【正文】 題，因為APT種攻擊是以“隱形模式”進(jìn)行的。通常APT攻擊會采用一些惡意程序文件名與常見Windows文件類似，讓我們很難發(fā)現(xiàn)。 因而導(dǎo)致沙箱檢測在這種情形下檢測不出來惡意代碼， 但是在另外一種情形下可能檢測出來 異常檢測模式： 異常檢測流程圖APT攻擊常使用端口跳變、應(yīng)用層加密等手段隱藏惡意流量特征，只有通過一系列的數(shù)據(jù)聚類才能發(fā)現(xiàn)異常，異常檢測是利用預(yù)先設(shè)定好特征庫或規(guī)則庫和用戶通過從賬號登錄的IP地址、時間、行為操作序列等特征的統(tǒng)計可得到該賬號的正常行為產(chǎn)生的數(shù)據(jù)量建立一個有效的模型。 對于異常告警，安全審計人員需及時確認(rèn)原因；并對未能確認(rèn)原因的異常告警信息，尤其是異常流量警告信息，并及時聯(lián)系安全技術(shù)支持人員進(jìn)行近一步分析這種異常，從而發(fā)現(xiàn)APT攻擊，但是該檢測的缺點是不能檢測未知的異常,同時隨著異常種類越來越來多,導(dǎo)致特征庫越來越龐大,從而監(jiān)測性能也隨之下降。一份統(tǒng)一的威脅名單：根據(jù)威脅檢測技術(shù)和虛擬分析技術(shù)的結(jié)果，模擬APT攻擊，可以產(chǎn)生一個可疑的威脅名單或則一份APT攻擊記錄報表，并將其可以名單和記錄的APT攻擊報表及時的地反饋給安全人員報表系統(tǒng)：該系統(tǒng)根據(jù)不同的目的，提供不同的報表供 IT 安全管理人員查看。該記憶的檢測方案主要分成如下幾個步驟: （1）擴(kuò)大檢測范圍該方案對數(shù)據(jù)流量的檢測領(lǐng)域進(jìn)行拓展， 并將全流量數(shù)據(jù)進(jìn)行有效的存儲，對存儲的流量數(shù)據(jù)會進(jìn)行深入分析。（4）模擬攻擊安全管理員將識別出的報警數(shù)據(jù)進(jìn)行關(guān)聯(lián)性分析， 明確這些報警數(shù)據(jù)與APT攻擊之間存在的語義關(guān)系，并將孤立的攻擊報警從海量的報警中提取出來，根據(jù)關(guān)聯(lián)特征組建攻擊場景相關(guān)的知識庫，對識別出的報警與之相匹配、對照，構(gòu)建 APT攻擊，如果構(gòu)建成功，則APT攻擊被發(fā)現(xiàn)，并將其記錄。（2）內(nèi)網(wǎng)帶來的威脅內(nèi)部成員之間重要文檔在傳輸過程中帶來的安全問題，當(dāng)某個不具備某文檔閱讀權(quán)限的內(nèi)部員工可能會接觸、打開、復(fù)制、打印該文檔，這樣就有可能造成文件的泄露。 內(nèi)網(wǎng)的安全的防護(hù)（1）訪問控制配置訪問控制策略，對網(wǎng)絡(luò)進(jìn)行訪問控制，并且在內(nèi)網(wǎng)中應(yīng)該不要使用無線網(wǎng)，無線網(wǎng)絡(luò)存在諸多安全隱患，而且不方便集中管理上網(wǎng)用戶，為了避免攻擊者通過無線網(wǎng)絡(luò)滲透進(jìn)內(nèi)網(wǎng)或者機(jī)密資料被竊取，所以應(yīng)避免使用無線網(wǎng)絡(luò)。（6）日志管理對日志進(jìn)行統(tǒng)一管理，安全管理員應(yīng)該定期進(jìn)行日志分析。所以在應(yīng)用上線之前，要嚴(yán)格地進(jìn)行各種安全測試和加固。（2）配置安全策略歲服務(wù)器制定相應(yīng)的安全部署策略和安全加固策略，以及訪問策略等，為服務(wù)器及時安裝漏洞補丁，并定期對安全策略、補丁等情況進(jìn)行檢查。默認(rèn)的情況下，所有的用戶都可以通過空連接連上服務(wù)器，所以這樣就會對我們的服務(wù)器帶來很大的安全隱患，導(dǎo)致服務(wù)器上的信息泄露。 社會工程學(xué)通過培訓(xùn)，使內(nèi)網(wǎng)的工作人員對社工有個比較全面的認(rèn)識，學(xué)會理智地分辨他們身邊存在或可能存在的“社工行為”以及“社工因素”，避免內(nèi)網(wǎng)被社工。上網(wǎng)行為管理設(shè)備應(yīng)該做到阻止內(nèi)部主機(jī)對惡意U R L的訪問。FROM==39。139。and(select count(*) from account)0。然后檢測請求數(shù)據(jù)中是否含有SQL注入攻擊常用的關(guān)鍵字以及分隔符，如and、or、1=’、等，如果不含有，則可以排除注入攻擊的可能。如果可以接受字母，那就要檢查是不是存在不可接受的字符。