【正文】 得到密碼為止，這種方式也可以得到用戶的密碼。： （5）安裝防火墻為目標(biāo)主機(jī)安裝一個(gè)網(wǎng)絡(luò)防火墻“瑞星防火墻”，對(duì)防火墻進(jìn)行相應(yīng)的設(shè)置,例如禁止PING命令的操作，或者TCP135,445，： 設(shè)置的規(guī)則（6）設(shè)置復(fù)雜的登錄密碼將密碼設(shè)置為具復(fù)雜密碼，例如Lsmn159$，復(fù)雜性一般要符合密碼設(shè)置標(biāo)準(zhǔn)，因?yàn)樵綇?fù)雜的密碼，就越不容易被攻擊。在運(yùn)行框里輸入“cmd”命令，進(jìn)入DOS界面，：net use \\\IPC$ 密碼 /user:用戶名。： IP配置界面配置FTP用戶隔離，選擇“隔離用戶”模式。 主頁(yè)界面 FTP服務(wù)器的搭建安裝ftp服務(wù)，將i386文件拷貝到服務(wù)器上或插入Windows2003安裝光盤，單擊“開始控制面板添加或刪除程序添加/刪除Windows組件”選項(xiàng)，在“組件”列表中，雙擊“應(yīng)用程序服務(wù)器”選項(xiàng)，單擊并選中“Internet信息服務(wù)(IIS)”選項(xiàng)，然后單擊“詳細(xì)信息”按鈕，打開“應(yīng)用程序服務(wù)器子組件”窗口。安裝完成后，Sever 2003系統(tǒng)的Frame ,，通過IIS下的“Web 服務(wù)擴(kuò)展”查看支持的框架。 web的搭建搭建的web系統(tǒng)為“家庭理財(cái)管理系統(tǒng)”。（3）用戶權(quán)限在應(yīng)用程序中使用的連接數(shù)據(jù)庫(kù)的賬戶應(yīng)該是擁有必要的特權(quán)，這樣可以有效地保護(hù)整個(gè)系統(tǒng)盡可能少地受到入侵者的危害通過限制用戶權(quán)限，隔離了不同賬戶可執(zhí)行的操作。如果匹配失敗，則將請(qǐng)求字符串記錄入可疑攻擊代碼庫(kù)，提交網(wǎng)站管理員分析。||+\s*=\s*|[。=39。=39。Users=39。username39。有些攻擊者可能會(huì)冒充某些正規(guī)網(wǎng)站的名義，然后編個(gè)冠冕堂皇的理由寄一封信給內(nèi)部人員，并要求輸入用戶名稱與密碼，當(dāng)內(nèi)部成員輸入后，如果按下“確定”，那時(shí)用戶名和密碼就會(huì)返回到攻擊者的郵箱。0day漏洞很可怕，可是在網(wǎng)絡(luò)攻擊中的社會(huì)工程學(xué)同樣很可怕，社會(huì)工程學(xué)是一個(gè)很廣泛的攻擊手段，跟技術(shù)性的防范不同，它包含很多的不確定因素，所以要想防范社會(huì)工程學(xué)攻擊還是很有難度的。關(guān)閉不必要的端口 攻擊者在入侵時(shí)常常會(huì)對(duì)目標(biāo)主機(jī)的端口進(jìn)行掃描，安裝了端口監(jiān)視程序，當(dāng)監(jiān)視程序檢測(cè)到有人掃描是就會(huì)有警告提示。做出相應(yīng)的加固，加固必須要嚴(yán)格按照服務(wù)器安全配置方案，加固方案，管理方案進(jìn)行。并定期對(duì)WEB系統(tǒng)進(jìn)行漏洞掃描和弱點(diǎn)分析，同時(shí)，也要進(jìn)行人工的漏洞挖掘。并對(duì)員工的主機(jī)實(shí)行mac雙向綁定，從而預(yù)防ARP攻擊 應(yīng)用程序的安全的防護(hù)WEB應(yīng)用程序是整個(gè)網(wǎng)絡(luò)中的第一道防線，同時(shí)也是整個(gè)網(wǎng)絡(luò)中最容易被攻擊者攻擊的一個(gè)環(huán)節(jié)，從而導(dǎo)致了WEB應(yīng)用程序的安全變得很重要。（4）病毒防御系統(tǒng)統(tǒng)一為網(wǎng)內(nèi)中的所有主機(jī)和服務(wù)器安裝殺毒軟件。主機(jī)、應(yīng)用系統(tǒng)登錄安全問題。這些威脅也許會(huì)通過U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行傳播。