【正文】 檢測的整體流程圖該方案在一定程度上可以有效檢測 APT 攻擊， 對攻擊方式進行非特征匹配。該方案主要注重的是對元數(shù)據(jù)的提取， 以此對整個網絡流量的基本情況進行檢測， 從而發(fā)現(xiàn)異常行為。如果該文件是一個正常文件，隔離后，用戶需要額外的操作才能得到該文件；如果該文件是一個惡意文件，放過的話，就會對會對用戶的系統(tǒng)造成影響?；谟洃浀臋z測可以有效緩解上述問題。往往這些不受重視的報警常常是攻擊者掩藏蓄謀已久的攻擊意圖的好地方（2）濃縮數(shù)據(jù)量對輸入的數(shù)據(jù)量進行壓縮， 在全流量中的數(shù)據(jù)進行篩選，將有用的信息刪選出來，并將與攻擊不相關聯(lián)的數(shù)據(jù)及時刪除，并保留與APT攻擊有關的數(shù)據(jù)流量， 將其有用數(shù)據(jù)弄成一個集合，壓縮對數(shù)據(jù)量，從而為檢測系統(tǒng)騰出更大的空間。這些威脅也許會通過U盤、移動硬盤等移動存儲介質進行傳播。主機、應用系統(tǒng)登錄安全問題。（4）病毒防御系統(tǒng)統(tǒng)一為網內中的所有主機和服務器安裝殺毒軟件。并對員工的主機實行mac雙向綁定，從而預防ARP攻擊 應用程序的安全的防護WEB應用程序是整個網絡中的第一道防線，同時也是整個網絡中最容易被攻擊者攻擊的一個環(huán)節(jié)，從而導致了WEB應用程序的安全變得很重要。并定期對WEB系統(tǒng)進行漏洞掃描和弱點分析，同時，也要進行人工的漏洞挖掘。做出相應的加固，加固必須要嚴格按照服務器安全配置方案，加固方案，管理方案進行。關閉不必要的端口 攻擊者在入侵時常常會對目標主機的端口進行掃描，安裝了端口監(jiān)視程序，當監(jiān)視程序檢測到有人掃描是就會有警告提示。0day漏洞很可怕，可是在網絡攻擊中的社會工程學同樣很可怕，社會工程學是一個很廣泛的攻擊手段，跟技術性的防范不同，它包含很多的不確定因素，所以要想防范社會工程學攻擊還是很有難度的。有些攻擊者可能會冒充某些正規(guī)網站的名義，然后編個冠冕堂皇的理由寄一封信給內部人員，并要求輸入用戶名稱與密碼，當內部成員輸入后，如果按下“確定”，那時用戶名和密碼就會返回到攻擊者的郵箱。username39。=39。Users=39。=39。||+\s*=\s*|[。如果匹配失敗，則將請求字符串記錄入可疑攻擊代碼庫，提交網站管理員分析。（3）用戶權限在應用程序中使用的連接數(shù)據(jù)庫的賬戶應該是擁有必要的特權，這樣可以有效地保護整個系統(tǒng)盡可能少地受到入侵者的危害通過限制用戶權限，隔離了不同賬戶可執(zhí)行的操作。 web的搭建搭建的web系統(tǒng)為“家庭理財管理系統(tǒng)”。安裝完成后，Sever 2003系統(tǒng)的Frame ,，通過IIS下的“Web 服務擴展”查看支持的框架。 主頁界面 FTP服務器的搭建安裝ftp服務，將i386文件拷貝到服務器上或插入Windows2003安裝光盤，單擊“開始控制面板添加或刪除程序添加/刪除Windows組件”選項，在“組件”列表中，雙擊“應用程序服務器”選項，單擊并選中“Internet信息服務(IIS)”選項，然后單擊“詳細信息”按鈕，打開“應用程序服務器子組件”窗口。： IP配置界面配置FTP用戶隔離，選擇“隔離用戶”模式。在運行框里輸入“cmd”命令，進入DOS界面，：net use \\\IPC$ 密碼 /user:用戶名。： （5）安裝防火墻為目標主機安裝一個網絡防火墻“瑞星防火墻”，對防火墻進行相應的設置,例如禁止PING命令的操作，或者TCP135,445，： 設置的規(guī)則（6）設置復雜的登錄密碼將密碼設置為具復雜密碼，例如Lsmn159$，復雜性一般要符合密碼設置標準，因為越復雜的密碼，就越不容易被攻擊。 表名是否存在界面猜管理員的ID號，還有密碼字段，在地址欄中輸入如下語句：:8080/ ?id=2 and exists(select ID form Admin)，如果顯示正常，說明存在字段“ID”： ID是否存在界面:8080/ ?id=2 and exists (select password form Admin) 顯示正常，說明該字段存在，： 猜關鍵字猜管理員的ID號，看看ID號為多少，在IE地址欄中輸入:8080/ ?id=2 and exists (select ID form Admin where ID=…..)