【正文】 erstanding, using two Quidway S2008 types of switches and routers Quidway 2600 router models and some puter to simulate internal network and external network, and using building environment to simulate several typical APT attack, propose specific programs including the scheme sandbox detection, anomaly detection, threat detection, memory tests to detect APT attacks. These programs more effectively detect APT attacks pared with traditional protection schemes. By detecting whether the data and information contains APT features, querying flow, analysing log to find the APT attack before the APT attacks and proposed the specific prevention program for APT attack Key： APT attack , detection scheme, prevention strategies目錄摘要 IIAbstract III第一章 概述 1 目的與意義 1 1 主要設計內(nèi)容 3第二章 相關的基礎知識 4 ATP的概念 4 APT攻擊的原理 4 APT的危害 5第三章 APT攻擊的發(fā)現(xiàn) 6 ATP攻擊的途徑 6 ATP攻擊的過程剖析 6 ATP的檢測 8 9 異常檢測模式 10 威脅檢測技術 11 基于記憶的檢測 13第四章 APT防護方案設計 15 網(wǎng)絡拓撲圖 15 存在的威脅 15 內(nèi)網(wǎng)的安全的防護 16 應用程序的安全的防護 17 服務器安全的防護 18 漏洞的防護 18 社會工程學 20 針對SQL注入的防護 21 防護方案后的拓撲圖 23第五章 ATP攻防實驗 25 實驗平臺的搭建 25 平臺拓撲圖 25 web的搭建 25 FTP服務器的搭建 29 弱密碼攻擊 33 攻擊 33 防護 38. 測試 44 操作系統(tǒng)IPC$ 漏洞攻擊 46 攻擊 46 防護 51 測試 55 SQL注入攻擊 57第六章 總結 65 總結 65 展望 65參考文獻 67致謝 68 學習參考. . . .第一章 概述 目的與意義近年來，隨著信息技術的高速發(fā)展，信息化技術在給人們帶來種種物質(zhì)和文化生活享受的同時，各種安全問題也隨之而來，諸如網(wǎng)絡的數(shù)據(jù)竊賊、黑客對主機的侵襲從而導致系統(tǒng)內(nèi)部的泄密者。為了有效的應對現(xiàn)今愈演愈烈的APT攻擊，通過閱讀大量的文獻，和借鑒國內(nèi)外的經(jīng)驗，從APT的規(guī)范定義及特征入手,對APT攻擊產(chǎn)生的背景、攻擊的原理及步驟進行了一個較為詳盡的總結，在理解的基礎上，利用兩臺Quidway S2008型號交換機和路由器 Quidway 2600型號的路由器還有若干臺計算機，模擬內(nèi)網(wǎng)和外網(wǎng)，利用搭建環(huán)境模擬幾種典型的APT攻擊，提出沙箱檢測、異常檢測、威脅檢測、記憶檢測等具體的方案來檢測APT攻擊。畢業(yè)論文（設計）中凡引用他人已經(jīng)發(fā)表或未發(fā)表的成果、數(shù)據(jù)、觀點等，均已明確注明出處。特此聲明。這些方案和傳統(tǒng)的防護方案相比更加有效地檢測 APT 網(wǎng)絡攻擊。盡管我們正在廣泛地使用各種復雜的軟件技術，如防火墻、代理服務器、侵襲探測器、通道控制機制等，但是，無論在發(fā)達國家，還是在發(fā)展中國家，黑客活動越來越猖狂，他們無孔不入，對社會造成了嚴重的危害，如何消除安全隱患，確保網(wǎng)絡信息的安全，尤其是網(wǎng)絡上重要的數(shù)據(jù)的安全，已成為當今世界越來越關心的話題。設計的目的主要是從APT的規(guī)范定義及特征入手,對攻擊發(fā)起的背景、步驟等進行較詳盡的描述, 在分析APT攻擊的一般過程基礎上,針對攻擊不同階段,從技術措施和防護方法等方面給出具體的建議，并給出具體、完善的檢測、響應和防范APT攻擊的可行性方案。