【正文】 志，追蹤攻擊源(7）員工主機(jī)安全制定相應(yīng)的主機(jī)加固和管理方案。（2）架設(shè)入侵檢測(cè)系統(tǒng)利用入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)的安全情況進(jìn)行全天的監(jiān)測(cè)，網(wǎng)絡(luò)安全管理員應(yīng)該定期對(duì)網(wǎng)絡(luò)進(jìn)行模擬滲透，即使發(fā)現(xiàn)系統(tǒng)漏洞，然后針對(duì)漏洞做出相應(yīng)的加固方案。還有將自帶設(shè)備帶入內(nèi)部網(wǎng)絡(luò)，并自動(dòng)攻擊內(nèi)部主機(jī)、服務(wù)器，并將重要資料復(fù)制到自帶的設(shè)備中，并通過外網(wǎng)回傳到黑客指定地址。接下來就是做出進(jìn)一步的防護(hù)第四章 APT防護(hù)方案設(shè)計(jì) 網(wǎng)絡(luò)拓?fù)鋱D： 沒加防護(hù)設(shè)備的網(wǎng)絡(luò)拓?fù)鋱D，主要?jiǎng)澐謨蓚€(gè)網(wǎng)段，是主要的攻擊目標(biāo)。 該方案采取擴(kuò)大檢測(cè)領(lǐng)域不但提高發(fā)現(xiàn)可疑行為的概率。攔截病毒數(shù)量、本地病毒庫的更新狀態(tài)、已發(fā)現(xiàn)的潛在威脅、 病毒來源，或已知的攻擊等都屬于。 威脅檢測(cè)技術(shù)： 威脅檢測(cè)流程圖該方案提供了一個(gè)統(tǒng)一的接口，可以在不同位置把相關(guān)的日志信息上傳，例如已發(fā)現(xiàn)的病毒或者木馬，可疑的網(wǎng)絡(luò)訪問行為，異常的網(wǎng)絡(luò)流量等。該模型通過匹配已知異常特征相的模式來檢測(cè)異常?？墒侵灰覀兞粜挠^察，是可以識(shí)別文件名的細(xì)微區(qū)別的，例如使用大寫I代替小寫L。對(duì)于傳統(tǒng)的攻擊行為，安全專家僅需關(guān)注惡意程序的樣本提取并做分析，便可以掌握攻擊者的動(dòng)機(jī)及傳播渠道，可是對(duì)于APT攻擊以點(diǎn)概面的安全檢測(cè)手段已顯得不合時(shí)宜，所以要想在APT攻擊還沒發(fā)生之前，事先檢測(cè)到APT攻擊是很困難的，面對(duì)APT攻擊威脅，我們應(yīng)當(dāng)有一套更完善更主動(dòng)更智能的安全防御方案，必須承認(rèn)APT攻擊的發(fā)起者有著超群的智慧和豐富的經(jīng)驗(yàn)，因此檢測(cè)APT攻擊就必須密切關(guān)注攻擊者所釋放的惡意代碼的每一個(gè)細(xì)節(jié)。這是APT長期潛伏不容易被發(fā)現(xiàn)的特點(diǎn)，來挖掘出最多的資料，而且在這個(gè)過程當(dāng)中，通常不會(huì)是重復(fù)自動(dòng)化的過程，而是會(huì)有人工的介入對(duì)數(shù)據(jù)作分析，以做最大化利用。C服務(wù)器通信，并確認(rèn)入侵成功的計(jì)算機(jī)和Camp。第二階段：進(jìn)入點(diǎn)。黑客一開始，就是針對(duì)某些特定員工發(fā)送的釣魚郵件，以此作為使用APT手法進(jìn)行攻擊的所有源頭。因?yàn)閱我坏墓羰侄稳菀妆话l(fā)現(xiàn)，很難達(dá)到APT攻擊所想要的結(jié)果，所以通常會(huì)使用自己設(shè)計(jì)、具有極強(qiáng)針對(duì)性和破壞性的惡意程序[5]，主動(dòng)挖掘被攻擊對(duì)象受信系統(tǒng)和應(yīng)用程序的漏洞，對(duì)目標(biāo)系統(tǒng)實(shí)施毀滅性的打擊,APT攻擊的方式可以根據(jù)實(shí)際情況進(jìn)行動(dòng)態(tài)的調(diào)整，從整體上掌控攻擊進(jìn)程，APT攻擊還具備快速編寫所需滲透代碼的能力。 