以保證數(shù)據(jù)和機(jī)密文件的安全。（2） 因為“家庭理財管理系統(tǒng)”，而Sever 。： IP設(shè)定界面輸入網(wǎng)站主目錄路徑。服務(wù)”這個選項，單擊確定。 弱密碼攻擊 攻擊： 攻擊流程用X—，對掃描器進(jìn)行相應(yīng)的設(shè)置，： 具體設(shè)置圖設(shè)置掃描的IP地址范圍，： 存活的主機(jī)根據(jù)掃面的結(jié)果對相應(yīng)的主機(jī)進(jìn)行攻擊，： 掃描結(jié)果從掃描的信息中，我們可以觀察到各個主機(jī)所存在的漏洞，： 漏洞信息根據(jù)所得的在信息登錄被攻擊的主機(jī)系統(tǒng)：通過掃描的信息已經(jīng)知道用戶名為：administrator 密碼為：123 現(xiàn)在通過Dame Ware Mini Remote Control 軟件登錄該用戶界面，獲取控制權(quán)，： 登陸界面設(shè)置成功后點擊鏈接控制成功， 目標(biāo)主機(jī)的界面可以對桌面上的文件，或電腦里面的信息進(jìn)行任何的操作了當(dāng)密碼沒有掃描出來時，可以過暴力破解弱口令進(jìn)行攻擊在C盤建立文件夾hack， hack工具就在c:\hack目錄進(jìn)行，這些工具軟件都具有hack性質(zhì)，使用時需要將殺毒軟件，還有防火墻關(guān)閉運行superdic字典工具，選擇基本數(shù)字；生成口令文件， ，： superdic字典界面在c:\hack目錄下，創(chuàng)建一個用戶名文件(),文件內(nèi)容就是administrator，： DOS界面，就可以看到密碼了，： 獲取的密碼通過，所以攻擊成功 目標(biāo)界面 防護(hù)（1）賬戶的鎖定默認(rèn)情況下，用戶在登陸界面中可能會有很多次輸入無效賬戶和密碼的機(jī)會，當(dāng)用戶這值得口令示弱口令時，黑客就可以通過密碼猜或者字典攻擊破解用戶的賬戶和密碼，從而獲取控制權(quán)，所以我們可以通過鎖定賬戶，來防止這類的攻擊，選擇“開始”—“運行”輸入“”,點擊確定后進(jìn)入組策略配置，依次點開“本地計算機(jī)策略”—“計算機(jī)配置” —“windows設(shè)置” —“安全設(shè)置”，： 具體步驟再雙擊“賬戶策略”，如下圖所示：設(shè)置相應(yīng)的參數(shù)值，設(shè)置用戶只可以有輸入用戶和密碼錯誤三次的機(jī)會，一旦輸入錯誤三次，就會被鎖定， 設(shè)置登陸次數(shù)界面設(shè)置鎖定的時間一個小時，： 設(shè)置鎖定界面（2）密碼設(shè)置密碼是用來登錄到系統(tǒng)中的憑證，在系統(tǒng)設(shè)置密碼的前提下，只有輸入有效的密碼才可以登錄錄到該系統(tǒng)中，可是往往該系統(tǒng)忽略了密碼設(shè)置的策略，將弱口令設(shè)置為登錄密碼，從而導(dǎo)致黑客通過字典攻擊就可以把密碼破解了，從而攻破主機(jī)，所以密碼策略可以防止黑客通過弱口令對該系統(tǒng)實施攻擊選擇“開始”—“運行” 輸入“”,點擊確定后，進(jìn)入“組策略”配置，依次點開“本地計算機(jī)策略”—“計算機(jī)配置” —“windows設(shè)置” —“安全設(shè)置”—“賬戶策略” —“密碼策略”，： 設(shè)置界面雙擊密碼策略，界面如下所示：根據(jù)標(biāo)準(zhǔn)的要求對密碼策略進(jìn)行相應(yīng)的設(shè)置：密碼符合性必須符合復(fù)雜性的要求不包含部分的用戶的賬戶名長度至少為六個包含以下四個類別中的三個字符英文大寫字母（A—Z）英文小寫字母（a—z）十個數(shù)字（0—9）非字母字符（！、）密碼成都最小值：確定賬戶的密碼可以包含最少的字符個數(shù)，可以設(shè)置為1—14個字符的值，或設(shè)置為0，可是這樣設(shè)置不安全，： 設(shè)置密碼長度界面密碼最短使用期，限制用戶使用密碼的期限，可以設(shè)置其值為1—999之間，當(dāng)設(shè)置期限到達(dá)時，用戶就更換密碼了，這樣可以防止黑客花很長的時間破解我們的密碼，當(dāng)他破解時，我們的密碼也不是原來的密碼，： 設(shè)置更改的天數(shù)界面確定在從新使用舊密碼前，必須與一個用戶相關(guān)的唯一新密碼個數(shù)，可以設(shè)置為0—24之間，通過該策略可以確保舊密碼不能再繼續(xù)使用，從而增強系統(tǒng)的安全性，設(shè)置完后，： 密碼設(shè)置標(biāo)準(zhǔn)根據(jù)密碼策略，將用戶的陸密碼設(shè)置為：Lxy123，： 設(shè)置密碼界面點擊確定，設(shè)置成功（3）設(shè)置用戶權(quán)限： 設(shè)置步驟： 更改步驟. 