，一直猜解到頁面顯示正常，此時的ID號就是正確的，ID號為1，： 猜ID接下來猜管理員的密碼長度，在地址欄中輸入：:8080/ ?id=2and exists (select admin form where id=1 and length (admin)=…….. )，……直到頁面顯示正常，那么那個數(shù)值就是密碼的長度，當數(shù)值為5時，界面顯示正常，說明該管理員的密碼長度為5，所以我們可以大膽的猜管理員的密碼為admin 猜密碼長度此時在登陸界面輸入用戶名為：“admin”密碼為“admin”，： 后臺界面或者猜管理員的密碼，由于英文和數(shù)字的ASCII在1到128之間，所以我們可以通過在地址欄中輸入：:8080/?id=2and exists (select password form admin where ID=1 and asc (mid (admin,1,1) )=…..128，只要頁面顯示正常，則猜出來的數(shù)字和字符就是密碼中含有的，一直猜到結束，直到得到密碼為止，這種方式也可以得到用戶的密碼。由于APT攻擊是近年才出現(xiàn)的網絡攻擊，所以剛開始接觸的時候對這個名詞感到很陌生，對該設計沒有任何思路，做論文的前兩周基本沒有任何的進展和成果，可是老師并沒有責備，而是慢慢的指導我前期應該做哪些工作，并循序漸進的讓我將設計的完成。不奮斗就是每天都很容易，可一年一年越來越難。是狼就要練好牙，是羊就要練好腿。 展望該防護方案針對的是APT攻擊的手段進行防護的，可是前期信息收集階段，并沒有進行相應的防護，由于APT攻擊周密完善且攻擊目標明確的信息收集，所以一旦確定攻擊目標后，就會不計成本的挖掘或者購買Odays漏洞，想辦法滲透到目標的內部,利用社會工程學的方法，成功攻擊，APT攻擊總是會尋找一種有效的途徑進入企業(yè)的內部，所以僅依靠網上的一些掃描工具是很難發(fā)現(xiàn)APT攻擊的，大多數(shù)情況下都是利用社會工程學的方法，這是這種方法很難方法，他的利用因素很多。 映射C盤打開“我的電腦”，并沒有看到目標主機的C盤，： 攻擊機中的計算機空連接漏洞攻擊失敗，說明該防護方案是可行的 SQL注入攻擊：該攻擊的過程是利用自己搭建的“家庭理財管理系統(tǒng)”網站進行的SQL注入攻擊，正常情況下只要用戶或者管理員輸入自己的用戶名和密碼，如果正確則會跳轉到后臺的登陸界面，如果失敗則會提示錯誤信息，： 登陸界面我們是在知道用戶名可是不知道密碼的情況下對該網站進行登陸，我們可以通過社會工程學的方法獲取用戶名，利用用戶名，然后密碼處輸入框中構造查詢語句，密碼的結構為：“隨機密碼’or 1=1 ”，由于密碼的驗證是字符串，所以單引號不可以丟，or 1=1是一個永遠為真的語句 ，再用 注釋掉原有語句后面還有的內容，所以不管輸入什么隨機密碼，所以當表中有用戶記錄時，那么查詢的結果就一定會為真，也就是說當我們指導用戶名，而不知道密碼的情況下，通過構建該語句，一定能登陸成功，現(xiàn)在構造用戶名為：小明，密碼為1314’or 1=1 ，： 輸入界面點擊登錄就進去了，： 后臺界面通過手工注入猜的方法對該網站進行SQL攻擊，判斷該網站是否存在注入點：通過構造URL：:8080/?id=2,對數(shù)據(jù)庫進行動態(tài)的查詢業(yè)務,在瀏覽器的地址欄中輸入URL,然后按回車，： 網站界面對:8080/ ?id=2進行驗證，在IE地址欄中輸入:8080/ ?id=2 and 1=1，: and 1=1的界面在IE地址欄中輸入:8080/ ?id=2 and 1=4，: 異常界面出現(xiàn)異常，所以該網站存在注入點，我們從id=2中。： 設置步驟（4）刪除默認共享用記事本自建一個刪除所有默認共享的批處理文件，放在啟動欄里，每次啟動機器時都自動運行，以刪除所有的默認共享。 操作系統(tǒng)IPC$ 漏洞攻擊 攻擊： 攻擊流程圖運行流光主程序，按“Ctrl + R ”鍵彈出掃描框，在掃描范圍欄里輸入你要掃描的I P 地址范圍，在掃描主機類型里選擇NT/98 ，確定后進行掃描。出現(xiàn)提示時，如需要文件i386，則定位到剛才拷貝的i386文件，一直點下一步，最后點完成（1）配置ftp站點點擊“開始”—“管理工具”—“Internet在彈出的提示中單擊“是”即可。： 完成界面。第五章 ATP攻防實驗 實驗平臺的搭建 平臺拓撲圖： 環(huán)境網絡拓撲圖，主要劃分兩個網段，是主要的攻擊目標。使用正則表達式來進行復雜的模式匹配，限制用戶輸入的字符的長度[21]。