目前國內(nèi)外對APT（高級持續(xù)威脅)攻擊行動的組成要素、主要任務、重要活動以及交互關系等問題已有清晰的認識 ,可是對APT攻擊的研究主要還是由安全廠商進行,其側重點在于通過安全事件、威脅的分析導出企業(yè)的安全理念, 以網(wǎng)絡安全企業(yè)的宣傳、分析資料為主，忽視了對APT攻擊機理、產(chǎn)生背景等進行整體而細致的剖析。大致主要分為兩種方式:靜態(tài)檢測方式和動態(tài)檢測方式[3]。隨著我國3G網(wǎng)絡的推廣普及,移動終端的市場在不斷擴大，APT攻擊也在關注移動互聯(lián)網(wǎng)終端，這也是ATP攻擊的一個發(fā)展趨勢。（1）攻擊將會更有針對性：越來越多的APT攻擊將會針對特定的地區(qū)、特定的用戶群體進行攻擊。（3）對攻擊的判斷將越來越困難：在APT攻擊防范中，我們通常用簡單的技術指標來判斷攻擊的動機和地理位置。Persistent從技術的角度來說，APT是一種不同性質(zhì)的攻擊，從某些程來說，APT攻擊是必然的，也是最近出現(xiàn)的一種新的篇章，這個新的篇章和過去的網(wǎng)絡攻擊不一樣，其主要表現(xiàn)為APT的采點是很漫長的，需要一段很長的時間，APT運用的攻擊手段很隱蔽，因此很多網(wǎng)絡安全維護人員不會輕易的發(fā)現(xiàn)這種攻擊，因為他們所運用的攻擊手段都是看起來正常的，進攻漫長的信息采集過程，最終確定攻擊的目標，當攻擊的目標被確定后，這個目標一定是有比較高的價值，因為APT前期的攻擊準備的成本比起一般的網(wǎng)絡攻擊要高很多，APT不是一種單一的攻擊手段，而是多種攻擊手段的組合，它是由一個團體所組成，因此無法通過單一的防護手段進行阻止和防御，APT攻擊目前已成為熱點，其特征不同于傳統(tǒng)的網(wǎng)絡攻擊，對已有的安全防范思路和能力，帶來極大挑戰(zhàn)。與傳統(tǒng)攻擊手段和入侵方式相比，APT 攻擊體現(xiàn)的技術性更強，過程也更為復雜，他的攻擊行為沒有采取任何可能觸發(fā)警報或者引起懷疑的行動，所以更接近于融入被攻擊者的系統(tǒng)或程序。 近年發(fā)生的APT事件第三章 APT攻擊的發(fā)現(xiàn) ATP攻擊的途徑APT入侵客戶的途徑多種多樣，主要包括：(1)以智能手機、平板電腦和USB等移動設備為目標和攻擊對象繼而入侵企業(yè)信息系統(tǒng)的方式。(3)利用防火墻、服務器等系統(tǒng)漏洞繼而獲取訪問企業(yè)網(wǎng)絡的有效憑證信息(4)很多企業(yè)和組織的網(wǎng)站在防范SQL注入攻擊方面缺乏防范。 ATP攻擊的過程剖析 APT攻擊流程圖第一階段：情報收集。采用誘騙手段將正常網(wǎng)址請求重定向至惡意站點，發(fā)送垃圾電子郵件并捆綁染毒附件，以遠程協(xié)助為名在后臺運行惡意程序，或者直接向目標網(wǎng)站進行 SQL 注入攻擊等。通信）。C服務器間保持通信[]。在目標網(wǎng)絡中找出放有敏感信息的重要計算機,使用包括傳遞哈希值算法的技巧和工具，將攻擊者權限提升到跟管理者一樣，讓他可以輕松地訪問和控制關鍵目標。第六階段：資料竊取。 ATP的檢測APT攻擊是近幾年來出現(xiàn)的一種高級網(wǎng)絡攻擊，具有難檢測、持續(xù)時間長和攻擊目標明確等特征。并且該方案能夠識別和分析服務器和客戶端的微妙變化和異常。我們現(xiàn)在對抗 APT 的思路是以時間對抗時間。根據(jù)整個apt攻擊過程，圍繞APT的攻擊步驟提出具體的檢測方案。 該智能沙箱法案， 通過對可能存在的異常行為進行技術性識別， 檢測出存在高級威脅的問題。該方案提出了在多種查詢條件下對流量數(shù)據(jù)進行可視化分析，例如目的 IP 地址流量統(tǒng)計排序、目的端口流量統(tǒng)計排序等；并對對重要文件的操作及對應的發(fā)生時間進行審計。 對于被識別為“異?！备怕手荡蟮牧髁啃畔?，將被推送到安全審計人員作進一步分析[17]。在該模塊產(chǎn)生日志分析的基礎上，根據(jù)一些經(jīng)驗規(guī)則或者自定義的規(guī)則，主動的發(fā)現(xiàn)可能發(fā)生的安全威脅虛擬分析技術。用戶通常不具備足夠的知識來判斷文件是否是惡意的。通過進行人工整合的工作，對不同的情況采取不同的措施。APT 攻擊發(fā)生的時間很長， 對APT攻擊的檢測是建立一個有效的時間窗， 所以可以對長時間內(nèi)的數(shù)據(jù)流量進行更為深入、 細致的分析。還可以在發(fā)現(xiàn)異常情況后，利用原先的全流量的存儲， 將異常行為返回到與之相關的時間點。分析人員與分析儀器相互配合， 利用多維數(shù)據(jù)進行可視化分析， 對可疑會話做好定位， 利用細粒度解析與應用還原數(shù)據(jù)， 有效識別出異常的行為，如果有異常，報警模塊及時做出精確報警。