測試再次對被攻擊的足跡進(jìn)行掃描,根據(jù)掃描的信息并沒有發(fā)現(xiàn)高危漏洞了，現(xiàn)在通過暴力破解，看看是否能夠破解該密碼。： 輸入命令的界面登陸成功之后, 把對方的C盤映射到本地的Z盤，： 映射命令命令成功后，打開“我的電腦“，就可以看到目標(biāo)主機(jī)的C盤了，： 對方C盤現(xiàn)在可以通過“波爾遠(yuǎn)程控制”，并雙擊運行該軟件， 上傳木馬測試一下本機(jī)連接是否正常如果正常開始運行“波爾遠(yuǎn)程控制”的服務(wù)器端，通過服務(wù)器端去控制目標(biāo)主機(jī)：一打開，就發(fā)現(xiàn)目標(biāo)主機(jī)已經(jīng)和服務(wù)端建立連接了，： 波爾遠(yuǎn)程控制主界面通過該軟件我們就可以對被控制的目標(biāo)主機(jī)的進(jìn)行很多操作了，可以對該計算機(jī)進(jìn)行磁盤管理，雙擊“磁盤管理”，： 目標(biāo)主機(jī)的磁盤還可以對目標(biāo)主機(jī)的屏幕進(jìn)行任何的操作，當(dāng)雙擊“屏幕實時操作的時候”就可以控制對方的屏幕了所以漏洞攻擊成功，最終獲取了目標(biāo)主機(jī)的控制權(quán) 防護(hù)（1）修改注冊表選擇“開始|”—“運行”，在運行框里輸入：“regedit”， 點擊確定后打開注冊表，將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA的RestrictAnonymous項設(shè)置為1，可以禁止攻擊者使用空連接， 設(shè)置界面打開“控制面板”—“管理工具”—“本地安全策略”，選擇“本地策略”的“安全選項”,然后對選擇“不允許枚舉SAM賬號和共享”的屬性，然后點擊已啟用，然后按”確定“即可禁止IPC$空連接。說明不能通過IPC$ 的遠(yuǎn)程登錄該主機(jī)。還了解了APT攻擊經(jīng)常使用的一些攻擊手段，有弱密碼攻擊，操作系統(tǒng)漏洞攻擊，SQL注入攻擊，了解這些攻擊手段的原理，并做出相應(yīng)的防護(hù)，在此基礎(chǔ)上，還學(xué)會使用了一些掃描工具，遠(yuǎn)程控制工具和怎樣上傳木馬。最后我要感謝和我一起實驗的伙伴，謝謝你們這段時間的陪伴幫助，雖然我們在實驗室呆的時間很短，可是這段時間讓我收獲很多，也許會成為我一輩子的回憶。由于APT攻擊是近年才出現(xiàn)的網(wǎng)絡(luò)攻擊，所以剛開始接觸的時候?qū)@個名詞感到很陌生，對該設(shè)計沒有任何思路，做論文的前兩周基本沒有任何的進(jìn)展和成果，可是老師并沒有責(zé)備，而是慢慢的指導(dǎo)我前期應(yīng)該做哪些工作，并循序漸進(jìn)的讓我將設(shè)計的完成。 表名是否存在界面猜管理員的ID號，還有密碼字段，在地址欄中輸入如下語句：:8080/ ?id=2 and exists(select ID form Admin)，如果顯示正常，說明存在字段“ID”： ID是否存在界面:8080/ ?id=2 and exists (select password form Admin) 顯示正常，說明該字段存在，： 猜關(guān)鍵字猜管理員的ID號，看看ID號為多少，在IE地址欄中輸入:8080/ ?id=2 and exists (select ID form Admin where ID=…..)，一直猜解到頁面顯示正常，此時的ID號就是正確的，ID號為1，： 猜ID接下來猜管理員的密碼長度，在地址欄中輸入：:8080/ ?id=2and exists (select admin form where id=1 and length (admin)=…….. )，……直到頁面顯示正常，那么那個數(shù)值就是密碼的長度，當(dāng)數(shù)值為5時，界面顯示正常，說明該管理員的密碼長度為5，所以我們可以大膽的猜管理員的密碼為admin 猜密碼長度此時在登陸界面輸入用戶名為：“admin”密碼為“admin”，： 后臺界面或者猜管理員的密碼，由于英文和數(shù)字的ASCII在1到128之間，所以我們可以通過在地址欄中輸入：:8080/?id=2and exists (select password form admin where ID=1 and asc (mid (admin,1,1) )=…..128，只要頁面顯示正常，則猜出來的數(shù)字和字符就是密碼中含有的，一直猜到結(jié)束，直到