【正文】 其次要感謝貴州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院的全體老師對(duì)我這四年來(lái)的悉心教導(dǎo)，本設(shè)計(jì)能夠順利的完成，也歸功于各位任課老師的認(rèn)真負(fù)責(zé)，使我能夠很好的掌握和運(yùn)用專業(yè)知識(shí)，并在設(shè)計(jì)中得以體現(xiàn)，你們不僅讓我掌握了作為一個(gè)大學(xué)生應(yīng)該掌握的技能，更重要的是你們還教會(huì)了我應(yīng)該怎樣做人。由于近年來(lái)才出現(xiàn)的一種網(wǎng)絡(luò)攻擊手段，對(duì)于他的發(fā)現(xiàn)與監(jiān)測(cè)尚處于萌芽階段，他與一般的攻擊有著本質(zhì)的區(qū)別，其特點(diǎn)是他的攻擊的前期準(zhǔn)備需要很長(zhǎng)的時(shí)間，而且攻擊的手段十分隱蔽，不易被發(fā)現(xiàn)，APT攻擊給信息系統(tǒng)可用性、可靠性帶來(lái)了極大的威脅，APT攻擊的手段變化多端、效果非常顯著，成為了當(dāng)今企業(yè)所要面臨的一大挑戰(zhàn)。 掃描信息現(xiàn)在我們就在運(yùn)行框里輸入“cmd”命令，進(jìn)入DOS界面，輸入如下命令：net use \\\IPC$ 密碼 /user:用戶名。運(yùn)行后顯示“命令成功完成”。設(shè)置好之后點(diǎn)擊下一步，： 目錄圖單機(jī)“下一步”，直至整個(gè)安裝過(guò)程完成，然后啟動(dòng)該服務(wù)器，并右鍵我的電腦，點(diǎn)擊管理—地用戶和組，右鍵點(diǎn)擊用戶，選擇新建用戶，： 建立用戶選中剛才創(chuàng)建的用戶名，然后右鍵，選擇屬性，在選中配置文件，定位到主文件夾本地路徑，在里面填寫d:\tmp\LocalUser\usertmp(可根據(jù)情況換成相應(yīng)的目錄)，系統(tǒng)會(huì)在temp文件夾下自動(dòng)生成相應(yīng)的文件夾，然后點(diǎn)擊確定，： MyUser屬性圖在本地測(cè)試一下是否ftp環(huán)境已經(jīng)搭建好了，首先在d:\tmp\LocalUser\，然后在IE中輸入ftp://，看是否能夠訪問(wèn)到這個(gè)文件，如果能夠訪問(wèn)到，則說(shuō)明配置成功了。選中“文件傳輸協(xié)議右鍵“網(wǎng)站”，單擊“網(wǎng)站”進(jìn)入網(wǎng)站創(chuàng)建向?qū)Ы缑?。?）安裝IIS進(jìn)行添加程序界面，單擊“添加/刪除Windows組件”，選中“應(yīng)用程序服務(wù)器”，單擊下一步，： 應(yīng)用程序界面安裝過(guò)程中需要插入系統(tǒng)安裝光盤，插入光盤后繼續(xù)運(yùn)行。 防護(hù)方案后的拓?fù)鋱D： 加了防護(hù)方案的拓?fù)鋱D在路由出口架設(shè)大流量吞吐量的防火墻，可以有效地防御外部攻擊者對(duì)外部路由進(jìn)行DDoS攻擊，做訪問(wèn)控制策略，保證內(nèi)網(wǎng)的安全控制，在二層交換機(jī)上部署上網(wǎng)行為管理系統(tǒng)，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，日志審計(jì)管理系統(tǒng)，運(yùn)行與維護(hù)安全審計(jì)系統(tǒng)。（2）驗(yàn)證所有的輸入信息]]+\s*()?構(gòu)造永遠(yuǎn)為真的條件語(yǔ)句： 防御流程圖當(dāng)發(fā)現(xiàn)SQL攻擊時(shí)，則攔截請(qǐng)求并產(chǎn)生警告信息作為應(yīng)答；如果未發(fā)現(xiàn)攻擊，則提交至系統(tǒng)模塊。