其中內(nèi)網(wǎng)包括PC機和服務器，外網(wǎng)就只有PC機。還有隨著手機、平板電腦的流行而帶來的移動設備管理等問題。員工的U盤、移動硬盤、光盤也有可能在外部感染木馬，從而攻擊內(nèi)網(wǎng)中的主機、服務器，然后將數(shù)據(jù)傳到外部。管理員可直接接觸到核心數(shù)據(jù)庫，容易產(chǎn)生誤操作，或惡意操作。（3）PC補丁管理服務器WSUS支持微軟的全部產(chǎn)品的更新，以及補丁程序。消除郵件中的安全隱患。確保每個員工的主機都能安全地運行（8）培養(yǎng)員工的安全意管理員應該定期對員工進行網(wǎng)絡安全方面知識的普及和培訓，規(guī)范員工的上網(wǎng)，引導員工去安全地上網(wǎng)，從而確保內(nèi)網(wǎng)環(huán)境安全和穩(wěn)定。WEB應用程序的安全，需要注意以下幾點：（1）開發(fā)環(huán)節(jié)WEB應用的開發(fā)環(huán)節(jié)直接影響WEB應用的安全。（2）安裝WEB應用防火墻安裝防火墻，一定程度上也可以提高WEB的安全系數(shù)。防止攻擊者對網(wǎng)絡實行流量攻擊 服務器安全的防護（1）賬戶、密碼管理對服務器的賬戶、密碼進行嚴格管理，修改密碼策略，賬戶添加/刪除審批，用戶賬戶的權限管理/審批等。發(fā)現(xiàn)異常，應及時的做相應的處理，為服務器進行定期的漏洞掃描安全人員也應該進行相應的手工漏洞挖掘工作。所以在沒有必要“文件和打印共享”的情況下，可以這個功能關閉。使用代理服務器后，攻擊者只能探測到道理服務器的IP地址而不是內(nèi)網(wǎng)中主機的IP地址，這就實現(xiàn)了隱藏用戶IP地址的目的，從而保障了內(nèi)網(wǎng)的安全。 更換管理員賬戶為Adminstrator賬戶設置一個強大復雜的密碼，然后重命名Adminstrator賬戶，再創(chuàng)建一個沒有管理員權限的Adminstrator賬戶漆面入侵者，以此來防止攻擊者知道管理員賬戶，從而在一定的程度上保證計算機安全。社會工程學的攻擊主要是從“人”開始的。而“被動社會工程學攻擊”是指內(nèi)網(wǎng)中的人員因為信息泄露等因素，被外網(wǎng)的攻擊者所利用而引發(fā)的攻擊。DNS服務器，可能是內(nèi)部的緩存服務器,也可能是外部的DNS服務器,由于只能對內(nèi)部DNS服務器監(jiān)控而無法監(jiān)控外部DNS服務器的情況，因此不能完全避免這種類型的攻擊[13]。 針對SQL注入的防護（1）應用程序設計該SQL語句ELECTWHEREPassword=39。or39。or39。*Username=39。39。AND39。該語句恒為真，所以就會登陸后臺界面，這樣就會構成SQL注入攻擊，所以我們應該對SQL注入的字符串進行有效的過濾[]。\s*drop\s+table\s+|_az09]+()?刪除數(shù)據(jù)’or 1=1 (’\s+)?or\s+[[。]]+\s*()?構造永遠為真的條件語句： 防御流程圖當發(fā)現(xiàn)SQL攻擊時，則攔截請求并產(chǎn)生警告信息作為應答；如果未發(fā)現(xiàn)攻擊，則提交至系統(tǒng)模塊。對于包含注入關鍵字的Web請求，可以遍歷規(guī)則庫對請求內(nèi)容進行詳細的正則匹配。（2）驗證所有的輸入信息使用正則表達式來進行復雜的模式匹配，限制用戶輸入的字符的長度[21]。 防護方案后的拓撲圖： 加了防護方案的拓撲圖在路由出口架設大流量吞吐量的防火墻，可以有效地防御外部攻擊者對外部路由進行DDoS攻擊，做訪問控制策略，保證內(nèi)網(wǎng)的安全控制，在二層交換機上部署上網(wǎng)行為管理系統(tǒng)，網(wǎng)絡入侵檢測系統(tǒng)，日志審計管理系統(tǒng)，運行與維護安全審計系統(tǒng)。第五章 ATP攻防實驗 實驗平臺的搭建 平臺拓撲圖： 環(huán)境網(wǎng)絡拓撲圖，主要劃分兩個網(wǎng)段，是主要的攻擊目標。（1）安裝IIS進行添加程序界面，單擊“添加/刪除Windows組件”，選中“應用程序服務器”，單擊下一步，： 應用程序界面安裝過程中需要插入系統(tǒng)安裝光盤，插入光盤后繼續(xù)運行。： 完成界面。右鍵“網(wǎng)站”，單擊“網(wǎng)站”進入網(wǎng)站創(chuàng)建向?qū)Ы缑?。在彈出的提示中單擊“是”即可。選中“文件傳輸協(xié)議出現(xiàn)提示時，如需要文件i386，則定位到剛才拷貝的i386文件，一直點下一步，最后點完成（1）配置ftp站點點擊“開始