對于包含注入關鍵字的Web請求，可以遍歷規(guī)則庫對請求內容進行詳細的正則匹配。\s*drop\s+table\s+|_az09]+()?刪除數(shù)據(jù)’or 1=1 (’\s+)?or\s+[[。39。39。*or39。WHEREDNS服務器，可能是內部的緩存服務器,也可能是外部的DNS服務器,由于只能對內部DNS服務器監(jiān)控而無法監(jiān)控外部DNS服務器的情況，因此不能完全避免這種類型的攻擊[13]。社會工程學的攻擊主要是從“人”開始的。使用代理服務器后，攻擊者只能探測到道理服務器的IP地址而不是內網中主機的IP地址，這就實現(xiàn)了隱藏用戶IP地址的目的，從而保障了內網的安全。發(fā)現(xiàn)異常，應及時的做相應的處理，為服務器進行定期的漏洞掃描安全人員也應該進行相應的手工漏洞挖掘工作。（2）安裝WEB應用防火墻安裝防火墻，一定程度上也可以提高WEB的安全系數(shù)。確保每個員工的主機都能安全地運行（8）培養(yǎng)員工的安全意管理員應該定期對員工進行網絡安全方面知識的普及和培訓，規(guī)范員工的上網，引導員工去安全地上網，從而確保內網環(huán)境安全和穩(wěn)定。（3）PC補丁管理服務器WSUS支持微軟的全部產品的更新，以及補丁程序。員工的U盤、移動硬盤、光盤也有可能在外部感染木馬，從而攻擊內網中的主機、服務器，然后將數(shù)據(jù)傳到外部。其中內網包括PC機和服務器，外網就只有PC機。還可以在發(fā)現(xiàn)異常情況后，利用原先的全流量的存儲， 將異常行為返回到與之相關的時間點。通過進行人工整合的工作，對不同的情況采取不同的措施。在該模塊產生日志分析的基礎上，根據(jù)一些經驗規(guī)則或者自定義的規(guī)則，主動的發(fā)現(xiàn)可能發(fā)生的安全威脅虛擬分析技術。該方案提出了在多種查詢條件下對流量數(shù)據(jù)進行可視化分析，例如目的 IP 地址流量統(tǒng)計排序、目的端口流量統(tǒng)計排序等；并對對重要文件的操作及對應的發(fā)生時間進行審計。根據(jù)整個apt攻擊過程，圍繞APT的攻擊步驟提出具體的檢測方案。并且該方案能夠識別和分析服務器和客戶端的微妙變化和異常。第六階段：資料竊取。C服務器間保持通信[]。采用誘騙手段將正常網址請求重定向至惡意站點，發(fā)送垃圾電子郵件并捆綁染毒附件，以遠程協(xié)助為名在后臺運行惡意程序，或者直接向目標網站進行 SQL 注入攻擊等。(3)利用防火墻、服務器等系統(tǒng)漏洞繼而獲取訪問企業(yè)網絡的有效憑證信息(4)很多企業(yè)和組織的網站在防范SQL注入攻擊方面缺乏防范。與傳統(tǒng)攻擊手段和入侵方式相比，APT 攻擊體現(xiàn)的技術性更強，過程也更為復雜，他的攻擊行為沒有采取任何可能觸發(fā)警報或者引起懷疑的行動，所以更接近于融入被攻擊者的系統(tǒng)或程序。Persistent（1）攻擊將會更有針對性：越來越多的APT攻擊將會針對特定的地區(qū)、特定的用戶群體進行攻擊。大致主要分為兩種方式:靜態(tài)檢測方式和動態(tài)檢測方式[3]。設計的目的主要是從APT的規(guī)范定義及特征入手,對攻擊發(fā)起的背景、步驟等進行較詳盡的描述, 在分析APT攻擊的一般過程基礎上,針對攻擊不同階段,從技術措施和防護方法等方面給出具體的建議，并給出具體、完善的檢測、響應和防范APT攻擊的可行性方案。這些方案和傳統(tǒng)的防護方案相比更加有效地檢測 APT 網絡攻擊。畢業(yè)論文（設計）中凡引用他人已經發(fā)表或未發(fā)表的成果、數(shù)據(jù)、觀點等，均已明確注明出處。On the basis of understanding, using two Quidway S2008 types of switches and routers Quidway 2600 router models and some puter to simulate internal network and external network, and using building environment to simulate several typical APT attack, propose specific programs including the scheme sandbox detection, anomaly detection, threat de