【正文】 志，追蹤攻擊源(7）員工主機安全制定相應(yīng)的主機加固和管理方案。（2）架設(shè)入侵檢測系統(tǒng)利用入侵檢測系統(tǒng)對網(wǎng)絡(luò)的安全情況進行全天的監(jiān)測，網(wǎng)絡(luò)安全管理員應(yīng)該定期對網(wǎng)絡(luò)進行模擬滲透，即使發(fā)現(xiàn)系統(tǒng)漏洞，然后針對漏洞做出相應(yīng)的加固方案。還有將自帶設(shè)備帶入內(nèi)部網(wǎng)絡(luò)，并自動攻擊內(nèi)部主機、服務(wù)器，并將重要資料復(fù)制到自帶的設(shè)備中，并通過外網(wǎng)回傳到黑客指定地址。接下來就是做出進一步的防護第四章 APT防護方案設(shè)計 網(wǎng)絡(luò)拓撲圖： 沒加防護設(shè)備的網(wǎng)絡(luò)拓撲圖，主要劃分兩個網(wǎng)段，是主要的攻擊目標。 該方案采取擴大檢測領(lǐng)域不但提高發(fā)現(xiàn)可疑行為的概率。攔截病毒數(shù)量、本地病毒庫的更新狀態(tài)、已發(fā)現(xiàn)的潛在威脅、 病毒來源，或已知的攻擊等都屬于。 威脅檢測技術(shù)： 威脅檢測流程圖該方案提供了一個統(tǒng)一的接口，可以在不同位置把相關(guān)的日志信息上傳，例如已發(fā)現(xiàn)的病毒或者木馬，可疑的網(wǎng)絡(luò)訪問行為，異常的網(wǎng)絡(luò)流量等。該模型通過匹配已知異常特征相的模式來檢測異常?？墒侵灰覀兞粜挠^察，是可以識別文件名的細微區(qū)別的，例如使用大寫I代替小寫L。對于傳統(tǒng)的攻擊行為，安全專家僅需關(guān)注惡意程序的樣本提取并做分析，便可以掌握攻擊者的動機及傳播渠道，可是對于APT攻擊以點概面的安全檢測手段已顯得不合時宜，所以要想在APT攻擊還沒發(fā)生之前，事先檢測到APT攻擊是很困難的，面對APT攻擊威脅，我們應(yīng)當(dāng)有一套更完善更主動更智能的安全防御方案，必須承認APT攻擊的發(fā)起者有著超群的智慧和豐富的經(jīng)驗，因此檢測APT攻擊就必須密切關(guān)注攻擊者所釋放的惡意代碼的每一個細節(jié)。這是APT長期潛伏不容易被發(fā)現(xiàn)的特點，來挖掘出最多的資料，而且在這個過程當(dāng)中，通常不會是重復(fù)自動化的過程，而是會有人工的介入對數(shù)據(jù)作分析，以做最大化利用。C服務(wù)器通信，并確認入侵成功的計算機和Camp。第二階段：進入點。黑客一開始，就是針對某些特定員工發(fā)送的釣魚郵件，以此作為使用APT手法進行攻擊的所有源頭。因為單一的攻擊手段容易被發(fā)現(xiàn)，很難達到APT攻擊所想要的結(jié)果，所以通常會使用自己設(shè)計、具有極強針對性和破壞性的惡意程序[5]，主動挖掘被攻擊對象受信系統(tǒng)和應(yīng)用程序的漏洞，對目標系統(tǒng)實施毀滅性的打擊,APT攻擊的方式可以根據(jù)實際情況進行動態(tài)的調(diào)整，從整體上掌控攻擊進程，APT攻擊還具備快速編寫所需滲透代碼的能力。 主要設(shè)計內(nèi)容運用已學(xué)過的信息安全原理與技術(shù)、現(xiàn)代密碼學(xué)、計算機網(wǎng)絡(luò)和網(wǎng)絡(luò)攻防等專業(yè)知識，對高級持續(xù)性威脅(Advanced以后，這類攻擊將會具備更大的破壞能力，使得我們更難進行屬性分析。外對APT攻擊的檢測主要還都處于探索狀態(tài)。所以要設(shè)計一套能有效防護APT攻擊的方案顯得及其重要。為了有效的應(yīng)對現(xiàn)今愈演愈烈的APT攻擊，通過閱讀大量的文獻，和借鑒國內(nèi)外的經(jīng)驗，從APT的規(guī)范定義及特征入手,對APT攻擊產(chǎn)生的背景、攻擊的原理及步驟進行了一個較為詳盡的總結(jié)，在理解的基礎(chǔ)上，利用兩臺Quidway S2008型號交換機和路由器 Quidway 2600型號的路由器還有若干臺計算機，模擬內(nèi)網(wǎng)和外網(wǎng)，利用搭建環(huán)境模擬幾種典型的APT攻擊，提出沙箱檢測、異常檢測、威脅檢測、記憶檢測等具體的方案來檢測APT攻擊。