該語(yǔ)句恒為真，所以就會(huì)登陸后臺(tái)界面，這樣就會(huì)構(gòu)成SQL注入攻擊，所以我們應(yīng)該對(duì)SQL注入的字符串進(jìn)行有效的過(guò)濾[]。ANDUsername=39。or39。Password=39。 針對(duì)SQL注入的防護(hù)（1）應(yīng)用程序設(shè)計(jì)該SQL語(yǔ)句ELECT而“被動(dòng)社會(huì)工程學(xué)攻擊”是指內(nèi)網(wǎng)中的人員因?yàn)樾畔⑿孤兜纫蛩兀煌饩W(wǎng)的攻擊者所利用而引發(fā)的攻擊。 更換管理員賬戶為Adminstrator賬戶設(shè)置一個(gè)強(qiáng)大復(fù)雜的密碼，然后重命名Adminstrator賬戶，再創(chuàng)建一個(gè)沒有管理員權(quán)限的Adminstrator賬戶漆面入侵者，以此來(lái)防止攻擊者知道管理員賬戶，從而在一定的程度上保證計(jì)算機(jī)安全。所以在沒有必要“文件和打印共享”的情況下，可以這個(gè)功能關(guān)閉。防止攻擊者對(duì)網(wǎng)絡(luò)實(shí)行流量攻擊 服務(wù)器安全的防護(hù)（1）賬戶、密碼管理對(duì)服務(wù)器的賬戶、密碼進(jìn)行嚴(yán)格管理，修改密碼策略，賬戶添加/刪除審批，用戶賬戶的權(quán)限管理/審批等。WEB應(yīng)用程序的安全，需要注意以下幾點(diǎn)：（1）開發(fā)環(huán)節(jié)WEB應(yīng)用的開發(fā)環(huán)節(jié)直接影響WEB應(yīng)用的安全。消除郵件中的安全隱患。管理員可直接接觸到核心數(shù)據(jù)庫(kù)，容易產(chǎn)生誤操作，或惡意操作。還有隨著手機(jī)、平板電腦的流行而帶來(lái)的移動(dòng)設(shè)備管理等問(wèn)題。分析人員與分析儀器相互配合， 利用多維數(shù)據(jù)進(jìn)行可視化分析， 對(duì)可疑會(huì)話做好定位， 利用細(xì)粒度解析與應(yīng)用還原數(shù)據(jù)， 有效識(shí)別出異常的行為，如果有異常，報(bào)警模塊及時(shí)做出精確報(bào)警。APT 攻擊發(fā)生的時(shí)間很長(zhǎng)， 對(duì)APT攻擊的檢測(cè)是建立一個(gè)有效的時(shí)間窗， 所以可以對(duì)長(zhǎng)時(shí)間內(nèi)的數(shù)據(jù)流量進(jìn)行更為深入、 細(xì)致的分析。用戶通常不具備足夠的知識(shí)來(lái)判斷文件是否是惡意的。 對(duì)于被識(shí)別為“異?！备怕手荡蟮牧髁啃畔?，將被推送到安全審計(jì)人員作進(jìn)一步分析[17]。 該智能沙箱法案， 通過(guò)對(duì)可能存在的異常行為進(jìn)行技術(shù)性識(shí)別， 檢測(cè)出存在高級(jí)威脅的問(wèn)題。我們現(xiàn)在對(duì)抗 APT 的思路是以時(shí)間對(duì)抗時(shí)間。 ATP的檢測(cè)APT攻擊是近幾年來(lái)出現(xiàn)的一種高級(jí)網(wǎng)絡(luò)攻擊，具有難檢測(cè)、持續(xù)時(shí)間長(zhǎng)和攻擊目標(biāo)明確等特征。在目標(biāo)網(wǎng)絡(luò)中找出放有敏感信息的重要計(jì)算機(jī),使用包括傳遞哈希值算法的技巧和工具，將攻擊者權(quán)限提升到跟管理者一樣，讓他可以輕松地訪問(wèn)和控制關(guān)鍵目標(biāo)。通信）。 