往往這些不受重視的報(bào)警常常是攻擊者掩藏蓄謀已久的攻擊意圖的好地方（2）濃縮數(shù)據(jù)量對(duì)輸入的數(shù)據(jù)量進(jìn)行壓縮， 在全流量中的數(shù)據(jù)進(jìn)行篩選，將有用的信息刪選出來，并將與攻擊不相關(guān)聯(lián)的數(shù)據(jù)及時(shí)刪除，并保留與APT攻擊有關(guān)的數(shù)據(jù)流量， 將其有用數(shù)據(jù)弄成一個(gè)集合，壓縮對(duì)數(shù)據(jù)量，從而為檢測(cè)系統(tǒng)騰出更大的空間。基于記憶的檢測(cè)可以有效緩解上述問題。如果該文件是一個(gè)正常文件，隔離后，用戶需要額外的操作才能得到該文件；如果該文件是一個(gè)惡意文件，放過的話，就會(huì)對(duì)會(huì)對(duì)用戶的系統(tǒng)造成影響。該方案主要注重的是對(duì)元數(shù)據(jù)的提取， 以此對(duì)整個(gè)網(wǎng)絡(luò)流量的基本情況進(jìn)行檢測(cè)， 從而發(fā)現(xiàn)異常行為。 檢測(cè)的整體流程圖該方案在一定程度上可以有效檢測(cè) APT 攻擊， 對(duì)攻擊方式進(jìn)行非特征匹配。APT攻擊者為了發(fā)動(dòng)攻擊肯定會(huì)在系統(tǒng)的某處留下一些模糊的蹤跡，然而這些蹤跡在我們平時(shí)看來是正常的一些網(wǎng)絡(luò)行為，所以這就導(dǎo)致了我們很難檢測(cè)到APT攻擊。為了避免受害者推斷出攻擊的來源，APT 代碼需要對(duì)其在目標(biāo)網(wǎng)絡(luò)中存留的痕跡進(jìn)行銷毀，這個(gè)過程可以稱之為 APT 的退出。當(dāng)接收到特定指令，或者檢測(cè)到環(huán)境參數(shù)滿足一定條件時(shí)，惡意程序開始執(zhí)行預(yù)期的動(dòng)作。（Camp。(5)攻擊者在持續(xù)不斷獲取受害企業(yè)和組織網(wǎng)絡(luò)中的重要數(shù)據(jù)的時(shí)候，一定會(huì)向外部傳輸數(shù)據(jù)。APT攻擊在沒有挖掘到目標(biāo)的有用信息之前，它可以悄悄潛伏在被攻擊的目標(biāo)的主機(jī)中。第二章 相關(guān)的基礎(chǔ)知識(shí) ATP的概念A(yù)PT攻擊是一種非常有目標(biāo)的攻擊。因此，我們將會(huì)看到越來越多的本地化攻擊。例如，美國(guó)國(guó)防部的 High Level 網(wǎng)絡(luò)作戰(zhàn)原則中，明確指出針對(duì) APT 攻擊行為的檢測(cè)與防御是整個(gè)風(fēng)險(xiǎn)管理鏈條中至關(guān)重要也是基礎(chǔ)的組成部分，西方先進(jìn)國(guó)家已將APT防御議題提升到國(guó)家安全層級(jí)，這絕不僅僅造成數(shù)據(jù)泄露。國(guó)內(nèi)防不住，國(guó)外其實(shí)也防不住[2]。ATP攻擊的發(fā)現(xiàn)與防護(hù)方案設(shè)計(jì)目錄摘要 IIAbstract III第一章 概述 1 目的與意義 1 1 主要設(shè)計(jì)內(nèi)容 3第二章 相關(guān)的基礎(chǔ)知識(shí) 4 ATP的概念 4 APT攻擊的原理 4 APT的危害 5第三章 APT攻擊的發(fā)現(xiàn) 6 ATP攻擊的途徑 6 ATP攻擊的過程剖析 6 ATP的檢測(cè) 8 9 異常檢測(cè)模式 10 威脅檢測(cè)技術(shù) 11 基于記憶的檢測(cè) 13第四章 APT防護(hù)方案設(shè)計(jì) 15 網(wǎng)絡(luò)拓?fù)鋱D 15 存在的威脅 15 內(nèi)網(wǎng)的安全的防護(hù) 16 應(yīng)用程序的安全的防護(hù) 17 服務(wù)器安全的防護(hù) 18 漏洞的防護(hù) 18 社會(huì)工程學(xué) 20 針對(duì)SQL注入的防護(hù) 21 防護(hù)方案后的拓?fù)鋱D 23第五章 ATP攻防實(shí)驗(yàn) 25 實(shí)驗(yàn)平臺(tái)的搭建 25 平臺(tái)拓?fù)鋱D 25 web的搭建 25 FTP服務(wù)器的搭建 29 弱密碼攻擊 33 攻擊 33 防護(hù) 38. 