特此聲明。盡管我們正在廣泛地使用各種復(fù)雜的軟件技術(shù)，如防火墻、代理服務(wù)器、侵襲探測器、通道控制機制等，但是，無論在發(fā)達國家，還是在發(fā)展中國家，黑客活動越來越猖狂，他們無孔不入，對社會造成了嚴重的危害，如何消除安全隱患，確保網(wǎng)絡(luò)信息的安全，尤其是網(wǎng)絡(luò)上重要的數(shù)據(jù)的安全，已成為當(dāng)今世界越來越關(guān)心的話題。目前國內(nèi)外對APT（高級持續(xù)威脅)攻擊行動的組成要素、主要任務(wù)、重要活動以及交互關(guān)系等問題已有清晰的認識 ,可是對APT攻擊的研究主要還是由安全廠商進行,其側(cè)重點在于通過安全事件、威脅的分析導(dǎo)出企業(yè)的安全理念, 以網(wǎng)絡(luò)安全企業(yè)的宣傳、分析資料為主，忽視了對APT攻擊機理、產(chǎn)生背景等進行整體而細致的剖析。隨著我國3G網(wǎng)絡(luò)的推廣普及,移動終端的市場在不斷擴大，APT攻擊也在關(guān)注移動互聯(lián)網(wǎng)終端，這也是ATP攻擊的一個發(fā)展趨勢。（3）對攻擊的判斷將越來越困難：在APT攻擊防范中，我們通常用簡單的技術(shù)指標來判斷攻擊的動機和地理位置。從技術(shù)的角度來說，APT是一種不同性質(zhì)的攻擊，從某些程來說，APT攻擊是必然的，也是最近出現(xiàn)的一種新的篇章，這個新的篇章和過去的網(wǎng)絡(luò)攻擊不一樣，其主要表現(xiàn)為APT的采點是很漫長的，需要一段很長的時間，APT運用的攻擊手段很隱蔽，因此很多網(wǎng)絡(luò)安全維護人員不會輕易的發(fā)現(xiàn)這種攻擊，因為他們所運用的攻擊手段都是看起來正常的，進攻漫長的信息采集過程，最終確定攻擊的目標，當(dāng)攻擊的目標被確定后，這個目標一定是有比較高的價值，因為APT前期的攻擊準備的成本比起一般的網(wǎng)絡(luò)攻擊要高很多，APT不是一種單一的攻擊手段，而是多種攻擊手段的組合，它是由一個團體所組成，因此無法通過單一的防護手段進行阻止和防御，APT攻擊目前已成為熱點，其特征不同于傳統(tǒng)的網(wǎng)絡(luò)攻擊，對已有的安全防范思路和能力，帶來極大挑戰(zhàn)。 近年發(fā)生的APT事件第三章 APT攻擊的發(fā)現(xiàn) ATP攻擊的途徑APT入侵客戶的途徑多種多樣，主要包括：(1)以智能手機、平板電腦和USB等移動設(shè)備為目標和攻擊對象繼而入侵企業(yè)信息系統(tǒng)的方式。 ATP攻擊的過程剖析 APT攻擊流程圖第一階段：情報收集。通信）。在目標網(wǎng)絡(luò)中找出放有敏感信息的重要計算機,使用包括傳遞哈希值算法的技巧和工具，將攻擊者權(quán)限提升到跟管理者一樣，讓他可以輕松地訪問和控制關(guān)鍵目標。 ATP的檢測APT攻擊是近幾年來出現(xiàn)的一種高級網(wǎng)絡(luò)攻擊，具有難檢測、持續(xù)時間長和攻擊目標明確等特征。我們現(xiàn)在對抗 APT 的思路是以時間對抗時間。 該智能沙箱法案， 通過對可能存在的異常行為進行技術(shù)性識別， 檢測出存在高級威脅的問題。 對于被識別為“異常”概率值大的流量信息，將被推送到安全審計人員作進一步分析[17]。用戶通常不具備足夠的知識來判斷文件是否是惡意的。APT 攻擊發(fā)生的時間很長， 對APT攻擊的檢測是建立一個有效的時間窗， 所以可以對長時間內(nèi)的數(shù)據(jù)流量進行更為深入、 細致的分析。