【正文】 得到密碼為止，這種方式也可以得到用戶的密碼。： （5）安裝防火墻為目標主機安裝一個網絡防火墻“瑞星防火墻”，對防火墻進行相應的設置,例如禁止PING命令的操作，或者TCP135,445，： 設置的規(guī)則（6）設置復雜的登錄密碼將密碼設置為具復雜密碼，例如Lsmn159$，復雜性一般要符合密碼設置標準，因為越復雜的密碼，就越不容易被攻擊。在運行框里輸入“cmd”命令，進入DOS界面，：net use \\\IPC$ 密碼 /user:用戶名。： IP配置界面配置FTP用戶隔離，選擇“隔離用戶”模式。 主頁界面 FTP服務器的搭建安裝ftp服務，將i386文件拷貝到服務器上或插入Windows2003安裝光盤，單擊“開始控制面板添加或刪除程序添加/刪除Windows組件”選項，在“組件”列表中，雙擊“應用程序服務器”選項，單擊并選中“Internet信息服務(IIS)”選項，然后單擊“詳細信息”按鈕，打開“應用程序服務器子組件”窗口。安裝完成后，Sever 2003系統(tǒng)的Frame ,，通過IIS下的“Web 服務擴展”查看支持的框架。 web的搭建搭建的web系統(tǒng)為“家庭理財管理系統(tǒng)”。（3）用戶權限在應用程序中使用的連接數據庫的賬戶應該是擁有必要的特權，這樣可以有效地保護整個系統(tǒng)盡可能少地受到入侵者的危害通過限制用戶權限，隔離了不同賬戶可執(zhí)行的操作。如果匹配失敗，則將請求字符串記錄入可疑攻擊代碼庫，提交網站管理員分析。||+\s*=\s*|[。=39。=39。Users=39。username39。有些攻擊者可能會冒充某些正規(guī)網站的名義，然后編個冠冕堂皇的理由寄一封信給內部人員，并要求輸入用戶名稱與密碼，當內部成員輸入后，如果按下“確定”，那時用戶名和密碼就會返回到攻擊者的郵箱。0day漏洞很可怕，可是在網絡攻擊中的社會工程學同樣很可怕，社會工程學是一個很廣泛的攻擊手段，跟技術性的防范不同，它包含很多的不確定因素，所以要想防范社會工程學攻擊還是很有難度的。關閉不必要的端口 攻擊者在入侵時常常會對目標主機的端口進行掃描，安裝了端口監(jiān)視程序，當監(jiān)視程序檢測到有人掃描是就會有警告提示。做出相應的加固，加固必須要嚴格按照服務器安全配置方案，加固方案，管理方案進行。并定期對WEB系統(tǒng)進行漏洞掃描和弱點分析，同時，也要進行人工的漏洞挖掘。并對員工的主機實行mac雙向綁定，從而預防ARP攻擊 應用程序的安全的防護WEB應用程序是整個網絡中的第一道防線，同時也是整個網絡中最容易被攻擊者攻擊的一個環(huán)節(jié)，從而導致了WEB應用程序的安全變得很重要。（4）病毒防御系統(tǒng)統(tǒng)一為網內中的所有主機和服務器安裝殺毒軟件。主機、應用系統(tǒng)登錄安全問題。這些威脅也許會通過U盤、移動硬盤等移動存儲介質進行傳播。往往這些不受重視的報警常常是攻擊者掩藏蓄謀已久的攻擊意圖的好地方（2）濃縮數據量對輸入的數據量進行壓縮， 在全流量中的數據進行篩選，將有用的信息刪選出來，并將與攻擊不相關聯(lián)的數據及時刪除，并保留與APT攻擊有關的數據流量， 將其有用數據弄成一個集合，壓縮對數據量，從而為檢測系統(tǒng)騰出更大的空間?；谟洃浀臋z測可以有效緩解上述問題。如果該文件是一個正常文件，隔離后，用戶需要額外的操作才能得到該文件；如果該文件是一個惡意文件，放過的話，就會對會對用戶的系統(tǒng)造成影響。該方案主要注重的是對元數據的提取， 以此對整個網絡流量的基本情況進行檢測， 從而發(fā)現(xiàn)異常行為。 檢測的整體流程圖該方案在一定程度上可以有效檢測 APT 攻擊， 對攻擊方式進行非特征匹配。APT攻擊者為了發(fā)動攻擊肯定會在系統(tǒng)的某處留下一些模糊的蹤跡，然而這些蹤跡在我們平時看來是正常的一些網絡行為，所以這就導致了我們很難檢測到APT攻擊。