測(cè)試 44 操作系統(tǒng)IPC$ 漏洞攻擊 46 攻擊 46 防護(hù) 51 測(cè)試 55 SQL注入攻擊 57第六章 總結(jié) 65 總結(jié) 65 展望 65參考文獻(xiàn) 67致謝 68 II第一章 概述 目的與意義近年來，隨著信息技術(shù)的高速發(fā)展，信息化技術(shù)在給人們帶來種種物質(zhì)和文化生活享受的同時(shí)，各種安全問題也隨之而來，諸如網(wǎng)絡(luò)的數(shù)據(jù)竊賊、黑客對(duì)主機(jī)的侵襲從而導(dǎo)致系統(tǒng)內(nèi)部的泄密者。目前仍有很多人對(duì)APT這個(gè)名詞感到陌生，APT到底是什么，關(guān)于APT的定義非?；靵y，APT攻擊并不是具體限定于某一種唯一的方法和步驟,他攻擊的手段多種多樣，廣泛的用到了社會(huì)工程學(xué)的手段。根據(jù)許多APT行為特征的蠕蟲病毒分析報(bào)告來看，我國(guó)信息化建設(shè)和重要信息系統(tǒng)也可能受到來自某些國(guó)家和組織實(shí)施的前所未有的 APT 安全威脅，然而我國(guó)當(dāng)前面向重要網(wǎng)絡(luò)信息系統(tǒng)的專業(yè)防護(hù)服務(wù)能力和產(chǎn)業(yè)化程度相對(duì)較低，尚難以有效應(yīng)對(duì)高級(jí)持續(xù)性威脅攻擊，形勢(shì)相當(dāng)嚴(yán)峻，另一方面，由于APT攻擊的高度復(fù)合性和復(fù)雜性，目前尚缺乏對(duì) APT 成因和檢測(cè)的完善方法的研究。（2）APT攻擊將更有破壞性：在以后，APT攻擊將帶有更多的破壞性質(zhì)，無論這是它的主要目的，或是作為清理攻擊者總計(jì)的手段，都很有可能成為時(shí)間性攻擊的一部分，被運(yùn)用在明確的目標(biāo)上。APT攻擊和其他的網(wǎng)絡(luò)攻擊相比，他們有著本質(zhì)的區(qū)別，病毒擁有3個(gè)基本屬性，APT攻擊在擁有那些基本屬性的同時(shí)，也擁有了屬于自己特有的屬性。傳統(tǒng)安全事故經(jīng)常是可見的、危害即刻發(fā)生，造成的威脅很?。豢墒茿PT攻擊則是不可見，危害在幕后發(fā)生，因?yàn)锳PT攻擊具有很強(qiáng)的隱蔽性，所以悄然間便可竊取被攻擊目標(biāo)的核心數(shù)據(jù)，當(dāng)一個(gè)企業(yè)或一個(gè)國(guó)家知道被攻擊成功時(shí)，則造成的危害已經(jīng)不可挽回，他的破壞力是非常強(qiáng)的，在國(guó)與國(guó)之間沒有真正較量沒有發(fā)生之前時(shí)發(fā)作，一旦發(fā)作也許會(huì)導(dǎo)致系統(tǒng)不運(yùn)行，包括金融系統(tǒng)，攻擊的目標(biāo)大多數(shù)是針對(duì)國(guó)家的要害部門，所以它的危害是非常嚴(yán)重，威脅到國(guó)家的信息安全。通過對(duì)數(shù)據(jù)進(jìn)行壓縮、加密的方式導(dǎo)致現(xiàn)有絕大部分基于特征庫(kù)匹配的檢測(cè)系統(tǒng)失效，實(shí)現(xiàn)數(shù)據(jù)的傳輸總之，高級(jí)持續(xù)性威脅(APT)正在通過一切方式，繞過基于代碼的傳統(tǒng)安全方案如防病毒軟件、防火墻、IPS等)，并更長(zhǎng)時(shí)間的潛伏在系統(tǒng)中，讓傳統(tǒng)防御體系難以偵測(cè)[6]。C第四階段：橫向擴(kuò)展。APT 根據(jù)入侵之前采集的系統(tǒng)信息，將滯留過的主機(jī)進(jìn)行狀態(tài)還原，并恢復(fù)網(wǎng)絡(luò)配置參數(shù)，清除系統(tǒng)日志數(shù)據(jù)，使事后電子取證分析和責(zé)任認(rèn)定難以進(jìn)行?？墒前踩藛T可以快速定位攻擊源頭，并做出對(duì)應(yīng)的安全防御策略，但是這些卻無法準(zhǔn)確提取APT攻擊屬性與特征。攻擊者與防護(hù)者的信息不對(duì)稱， 因?yàn)锳PT攻擊具有極強(qiáng)的隱蔽性，所以要想發(fā)現(xiàn)APT攻擊如同大海撈針。