ATP攻擊的過(guò)程剖析 APT攻擊流程圖第一階段：情報(bào)收集。 近年發(fā)生的APT事件第三章 APT攻擊的發(fā)現(xiàn) ATP攻擊的途徑APT入侵客戶的途徑多種多樣，主要包括：(1)以智能手機(jī)、平板電腦和USB等移動(dòng)設(shè)備為目標(biāo)和攻擊對(duì)象繼而入侵企業(yè)信息系統(tǒng)的方式。從技術(shù)的角度來(lái)說(shuō)，APT是一種不同性質(zhì)的攻擊，從某些程來(lái)說(shuō)，APT攻擊是必然的，也是最近出現(xiàn)的一種新的篇章，這個(gè)新的篇章和過(guò)去的網(wǎng)絡(luò)攻擊不一樣，其主要表現(xiàn)為APT的采點(diǎn)是很漫長(zhǎng)的，需要一段很長(zhǎng)的時(shí)間，APT運(yùn)用的攻擊手段很隱蔽，因此很多網(wǎng)絡(luò)安全維護(hù)人員不會(huì)輕易的發(fā)現(xiàn)這種攻擊，因?yàn)樗麄兯\(yùn)用的攻擊手段都是看起來(lái)正常的，進(jìn)攻漫長(zhǎng)的信息采集過(guò)程，最終確定攻擊的目標(biāo)，當(dāng)攻擊的目標(biāo)被確定后，這個(gè)目標(biāo)一定是有比較高的價(jià)值，因?yàn)锳PT前期的攻擊準(zhǔn)備的成本比起一般的網(wǎng)絡(luò)攻擊要高很多，APT不是一種單一的攻擊手段，而是多種攻擊手段的組合，它是由一個(gè)團(tuán)體所組成，因此無(wú)法通過(guò)單一的防護(hù)手段進(jìn)行阻止和防御，APT攻擊目前已成為熱點(diǎn)，其特征不同于傳統(tǒng)的網(wǎng)絡(luò)攻擊，對(duì)已有的安全防范思路和能力，帶來(lái)極大挑戰(zhàn)。（3）對(duì)攻擊的判斷將越來(lái)越困難：在APT攻擊防范中，我們通常用簡(jiǎn)單的技術(shù)指標(biāo)來(lái)判斷攻擊的動(dòng)機(jī)和地理位置。隨著我國(guó)3G網(wǎng)絡(luò)的推廣普及,移動(dòng)終端的市場(chǎng)在不斷擴(kuò)大，APT攻擊也在關(guān)注移動(dòng)互聯(lián)網(wǎng)終端，這也是ATP攻擊的一個(gè)發(fā)展趨勢(shì)。目前國(guó)內(nèi)外對(duì)APT（高級(jí)持續(xù)威脅)攻擊行動(dòng)的組成要素、主要任務(wù)、重要活動(dòng)以及交互關(guān)系等問(wèn)題已有清晰的認(rèn)識(shí) ,可是對(duì)APT攻擊的研究主要還是由安全廠商進(jìn)行,其側(cè)重點(diǎn)在于通過(guò)安全事件、威脅的分析導(dǎo)出企業(yè)的安全理念, 以網(wǎng)絡(luò)安全企業(yè)的宣傳、分析資料為主，忽視了對(duì)APT攻擊機(jī)理、產(chǎn)生背景等進(jìn)行整體而細(xì)致的剖析。盡管我們正在廣泛地使用各種復(fù)雜的軟件技術(shù)，如防火墻、代理服務(wù)器、侵襲探測(cè)器、通道控制機(jī)制等，但是，無(wú)論在發(fā)達(dá)國(guó)家，還是在發(fā)展中國(guó)家，黑客活動(dòng)越來(lái)越猖狂，他們無(wú)孔不入，對(duì)社會(huì)造成了嚴(yán)重的危害，如何消除安全隱患，確保網(wǎng)絡(luò)信息的安全，尤其是網(wǎng)絡(luò)上重要的數(shù)據(jù)的安全，已成為當(dāng)今世界越來(lái)越關(guān)心的話題。從震網(wǎng)到火焰各種的攻擊，到媒體關(guān)的關(guān)注，全都認(rèn)可一件事情，那就APT攻擊是防不住。