分析人員與分析儀器相互配合， 利用多維數(shù)據(jù)進行可視化分析， 對可疑會話做好定位， 利用細粒度解析與應(yīng)用還原數(shù)據(jù)， 有效識別出異常的行為，如果有異常，報警模塊及時做出精確報警。還有隨著手機、平板電腦的流行而帶來的移動設(shè)備管理等問題。管理員可直接接觸到核心數(shù)據(jù)庫，容易產(chǎn)生誤操作，或惡意操作。消除郵件中的安全隱患。WEB應(yīng)用程序的安全，需要注意以下幾點：（1）開發(fā)環(huán)節(jié)WEB應(yīng)用的開發(fā)環(huán)節(jié)直接影響WEB應(yīng)用的安全。防止攻擊者對網(wǎng)絡(luò)實行流量攻擊 服務(wù)器安全的防護（1）賬戶、密碼管理對服務(wù)器的賬戶、密碼進行嚴格管理，修改密碼策略，賬戶添加/刪除審批，用戶賬戶的權(quán)限管理/審批等。所以在沒有必要“文件和打印共享”的情況下，可以這個功能關(guān)閉。 更換管理員賬戶為Adminstrator賬戶設(shè)置一個強大復(fù)雜的密碼，然后重命名Adminstrator賬戶，再創(chuàng)建一個沒有管理員權(quán)限的Adminstrator賬戶漆面入侵者，以此來防止攻擊者知道管理員賬戶，從而在一定的程度上保證計算機安全。而“被動社會工程學(xué)攻擊”是指內(nèi)網(wǎng)中的人員因為信息泄露等因素，被外網(wǎng)的攻擊者所利用而引發(fā)的攻擊。 針對SQL注入的防護（1）應(yīng)用程序設(shè)計該SQL語句ELECTPassword=39。or39。Username=39。AND該語句恒為真，所以就會登陸后臺界面，這樣就會構(gòu)成SQL注入攻擊，所以我們應(yīng)該對SQL注入的字符串進行有效的過濾[]。]]+\s*()?構(gòu)造永遠為真的條件語句： 防御流程圖當(dāng)發(fā)現(xiàn)SQL攻擊時，則攔截請求并產(chǎn)生警告信息作為應(yīng)答；如果未發(fā)現(xiàn)攻擊，則提交至系統(tǒng)模塊。（2）驗證所有的輸入信息 防護方案后的拓撲圖： 加了防護方案的拓撲圖在路由出口架設(shè)大流量吞吐量的防火墻，可以有效地防御外部攻擊者對外部路由進行DDoS攻擊，做訪問控制策略，保證內(nèi)網(wǎng)的安全控制，在二層交換機上部署上網(wǎng)行為管理系統(tǒng)，網(wǎng)絡(luò)入侵檢測系統(tǒng)，日志審計管理系統(tǒng)，運行與維護安全審計系統(tǒng)。（1）安裝IIS進行添加程序界面，單擊“添加/刪除Windows組件”，選中“應(yīng)用程序服務(wù)器”，單擊下一步，： 應(yīng)用程序界面安裝過程中需要插入系統(tǒng)安裝光盤，插入光盤后繼續(xù)運行。右鍵“網(wǎng)站”，單擊“網(wǎng)站”進入網(wǎng)站創(chuàng)建向?qū)Ы缑?。選中“文件傳輸協(xié)議設(shè)置好之后點擊下一步，： 目錄圖單機“下一步”，直至整個安裝過程完成，然后啟動該服務(wù)器，并右鍵我的電腦，點擊管理—地用戶和組，右鍵點擊用戶，選擇新建用戶，： 建立用戶選中剛才創(chuàng)建的用戶名，然后右鍵，選擇屬性，在選中配置文件，定位到主文件夾本地路徑，在里面填寫d:\tmp\LocalUser\usertmp(可根據(jù)情況換成相應(yīng)的目錄)，系統(tǒng)會在temp文件夾下自動生成相應(yīng)的文件夾，然后點擊確定，： MyUser屬性圖在本地測試一下是否ftp環(huán)境已經(jīng)搭建好了，首先在d:\tmp\LocalUser\，然后在IE中輸入ftp://，看是否能夠訪問到這個文件，如果能夠訪問到，則說明配置成功了。運行后顯示“命令成功完成”。 掃描信息現(xiàn)在我們就在運行框里輸入“cmd”命令，進入DOS界面，輸入如下命令：net use \\\IPC$ 密碼 /user:用戶名。