主要設(shè)計(jì)內(nèi)容運(yùn)用已學(xué)過的信息安全原理與技術(shù)、現(xiàn)代密碼學(xué)、計(jì)算機(jī)網(wǎng)絡(luò)和網(wǎng)絡(luò)攻防等專業(yè)知識(shí)，對(duì)高級(jí)持續(xù)性威脅(Advanced以后，這類攻擊將會(huì)具備更大的破壞能力，使得我們更難進(jìn)行屬性分析。外對(duì)APT攻擊的檢測(cè)主要還都處于探索狀態(tài)。所以要設(shè)計(jì)一套能有效防護(hù)APT攻擊的方案顯得及其重要。為了有效的應(yīng)對(duì)現(xiàn)今愈演愈烈的APT攻擊，通過閱讀大量的文獻(xiàn)，和借鑒國內(nèi)外的經(jīng)驗(yàn)，從APT的規(guī)范定義及特征入手,對(duì)APT攻擊產(chǎn)生的背景、攻擊的原理及步驟進(jìn)行了一個(gè)較為詳盡的總結(jié)，在理解的基礎(chǔ)上，利用兩臺(tái)Quidway S2008型號(hào)交換機(jī)和路由器 Quidway 2600型號(hào)的路由器還有若干臺(tái)計(jì)算機(jī)，模擬內(nèi)網(wǎng)和外網(wǎng)，利用搭建環(huán)境模擬幾種典型的APT攻擊，提出沙箱檢測(cè)、異常檢測(cè)、威脅檢測(cè)、記憶檢測(cè)等具體的方案來檢測(cè)APT攻擊。特此聲明。盡管我們正在廣泛地使用各種復(fù)雜的軟件技術(shù)，如防火墻、代理服務(wù)器、侵襲探測(cè)器、通道控制機(jī)制等，但是，無論在發(fā)達(dá)國家，還是在發(fā)展中國家，黑客活動(dòng)越來越猖狂，他們無孔不入，對(duì)社會(huì)造成了嚴(yán)重的危害，如何消除安全隱患，確保網(wǎng)絡(luò)信息的安全，尤其是網(wǎng)絡(luò)上重要的數(shù)據(jù)的安全，已成為當(dāng)今世界越來越關(guān)心的話題。目前國內(nèi)外對(duì)APT（高級(jí)持續(xù)威脅)攻擊行動(dòng)的組成要素、主要任務(wù)、重要活動(dòng)以及交互關(guān)系等問題已有清晰的認(rèn)識(shí) ,可是對(duì)APT攻擊的研究主要還是由安全廠商進(jìn)行,其側(cè)重點(diǎn)在于通過安全事件、威脅的分析導(dǎo)出企業(yè)的安全理念, 以網(wǎng)絡(luò)安全企業(yè)的宣傳、分析資料為主，忽視了對(duì)APT攻擊機(jī)理、產(chǎn)生背景等進(jìn)行整體而細(xì)致的剖析。隨著我國3G網(wǎng)絡(luò)的推廣普及,移動(dòng)終端的市場(chǎng)在不斷擴(kuò)大，APT攻擊也在關(guān)注移動(dòng)互聯(lián)網(wǎng)終端，這也是ATP攻擊的一個(gè)發(fā)展趨勢(shì)。（3）對(duì)攻擊的判斷將越來越困難：在APT攻擊防范中，我們通常用簡單的技術(shù)指標(biāo)來判斷攻擊的動(dòng)機(jī)和地理位置。從技術(shù)的角度來說，APT是一種不同性質(zhì)的攻擊，從某些程來說，APT攻擊是必然的，也是最近出現(xiàn)的一種新的篇章，這個(gè)新的篇章和過去的網(wǎng)絡(luò)攻擊不一樣，其主要表現(xiàn)為APT的采點(diǎn)是很漫長的，需要一段很長的時(shí)間，APT運(yùn)用的攻擊手段很隱蔽，因此很多網(wǎng)絡(luò)安全維護(hù)人員不會(huì)輕易的發(fā)現(xiàn)這種攻擊，因?yàn)樗麄兯\(yùn)用的攻擊手段都是看起來正常的，進(jìn)攻漫長的信息采集過程，最終確定攻擊的目標(biāo)，當(dāng)攻擊的目標(biāo)被確定后，這個(gè)目標(biāo)一定是有比較高的價(jià)值，因?yàn)锳PT前期的攻擊準(zhǔn)備的成本比起一般的網(wǎng)絡(luò)攻擊要高很多，APT不是一種單一的攻擊手段，而是多種攻擊手段的組合，它是由一個(gè)團(tuán)體所組成，因此無法通過單一的防護(hù)手段進(jìn)行阻止和防御，APT攻擊目前已成為熱點(diǎn)，其特征不同于傳統(tǒng)的網(wǎng)絡(luò)攻擊，對(duì)已有的安全防范思路和能力，帶來極大挑戰(zhàn)。 