為了避免受害者推斷出攻擊的來源，APT 代碼需要對其在目標網絡中存留的痕跡進行銷毀，這個過程可以稱之為 APT 的退出。當接收到特定指令，或者檢測到環(huán)境參數滿足一定條件時，惡意程序開始執(zhí)行預期的動作。（Camp。(5)攻擊者在持續(xù)不斷獲取受害企業(yè)和組織網絡中的重要數據的時候，一定會向外部傳輸數據。APT攻擊在沒有挖掘到目標的有用信息之前，它可以悄悄潛伏在被攻擊的目標的主機中。第二章 相關的基礎知識 ATP的概念APT攻擊是一種非常有目標的攻擊。因此，我們將會看到越來越多的本地化攻擊。例如，美國國防部的 High Level 網絡作戰(zhàn)原則中，明確指出針對 APT 攻擊行為的檢測與防御是整個風險管理鏈條中至關重要也是基礎的組成部分，西方先進國家已將APT防御議題提升到國家安全層級，這絕不僅僅造成數據泄露。國內防不住，國外其實也防不住[2]。ATP攻擊的發(fā)現(xiàn)與防護方案設計目錄摘要 IIAbstract III第一章 概述 1 目的與意義 1 1 主要設計內容 3第二章 相關的基礎知識 4 ATP的概念 4 APT攻擊的原理 4 APT的危害 5第三章 APT攻擊的發(fā)現(xiàn) 6 ATP攻擊的途徑 6 ATP攻擊的過程剖析 6 ATP的檢測 8 9 異常檢測模式 10 威脅檢測技術 11 基于記憶的檢測 13第四章 APT防護方案設計 15 網絡拓撲圖 15 存在的威脅 15 內網的安全的防護 16 應用程序的安全的防護 17 服務器安全的防護 18 漏洞的防護 18 社會工程學 20 針對SQL注入的防護 21 防護方案后的拓撲圖 23第五章 ATP攻防實驗 25 實驗平臺的搭建 25 平臺拓撲圖 25 web的搭建 25 FTP服務器的搭建 29 弱密碼攻擊 33 攻擊 33 防護 38. 測試 44 操作系統(tǒng)IPC$ 漏洞攻擊 46 攻擊 46 防護 51 測試 55 SQL注入攻擊 57第六章 總結 65 總結 65 展望 65參考文獻 67致謝 68 II第一章 概述 目的與意義近年來，隨著信息技術的高速發(fā)展，信息化技術在給人們帶來種種物質和文化生活享受的同時，各種安全問題也隨之而來，諸如網絡的數據竊賊、黑客對主機的侵襲從而導致系統(tǒng)內部的泄密者。目前仍有很多人對APT這個名詞感到陌生，APT到底是什么，關于APT的定義非?；靵y，APT攻擊并不是具體限定于某一種唯一的方法和步驟,他攻擊的手段多種多樣，廣泛的用到了社會工程學的手段。根據許多APT行為特征的蠕蟲病毒分析報告來看，我國信息化建設和重要信息系統(tǒng)也可能受到來自某些國家和組織實施的前所未有的 APT 安全威脅，然而我國當前面向重要網絡信息系統(tǒng)的專業(yè)防護服務能力和產業(yè)化程度相對較低，尚難以有效應對高級持續(xù)性威脅攻擊，形勢相當嚴峻，另一方面，由于APT攻擊的高度復合性和復雜性，目前尚缺乏對 APT 成因和檢測的完善方法的研究。（2）APT攻擊將更有破壞性：在以后，APT攻擊將帶有更多的破壞性質，無論這是它的主要目的，或是作為清理攻擊者總計的手段，都很有可能成為時間性攻擊的一部分，被運用在明確的目標上。APT攻擊和其他的網絡攻擊相比，他們有著本質的區(qū)別，病毒擁有3個基本屬性，APT攻擊在擁有那些基本屬性的同時，也擁有了屬于自己特有的屬性。傳統(tǒng)安全事故經常是可見的、危害即刻發(fā)生，造成的威脅很小；可是APT攻擊則是不可見，危害在幕后發(fā)生，因為APT攻擊具有很強的隱蔽性，所以悄然間便可竊取被攻擊目標的核心數據，當一個企業(yè)或一個國家知道被攻擊成功時，則造成的危害已經不可挽回，他的破壞力是非常強的，在國與國之間沒有真正較量沒有發(fā)生之前時發(fā)作，一旦發(fā)作也許會導致系統(tǒng)不運行，包括金融系統(tǒng)，攻擊的目標大多數是針對國家的要害部門，所以它的危害是非常嚴重，威脅到國家的信息安全。