华为防火墙云沙箱检测简介

了解AMP/APT防御

应用场景

高级恶意软件防护（Advanced Malware Protection，AMP）有时也被称为APT（Advanced Persistent Threat，高级持续性威胁）防御，是针对当前网络安全威胁的综合防护方案。恶意软件包括木马、蠕虫、间谍软件、漏洞利用程序、广告软件、黑客工具、Rootkit攻击、后门、灰色软件、僵尸网络程序、勒索软件、钓鱼软件、挖矿软件、网页后门（web shell）程序等，如果流入企业，会对企业构成严重威胁，造成敏感数据泄漏、系统宕机、被勒索等，给企业带来巨大经济损失和声誉损害等。

高级恶意软件防护功能可以对流经网关设备的协议/应用中传输的文件进行检测，包括Windows/Linux/MacOS可执行文件、Office文档、脚本文件(JS/PHP等)、Flash文件、PDF文件、RTF文件、网页、图片等各种文件类型检测进行检测，可以通过网关设备的检测引擎检测，也可以联动沙箱进行更深层次的检测，多种检测防护技术可以结合使用，比如：

文件信誉（哈希检测）
基于病毒特征签名的检测
基于行为的启发式检测
基于语义分析的检测
基于AI的算法检测
基于沙箱的动态执行检测

检测流程和技术

如图1所示，高级恶意软件的检测大体分为六步。

图1 高级恶意软件检测

协议识别和解析：对流量进行协议识别和解析。
文件提取：支持HTTP、FTP、SMTP、POP3、IMAP4、SMB、NFS等协议中提取文件，并对协议中提取的文件进行还原。
文件类型识别：通过分析文件内容实现对真实文件类型的精准识别。
内容抽取：针对不同的文件类型进行深度解析，如对PE文件进行脱壳，对Office复合文档进行解析，对VBS/JS等脚本文件进行解析和语义分析, 对HTML文件进行解析等，为下一步的病毒扫描模块提供完整的内容信息。
病毒扫描：针对待检测的内容进行多引擎扫描，如哈希扫描、基于签名特征的扫描、启发式扫描、AI扫描等。
沙箱联动检测：如果有可疑文件，设备可以将流量中的文件信息还原后继续送入沙箱，进行进一步的动态模拟分析检测。设备定期去沙箱上获取文件的检测结果。如果沙箱检测到某流量为恶意流量，则设备根据检测结果刷新设备缓存中的恶意文件列表，当具有相同特征的后续流量命中恶意文件列表时，可以直接进行阻断或告警等处理，防止该流量进入内网，保护内网免遭攻击。

配置本地沙箱联动检测

背景信息

如图1所示，通过配置设备与本地沙箱联动检测，将被还原后的文件送入与设备连接的本地沙箱进行检测。沙箱中的病毒行为分析引擎会在安全的操作系统虚拟环境中模拟执行文件，如果在分析期间发现可疑行为，则将其视为恶意文件。此方法有助于检测新的和未知的恶意软件。

设备定期去本地沙箱上获取文件的检测结果，并根据检测结果更新缓存中的恶意文件列表，当后续具有相同特征的流量匹配文件信誉缓存时可以进行阻断或告警等处理，避免网络和设备遭受APT攻击。

本地沙箱不需要将文件传至外网就能完成对文件的检测，满足了用户对文件的安全性和私密性的要求。但是，本地沙箱检测能力更新较慢，对威胁的识别能力有限。而且，使用本地沙箱服务必须购买FireHunter设备。

图1 通过设备与本地沙箱联动实现APT防御组网图

前提条件

如需使用本地沙箱检测功能，请确保已经完成如下工作：

本地沙箱可用，并且设备与本地沙箱路由可达。当前仅支持与Firehunter6000联动。
已配置安全策略放行设备与本地沙箱通信的流量。

配置云沙箱联动检测

背景信息

为了跟随云时代的步伐，云沙箱应运而生。云沙箱实时更新威胁信息，具有更好的安全检测能力，对内网提供更好的防护。另外，使用云沙箱服务只需购买云沙箱的License即可，无需购买物理沙箱设备，降低了投资成本。

如图1所示，设备作为内网的安全网关，从外网进入内网的流量中识别并提取出需要送往部署在云端的沙箱进行检测。设备定时读取云沙箱的检测结果，并根据检测结果刷新设备缓存中的恶意文件列表，后续具有相同特征的流量命中恶意文件列表时可以直接进行阻断或告警等处理。

图1 通过设备与云沙箱联动实现APT防御组网图

本地沙箱和云沙箱二者最大的区别在于部署位置的不同，用户可以单独部署某种沙箱，也可以同时部署两种沙箱。同时部署两种沙箱时，两者之间是相互独立的，即：攻击者向内网发起APT攻击，设备从网络流量中识别并提取出需要送往沙箱进行检测的文件。设备根据配置将文件送往对应的沙箱进行检测，本地沙箱或云沙箱。设备向两种沙箱读取文件的检测结果。