近年發(fā)生的APT事件第三章 APT攻擊的發(fā)現(xiàn) ATP攻擊的途徑APT入侵客戶的途徑多種多樣，主要包括：(1)以智能手機(jī)、平板電腦和USB等移動(dòng)設(shè)備為目標(biāo)和攻擊對(duì)象繼而入侵企業(yè)信息系統(tǒng)的方式。 ATP攻擊的過程剖析 APT攻擊流程圖第一階段：情報(bào)收集。通信）。在目標(biāo)網(wǎng)絡(luò)中找出放有敏感信息的重要計(jì)算機(jī),使用包括傳遞哈希值算法的技巧和工具，將攻擊者權(quán)限提升到跟管理者一樣，讓他可以輕松地訪問和控制關(guān)鍵目標(biāo)。 ATP的檢測(cè)APT攻擊是近幾年來出現(xiàn)的一種高級(jí)網(wǎng)絡(luò)攻擊，具有難檢測(cè)、持續(xù)時(shí)間長和攻擊目標(biāo)明確等特征。我們現(xiàn)在對(duì)抗 APT 的思路是以時(shí)間對(duì)抗時(shí)間。 該智能沙箱法案， 通過對(duì)可能存在的異常行為進(jìn)行技術(shù)性識(shí)別， 檢測(cè)出存在高級(jí)威脅的問題。 對(duì)于被識(shí)別為“異?！备怕手荡蟮牧髁啃畔?，將被推送到安全審計(jì)人員作進(jìn)一步分析[17]。用戶通常不具備足夠的知識(shí)來判斷文件是否是惡意的。APT 攻擊發(fā)生的時(shí)間很長， 對(duì)APT攻擊的檢測(cè)是建立一個(gè)有效的時(shí)間窗， 所以可以對(duì)長時(shí)間內(nèi)的數(shù)據(jù)流量進(jìn)行更為深入、 細(xì)致的分析。分析人員與分析儀器相互配合， 利用多維數(shù)據(jù)進(jìn)行可視化分析， 對(duì)可疑會(huì)話做好定位， 利用細(xì)粒度解析與應(yīng)用還原數(shù)據(jù)， 有效識(shí)別出異常的行為，如果有異常，報(bào)警模塊及時(shí)做出精確報(bào)警。還有隨著手機(jī)、平板電腦的流行而帶來的移動(dòng)設(shè)備管理等問題。管理員可直接接觸到核心數(shù)據(jù)庫，容易產(chǎn)生誤操作，或惡意操作。消除郵件中的安全隱患。WEB應(yīng)用程序的安全，需要注意以下幾點(diǎn)：（1）開發(fā)環(huán)節(jié)WEB應(yīng)用的開發(fā)環(huán)節(jié)直接影響WEB應(yīng)用的安全。防止攻擊者對(duì)網(wǎng)絡(luò)實(shí)行流量攻擊 服務(wù)器安全的防護(hù)（1）賬戶、密碼管理對(duì)服務(wù)器的賬戶、密碼進(jìn)行嚴(yán)格管理，修改密碼策略，賬戶添加/刪除審批，用戶賬戶的權(quán)限管理/審批等。所以在沒有必要“文件和打印共享”的情況下，可以這個(gè)功能關(guān)閉。 更換管理員賬戶為Adminstrator賬戶設(shè)置一個(gè)強(qiáng)大復(fù)雜的密碼，然后重命名Adminstrator賬戶，再創(chuàng)建一個(gè)沒有管理員權(quán)限的Adminstrator賬戶漆面入侵者，以此來防止攻擊者知道管理員賬戶，從而在一定的程度上保證計(jì)算機(jī)安全。而“被動(dòng)社會(huì)工程學(xué)攻擊”是指內(nèi)網(wǎng)中的人員因?yàn)樾畔⑿孤兜纫蛩?，被外網(wǎng)的攻擊者所利用而引發(fā)的攻擊。 針對(duì)SQL注入的防護(hù)（1）應(yīng)用程序設(shè)計(jì)該SQL語句ELECTPassword=39。