在國(guó)外先進(jìn)國(guó)家研究APT攻擊已經(jīng)成為國(guó)家網(wǎng)絡(luò)安全防御戰(zhàn)略的重要環(huán)節(jié)。在此類攻擊中，除非目標(biāo)在語(yǔ)言設(shè)定、網(wǎng)段等條件上符合一定的標(biāo)準(zhǔn)，否則惡意軟件不會(huì)運(yùn)行。Threat，APT)產(chǎn)生的背景、攻擊方法與原理進(jìn)行分析，發(fā)現(xiàn)其攻擊規(guī)律，提出檢測(cè)方法，搭建一個(gè)簡(jiǎn)單、實(shí)用的APT攻擊防護(hù)平臺(tái)，設(shè)計(jì)出一套完整的防范APT攻擊的解決方案，并通過(guò)自己搭建的實(shí)驗(yàn)平臺(tái)對(duì)該方案的可行性進(jìn)行驗(yàn)證。 APT的危害，APT攻擊的出現(xiàn)，對(duì)全球的信息安全的防護(hù)是一個(gè)極大的挑戰(zhàn)，因?yàn)锳PT攻擊的目標(biāo)通常會(huì)是一個(gè)國(guó)家的安全設(shè)施，例如：航空航天，或者是重要的金融系統(tǒng)。所以通過(guò)對(duì)目標(biāo)公網(wǎng)網(wǎng)站的SQL注入方式實(shí)現(xiàn)APT攻擊。盡管攻擊手段各不相同，但絕大部分目的是盡量在避免用戶覺察的條件下取得服務(wù)器、網(wǎng)絡(luò)設(shè)備的控制權(quán)第三階段：命令與控制開始尋找實(shí)施進(jìn)一步行動(dòng)的最佳時(shí)機(jī)。APT是一種高級(jí)的、狡猾的伎倆，利用APT入侵網(wǎng)絡(luò)、逃避“追捕”、悄無(wú)聲息不被發(fā)現(xiàn)、隨心所欲對(duì)泄露數(shù)據(jù)進(jìn)行長(zhǎng)期訪問(wèn)，最終挖掘到攻擊者想要的資料信息。無(wú)論攻擊者的實(shí)施的計(jì)劃多么縝密，還是會(huì)留下點(diǎn)攻擊過(guò)程中的痕跡，通常就是我們所說(shuō)的刑事調(diào)查中的痕跡證據(jù)，這種證據(jù)并不明顯，甚至可能是肉眼看不見的。一共分成五大模塊，沙箱檢測(cè)，異常檢測(cè)，威脅檢測(cè)，記憶檢測(cè)還有響應(yīng)。該方案的設(shè)計(jì)思維就好比現(xiàn)實(shí)生活中警察抓壞人的思維方式， 在沒有明確壞人的基本特征的情況下，那就對(duì)好人進(jìn)行行為模式的建構(gòu)， 當(dāng)一個(gè)人的行為模式偏離好人的正常范圍， 那么這個(gè)人就有可能是壞人，然后再對(duì)這個(gè)有可能是壞人的人進(jìn)行具體的檢測(cè)。傳統(tǒng)的檢測(cè)方案對(duì)某些附件或則可執(zhí)行文件對(duì)系統(tǒng)可能造成的影響沒有一個(gè)準(zhǔn)確的分析，往往會(huì)把一些文件隔離起來(lái)或者直接放過(guò)[20]。 基于記憶的檢測(cè)： 記憶檢測(cè)流程圖在檢測(cè)中APT 攻擊過(guò)程中，APT攻擊遺留下來(lái)的暴露點(diǎn)包括攻擊過(guò)程中的攻擊路徑和時(shí)序，APT 攻擊一般不會(huì)對(duì)系統(tǒng)的安全防御系統(tǒng)進(jìn)行暴力破解，攻擊過(guò)程的大部分貌似正常操作；不是所有的異常操作都能立即被檢測(cè)；被檢測(cè)到的異常也許是在APT攻擊過(guò)后才檢測(cè)到，因?yàn)锳PT具有很強(qiáng)的隱蔽性。還可以為已經(jīng)發(fā)生的，但在分析時(shí)沒有受到安全管理員的重視，偶爾會(huì)出現(xiàn)可疑情況的數(shù)據(jù)流量進(jìn)行關(guān)聯(lián)性的技術(shù)分析，從而實(shí)現(xiàn)有效識(shí)別。 