由于近年來才出現(xiàn)的一種網(wǎng)絡(luò)攻擊手段，對于他的發(fā)現(xiàn)與監(jiān)測尚處于萌芽階段，他與一般的攻擊有著本質(zhì)的區(qū)別，其特點是他的攻擊的前期準備需要很長的時間，而且攻擊的手段十分隱蔽，不易被發(fā)現(xiàn)，APT攻擊給信息系統(tǒng)可用性、可靠性帶來了極大的威脅，APT攻擊的手段變化多端、效果非常顯著，成為了當(dāng)今企業(yè)所要面臨的一大挑戰(zhàn)。其次要感謝貴州大學(xué)計算機科學(xué)與技術(shù)學(xué)院的全體老師對我這四年來的悉心教導(dǎo)，本設(shè)計能夠順利的完成，也歸功于各位任課老師的認真負責(zé)，使我能夠很好的掌握和運用專業(yè)知識，并在設(shè)計中得以體現(xiàn)，你們不僅讓我掌握了作為一個大學(xué)生應(yīng)該掌握的技能，更重要的是你們還教會了我應(yīng)該怎樣做人。拼一個春夏秋冬！贏一個無悔人生！早安！—————獻給所有努力的人.學(xué)習(xí)參考。最后我要感謝和我一起實驗的伙伴，謝謝你們這段時間的陪伴幫助，雖然我們在實驗室呆的時間很短，可是這段時間讓我收獲很多，也許會成為我一輩子的回憶。還了解了APT攻擊經(jīng)常使用的一些攻擊手段，有弱密碼攻擊，操作系統(tǒng)漏洞攻擊，SQL注入攻擊，了解這些攻擊手段的原理，并做出相應(yīng)的防護，在此基礎(chǔ)上，還學(xué)會使用了一些掃描工具，遠程控制工具和怎樣上傳木馬。說明不能通過IPC$ 的遠程登錄該主機。： 輸入命令的界面登陸成功之后, 把對方的C盤映射到本地的Z盤，： 映射命令命令成功后，打開“我的電腦“，就可以看到目標主機的C盤了，： 對方C盤現(xiàn)在可以通過“波爾遠程控制”，并雙擊運行該軟件， 上傳木馬測試一下本機連接是否正常如果正常開始運行“波爾遠程控制”的服務(wù)器端，通過服務(wù)器端去控制目標主機：一打開，就發(fā)現(xiàn)目標主機已經(jīng)和服務(wù)端建立連接了，： 波爾遠程控制主界面通過該軟件我們就可以對被控制的目標主機的進行很多操作了，可以對該計算機進行磁盤管理，雙擊“磁盤管理”，： 目標主機的磁盤還可以對目標主機的屏幕進行任何的操作，當(dāng)雙擊“屏幕實時操作的時候”就可以控制對方的屏幕了所以漏洞攻擊成功，最終獲取了目標主機的控制權(quán) 防護（1）修改注冊表選擇“開始|”—“運行”，在運行框里輸入：“regedit”， 點擊確定后打開注冊表，將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA的RestrictAnonymous項設(shè)置為1，可以禁止攻擊者使用空連接， 設(shè)置界面打開“控制面板”—“管理工具”—“本地安全策略”，選擇“本地策略”的“安全選項”,然后對選擇“不允許枚舉SAM賬號和共享”的屬性，然后點擊已啟用，然后按”確定“即可禁止IPC$空連接。 弱密碼攻擊 攻擊： 攻擊流程用X—，對掃描器進行相應(yīng)的設(shè)置，： 具體設(shè)置圖設(shè)置掃描的IP地址范圍，： 存活的主機根據(jù)掃面的結(jié)果對相應(yīng)的主機進行攻擊，： 掃描結(jié)果從掃描的信息中，我們可以觀察到各個主機所存在的漏洞，： 漏洞信息根據(jù)所得的在信息登錄被攻擊的主機系統(tǒng)：通過掃描的信息已經(jīng)知道用戶名為：administrator 密碼為：123 現(xiàn)在通過Dame Ware Mini Remote Control 軟件登錄該用戶界面，獲取控制權(quán)，： 登陸界面設(shè)置成功后點擊鏈接控制成功， 目標主機的界面可以對桌面上的文件，或電腦里面的信息進行任何的操作了當(dāng)密碼沒有掃描出來時，可以過暴力破解弱口令進行攻擊在C盤建立文件夾hack， hack工具就在c:\hack目錄進行，這些工具軟件都具有hack性質(zhì)，使用時需