or39。Username=39。AND該語句恒為真，所以就會(huì)登陸后臺(tái)界面，這樣就會(huì)構(gòu)成SQL注入攻擊，所以我們應(yīng)該對(duì)SQL注入的字符串進(jìn)行有效的過濾[]。]]+\s*()?構(gòu)造永遠(yuǎn)為真的條件語句： 防御流程圖當(dāng)發(fā)現(xiàn)SQL攻擊時(shí)，則攔截請(qǐng)求并產(chǎn)生警告信息作為應(yīng)答；如果未發(fā)現(xiàn)攻擊，則提交至系統(tǒng)模塊。（2）驗(yàn)證所有的輸入信息 防護(hù)方案后的拓?fù)鋱D： 加了防護(hù)方案的拓?fù)鋱D在路由出口架設(shè)大流量吞吐量的防火墻，可以有效地防御外部攻擊者對(duì)外部路由進(jìn)行DDoS攻擊，做訪問控制策略，保證內(nèi)網(wǎng)的安全控制，在二層交換機(jī)上部署上網(wǎng)行為管理系統(tǒng)，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，日志審計(jì)管理系統(tǒng)，運(yùn)行與維護(hù)安全審計(jì)系統(tǒng)。（1）安裝IIS進(jìn)行添加程序界面，單擊“添加/刪除Windows組件”，選中“應(yīng)用程序服務(wù)器”，單擊下一步，： 應(yīng)用程序界面安裝過程中需要插入系統(tǒng)安裝光盤，插入光盤后繼續(xù)運(yùn)行。右鍵“網(wǎng)站”，單擊“網(wǎng)站”進(jìn)入網(wǎng)站創(chuàng)建向?qū)Ы缑?。選中“文件傳輸協(xié)議設(shè)置好之后點(diǎn)擊下一步，： 目錄圖單機(jī)“下一步”，直至整個(gè)安裝過程完成，然后啟動(dòng)該服務(wù)器，并右鍵我的電腦，點(diǎn)擊管理—地用戶和組，右鍵點(diǎn)擊用戶，選擇新建用戶，： 建立用戶選中剛才創(chuàng)建的用戶名，然后右鍵，選擇屬性，在選中配置文件，定位到主文件夾本地路徑，在里面填寫d:\tmp\LocalUser\usertmp(可根據(jù)情況換成相應(yīng)的目錄)，系統(tǒng)會(huì)在temp文件夾下自動(dòng)生成相應(yīng)的文件夾，然后點(diǎn)擊確定，： MyUser屬性圖在本地測(cè)試一下是否ftp環(huán)境已經(jīng)搭建好了，首先在d:\tmp\LocalUser\，然后在IE中輸入ftp://，看是否能夠訪問到這個(gè)文件，如果能夠訪問到，則說明配置成功了。運(yùn)行后顯示“命令成功完成”。 掃描信息現(xiàn)在我們就在運(yùn)行框里輸入“cmd”命令，進(jìn)入DOS界面，輸入如下命令：net use \\\IPC$ 密碼 /user:用戶名。由于近年來才出現(xiàn)的一種網(wǎng)絡(luò)攻擊手段，對(duì)于他的發(fā)現(xiàn)與監(jiān)測(cè)尚處于萌芽階段，他與一般的攻擊有著本質(zhì)的區(qū)別，其特點(diǎn)是他的攻擊的前期準(zhǔn)備需要很長的時(shí)間，而且攻擊的手段十分隱蔽，不易被發(fā)現(xiàn)，APT攻擊給信息系統(tǒng)可用性、可靠性帶來了極大的威脅，APT攻擊的手段變化多端、效果非常顯著，成為了當(dāng)今企業(yè)所要面臨的一大挑戰(zhàn)。其次要感謝貴州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院的全體老師對(duì)我這四年來的悉心教導(dǎo)，本設(shè)計(jì)能夠順利的完成，也歸功于各位任課老師的認(rèn)真負(fù)責(zé)，使我能夠很好的掌握和運(yùn)用專業(yè)知識(shí)，并在設(shè)計(jì)中得以體現(xiàn)，你們不僅讓我掌握了作為一個(gè)大學(xué)生應(yīng)該掌握的技能，更重要的是你們還教會(huì)了我應(yīng)該怎樣做人。