存在的威脅（1）外網(wǎng)帶來(lái)的威脅外網(wǎng)的威脅可能有木馬、病毒、蠕蟲，他們會(huì)正常的隱藏在word，等正常的軟件中。對(duì)服務(wù)器、應(yīng)用系統(tǒng)的資源占用、響應(yīng)無(wú)實(shí)時(shí)監(jiān)控手段。部署WSUS服務(wù)器，幫助內(nèi)部網(wǎng)絡(luò)的用戶機(jī)及時(shí)、快速地更新/升級(jí)windows，能防止網(wǎng)內(nèi)用戶不打漏洞補(bǔ)丁的問(wèn)題，提高了辦公網(wǎng)絡(luò)的PC安全系數(shù)。禁止員工使用自帶的便攜設(shè)備，如U盤，移動(dòng)硬盤，手機(jī)等，應(yīng)該使用統(tǒng)一的移動(dòng)設(shè)備，因?yàn)樽詭У谋銛y設(shè)備很有可能會(huì)把病毒帶到內(nèi)網(wǎng)中 ，在內(nèi)網(wǎng)進(jìn)行文件傳輸、共享的時(shí)候，應(yīng)該按照文件的安全等級(jí)要求，進(jìn)行加密傳輸（9）劃分VLAN為各個(gè)部門劃分VLAN，保證網(wǎng)絡(luò)能夠高效，穩(wěn)定，安全地運(yùn)行。制定一個(gè)統(tǒng)一的賬戶、密碼管理體系，對(duì)后臺(tái)的訪問(wèn)做一些控制，防止惡意攻擊者進(jìn)行暴力猜解。并定期對(duì)服務(wù)器進(jìn)行評(píng)估和審計(jì)。因?yàn)镮P和計(jì)算機(jī)的關(guān)系就好比身份證上的身份證號(hào)和人的關(guān)系，當(dāng)一個(gè)攻擊則通過(guò)掃描工具確定了一臺(tái)主機(jī)的IP地址后，相當(dāng)于他已經(jīng)找到了攻擊的目標(biāo)，并通過(guò)IP向目標(biāo)主機(jī)發(fā)動(dòng)各種進(jìn)攻，所以隱藏內(nèi)網(wǎng)中的IP地址至關(guān)重要。我們?cè)诰W(wǎng)絡(luò)防御中，人也是防御中的一個(gè)重要環(huán)節(jié)。所以，對(duì)這方面，應(yīng)該要特別注意。Username=39。139。FROM139。139。almun。如果匹配成功，則攔截請(qǐng)求、向客戶端發(fā)送警告。所以驗(yàn)證用戶輸入的信息是一個(gè)防止SQL注射攻擊的好方法，從而避免入侵者利用WEB的開放性對(duì)應(yīng)用程序進(jìn)行SQL注射攻擊。其中內(nèi)網(wǎng)包括PC機(jī)和服務(wù)器，外網(wǎng)就只有PC機(jī)。按其默認(rèn)設(shè)置單擊“下一步”即可完成安裝。至此WEB系統(tǒng)搭建完成，在瀏覽器中輸入:8080可訪問(wèn)系統(tǒng)主頁(yè)。信息服務(wù)管理器”，右鍵新建站點(diǎn)，點(diǎn)擊下一步，填寫FTP 站點(diǎn)描述，： FTP站點(diǎn)描述配置IP和端口，也可以選擇默認(rèn)的設(shè)置，點(diǎn)擊下一步。 設(shè)置界面更具掃描信息 “探測(cè)所有IPC$用戶列表” 存在漏洞的主機(jī)檢測(cè)到的信息，知道哪些端口是打開的，： 檢測(cè)信息。新建一個(gè)記事本，輸入如下圖所示的內(nèi)容， 文件，放到啟動(dòng)欄里，從而達(dá)到禁止所有默認(rèn)共享的目的?？梢耘袛嘣撟⑷?yún)?shù)的類型為整數(shù)型，所以我們猜出SQL語(yǔ)句大致的格式為：Select * from 表名 where 字段=