网络安全高山仰止之后的攻防策略精髓--所有网络安全保护都要维护：保密性、完整性、可用性

 

 

我们把这个思路带入实战：

4）edr、hids、态势感知等产品为何说他们名字不同，但是本质一样呢？是因为他们使用的防护理论一致

4.1）函数入参的危险阈值达到阈值，对应执行某安全行为（告警或拦截）

4.2）函数的调用顺序达到达到阈值，对应执行某安全行为（告警或拦截）

4.3）入参与函数调用达到阈值，对应执行某安全行为（告警或拦截）

参照下图：

 

 

5）进一步的我们来看看应用防护RASP产品，其底层逻辑一模一样

5.1）函数入参的危险阈值达到一定标准，对应执行某安全行为（告警或拦截）

参加下图，使用黑名单拦截调用入参：

5.2）函数的调用顺序达到一定标准，对应执行某安全行为（告警或拦截）

5.3）入参与函数调用达到阈值，对应执行某安全行为（告警或拦截）

参加下图，校验调用堆栈的上下文逻辑和入参：

 

6）至于流量层面也完全一致，只不过流量的实时性过高，很难做到类似于应用侧、主机侧能保障逻辑上下文校验，所以目前流量侧的基本涵盖的只有一种情况

6.1）函数入参的危险阈值达到一定标准，对应执行某安全行为（告警或拦截）

 

7）最后我们谈谈所谓的拟态防御吧，请先看下图：

如果将图中XY坐标所形成的切面，看成是一个安全策略的覆盖面的话。

那么拟态防御的本质就是将各个覆盖面使用不同逻辑实现方式进行对照并校验完整性。