拼一個(gè)春夏秋冬！贏一個(gè)無悔人生！早安！—————獻(xiàn)給所有努力的人.學(xué)習(xí)參考。最后我要感謝和我一起實(shí)驗(yàn)的伙伴，謝謝你們這段時(shí)間的陪伴幫助，雖然我們?cè)趯?shí)驗(yàn)室呆的時(shí)間很短，可是這段時(shí)間讓我收獲很多，也許會(huì)成為我一輩子的回憶。還了解了APT攻擊經(jīng)常使用的一些攻擊手段，有弱密碼攻擊，操作系統(tǒng)漏洞攻擊，SQL注入攻擊，了解這些攻擊手段的原理，并做出相應(yīng)的防護(hù)，在此基礎(chǔ)上，還學(xué)會(huì)使用了一些掃描工具，遠(yuǎn)程控制工具和怎樣上傳木馬。說明不能通過IPC$ 的遠(yuǎn)程登錄該主機(jī)。： 輸入命令的界面登陸成功之后, 把對(duì)方的C盤映射到本地的Z盤，： 映射命令命令成功后，打開“我的電腦“，就可以看到目標(biāo)主機(jī)的C盤了，： 對(duì)方C盤現(xiàn)在可以通過“波爾遠(yuǎn)程控制”，并雙擊運(yùn)行該軟件， 上傳木馬測(cè)試一下本機(jī)連接是否正常如果正常開始運(yùn)行“波爾遠(yuǎn)程控制”的服務(wù)器端，通過服務(wù)器端去控制目標(biāo)主機(jī)：一打開，就發(fā)現(xiàn)目標(biāo)主機(jī)已經(jīng)和服務(wù)端建立連接了，： 波爾遠(yuǎn)程控制主界面通過該軟件我們就可以對(duì)被控制的目標(biāo)主機(jī)的進(jìn)行很多操作了，可以對(duì)該計(jì)算機(jī)進(jìn)行磁盤管理，雙擊“磁盤管理”，： 目標(biāo)主機(jī)的磁盤還可以對(duì)目標(biāo)主機(jī)的屏幕進(jìn)行任何的操作，當(dāng)雙擊“屏幕實(shí)時(shí)操作的時(shí)候”就可以控制對(duì)方的屏幕了所以漏洞攻擊成功，最終獲取了目標(biāo)主機(jī)的控制權(quán) 防護(hù)（1）修改注冊(cè)表選擇“開始|”—“運(yùn)行”，在運(yùn)行框里輸入：“regedit”， 點(diǎn)擊確定后打開注冊(cè)表，將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA的RestrictAnonymous項(xiàng)設(shè)置為1，可以禁止攻擊者使用空連接， 設(shè)置界面打開“控制面板”—“管理工具”—“本地安全策略”，選擇“本地策略”的“安全選項(xiàng)”,然后對(duì)選擇“不允許枚舉SAM賬號(hào)和共享”的屬性，然后點(diǎn)擊已啟用，然后按”確定“即可禁止IPC$空連接。 弱密碼攻擊 攻擊： 攻擊流程用X—，對(duì)掃描器進(jìn)行相應(yīng)的設(shè)置，： 具體設(shè)置圖設(shè)置掃描的IP地址范圍，： 存活的主機(jī)根據(jù)掃面的結(jié)果對(duì)相應(yīng)的主機(jī)進(jìn)行攻擊，： 掃描結(jié)果從掃描的信息中，我們可以觀察到各個(gè)主機(jī)所存在的漏洞，： 漏洞信息根據(jù)所得的在信息登錄被攻擊的主機(jī)系統(tǒng)：通過掃描的信息已經(jīng)知道用戶名為：administrator 密碼為：123 現(xiàn)在通過Dame Ware Mini Remote Control 軟件登錄該用戶界面，獲取控制權(quán)，： 登陸界面設(shè)置成功后點(diǎn)擊鏈接控制成功， 目標(biāo)主機(jī)的界面可以對(duì)桌面上的文件，或電腦里面的信息進(jìn)行任何的操作了當(dāng)密碼沒有掃描出來時(shí)，可以過暴力破解弱口令進(jìn)行攻擊在C盤建立文件夾hack， hack工具就在c:\hack目錄進(jìn)行，這些工具軟件都具有hack性質(zhì)，使用時(shí)需