通過對數據進行壓縮、加密的方式導致現(xiàn)有絕大部分基于特征庫匹配的檢測系統(tǒng)失效，實現(xiàn)數據的傳輸總之，高級持續(xù)性威脅(APT)正在通過一切方式，繞過基于代碼的傳統(tǒng)安全方案如防病毒軟件、防火墻、IPS等)，并更長時間的潛伏在系統(tǒng)中，讓傳統(tǒng)防御體系難以偵測[6]。C第四階段：橫向擴展。APT 根據入侵之前采集的系統(tǒng)信息，將滯留過的主機進行狀態(tài)還原，并恢復網絡配置參數，清除系統(tǒng)日志數據，使事后電子取證分析和責任認定難以進行。可是安全人員可以快速定位攻擊源頭，并做出對應的安全防御策略，但是這些卻無法準確提取APT攻擊屬性與特征。攻擊者與防護者的信息不對稱， 因為APT攻擊具有極強的隱蔽性，所以要想發(fā)現(xiàn)APT攻擊如同大海撈針。通過對該主機流量進行特征抽取，與其正常的流量模型比較，從而得到流量異常情況的概率值。因此，無論隔離還是放過，都會對用戶造成困擾。基于記憶的檢測系統(tǒng)， 是由全流量審計與日志審計相結合形成的， 它對抗 APT 的關鍵方法就是以時間對抗時間[10]。 依靠數據流量的異常檢測模塊，篩選、 刪除一些無用的數據流量，從而進一步提高檢測的性能（3）報警將原先保存下來的與APT攻擊行為有關的數據進行一個后續(xù)的詳細分析，制定相關的匹配規(guī)則。主機IP地址和MAC地的威脅，因為它們很容易被篡改，造成運行與維護上的不安全，刻錄機帶來的安全風險。管理員權限過大，可通過在交換機鏡像或ARP欺騙的方式捕獲內部人員的賬號和密碼，管理員可直接在服務器上讀取OA、EMail等的敏感信息。（5）Mail安全在信息技術高度發(fā)展的今天，Email已成為我們生活和工作中必不可少的一部分了，很多人不懂安全的人事，很難想象一封Email中所隱藏的安全隱患，到底有多大，所以應當對郵件進行過濾。所以我們在路由器上安裝了防火墻，實現(xiàn)了對服務器的安全控制和監(jiān)測。從而發(fā)現(xiàn)系統(tǒng)存在和可能存在的漏洞，因為運用軟件掃描有時有可能會出現(xiàn)誤差（3）流量監(jiān)測定期對網絡進行流量監(jiān)測，因為通過檢測出進或者出口的流量情況，有助于網絡安全管理員分析WEB的運行情況，發(fā)現(xiàn)進出口的流量是否存在異常。 漏洞的防護（1）內部主機的設置關閉“文件和打印共享” 文件和打印共享可以實現(xiàn)內網中同一網段中的各個成員之間的文件的傳輸，使用起來很方便，所以很多時候企業(yè)都會采用這樣的方式進行文件的傳輸，但在不需要它的時候，文件和打印共享就成了攻擊者入侵內部網絡的很好的安全漏洞。并用工具軟件關閉用不到的端口，進一步提高系統(tǒng)的安全新。（1）防范來內網的主動/被動的社會工程學攻擊“主動的社會工程學攻擊”指來內網中不安分人員的攻擊。所以內網人員不要隨便回陌生人的郵件。AND1和password=139。WHERE139。139。alnum。如果發(fā)現(xiàn)同一源IP地址短時間內多次攻擊，過濾模塊就會將該IP地址加入黑名單，禁止其在一定時間內訪問，從而防止攻擊者采用窮舉法,最終攻破系統(tǒng)。不同的用戶賬戶擁有不同的權限，執(zhí)行查詢插入更新刪除等操作的用戶可以是不同的用戶，這樣可以防止原本用于執(zhí)行查詢操作的地方卻被用于執(zhí)行插入、更新或刪除等操作[8]。 環(huán)境設備開發(fā)環(huán)境Visual Studio 2012數據庫SQL Server2008系統(tǒng)框架Frame 由于需要搭建到Server 2003上，需要對Server 2003做如下工作：安裝IIS， ，搭建WEB系統(tǒng)等。 Frame （3）發(fā)布WEB系統(tǒng)搭建好所需要的環(huán)境后，就可以進行以發(fā)布網站了。并選擇FTP的根目錄，我在此d盤下新建了一個t