽松和严格之间,适合日常运维的常规规则场景。 | 涉及每种攻击类型,综合利用各类漏洞利用分析方式,即为常规规则,基本无误报的可能性。 | Oracle WebLogic Server远程代码执行(CVE-2020-2551)、Microsoft WindowsRDP Client远程代码执行(CVE-2020-1374)、SMBv1拒绝服务攻击(CVE-2020-1301)。 | |
严格模式 | 防护粒度最精细,主要覆盖基本全量规则,相比中等规则组可能误报更高,适合对安全防护漏报要求高的场景。 | 栈溢出、缓冲区溢出等高危害性漏洞,其中绝大部分四层漏洞,需经过协议分析、关键字匹配、多次跳转、关键字偏移等攻击确认。 | Squid Proxy HTTP Request Processing缓冲区溢出(CVE-2020-8450)、Nginx 0-Length Headers Leak拒绝服务(CVE-2019-9516)、Oracle WebLogic | |