通過對(duì)該主機(jī)流量進(jìn)行特征抽取，與其正常的流量模型比較，從而得到流量異常情況的概率值。因此，無論隔離還是放過，都會(huì)對(duì)用戶造成困擾?；谟洃浀臋z測(cè)系統(tǒng)， 是由全流量審計(jì)與日志審計(jì)相結(jié)合形成的， 它對(duì)抗 APT 的關(guān)鍵方法就是以時(shí)間對(duì)抗時(shí)間[10]。 依靠數(shù)據(jù)流量的異常檢測(cè)模塊，篩選、 刪除一些無用的數(shù)據(jù)流量，從而進(jìn)一步提高檢測(cè)的性能（3）報(bào)警將原先保存下來的與APT攻擊行為有關(guān)的數(shù)據(jù)進(jìn)行一個(gè)后續(xù)的詳細(xì)分析，制定相關(guān)的匹配規(guī)則。主機(jī)IP地址和MAC地的威脅，因?yàn)樗鼈兒苋菀妆淮鄹?，造成運(yùn)行與維護(hù)上的不安全，刻錄機(jī)帶來的安全風(fēng)險(xiǎn)。管理員權(quán)限過大，可通過在交換機(jī)鏡像或ARP欺騙的方式捕獲內(nèi)部人員的賬號(hào)和密碼，管理員可直接在服務(wù)器上讀取OA、EMail等的敏感信息。（5）Mail安全在信息技術(shù)高度發(fā)展的今天，Email已成為我們生活和工作中必不可少的一部分了，很多人不懂安全的人事，很難想象一封Email中所隱藏的安全隱患，到底有多大，所以應(yīng)當(dāng)對(duì)郵件進(jìn)行過濾。所以我們?cè)诼酚善魃习惭b了防火墻，實(shí)現(xiàn)了對(duì)服務(wù)器的安全控制和監(jiān)測(cè)。從而發(fā)現(xiàn)系統(tǒng)存在和可能存在的漏洞，因?yàn)檫\(yùn)用軟件掃描有時(shí)有可能會(huì)出現(xiàn)誤差（3）流量監(jiān)測(cè)定期對(duì)網(wǎng)絡(luò)進(jìn)行流量監(jiān)測(cè)，因?yàn)橥ㄟ^檢測(cè)出進(jìn)或者出口的流量情況，有助于網(wǎng)絡(luò)安全管理員分析WEB的運(yùn)行情況，發(fā)現(xiàn)進(jìn)出口的流量是否存在異常。 漏洞的防護(hù)（1）內(nèi)部主機(jī)的設(shè)置關(guān)閉“文件和打印共享” 文件和打印共享可以實(shí)現(xiàn)內(nèi)網(wǎng)中同一網(wǎng)段中的各個(gè)成員之間的文件的傳輸，使用起來很方便，所以很多時(shí)候企業(yè)都會(huì)采用這樣的方式進(jìn)行文件的傳輸，但在不需要它的時(shí)候，文件和打印共享就成了攻擊者入侵內(nèi)部網(wǎng)絡(luò)的很好的安全漏洞。并用工具軟件關(guān)閉用不到的端口，進(jìn)一步提高系統(tǒng)的安全新。（1）防范來內(nèi)網(wǎng)的主動(dòng)/被動(dòng)的社會(huì)工程學(xué)攻擊“主動(dòng)的社會(huì)工程學(xué)攻擊”指來內(nèi)網(wǎng)中不安分人員的攻擊。所以內(nèi)網(wǎng)人員不要隨便回陌生人的郵件。AND1和password=139。WHERE139。139。alnum。如果發(fā)現(xiàn)同一源IP地址短時(shí)間內(nèi)多次攻擊，過濾模塊就會(huì)將該IP地址加入黑名單，禁止其在一定時(shí)間內(nèi)訪問，從而防止攻擊者采用窮舉法,最終攻破系統(tǒng)。不同的用戶賬戶擁有不同的權(quán)限，執(zhí)行查詢插入更新刪除等操作的用戶可以是不同的用戶，這樣可以防止原本用于執(zhí)行查詢操作的地方卻被用于執(zhí)行插入、更新或刪除等操作[8]。 環(huán)境設(shè)備開發(fā)環(huán)境Visual Studio 2012數(shù)據(jù)庫(kù)SQL Server2008系統(tǒng)框架Frame 由于需要搭建到Server 2003上，需要對(duì)Server 2003做如下工作：安裝IIS， ，搭建WEB系統(tǒng)等。 Frame （3）發(fā)布WEB系統(tǒng)搭建好所需要的環(huán)境后，就可以進(jìn)行以發(fā)布網(wǎng)站了。并選擇FTP的根目錄，我在此d盤下新建了一個(gè)t