【正文】 要將殺毒軟件，還有防火墻關閉運行superdic字典工具，選擇基本數(shù)字；生成口令文件， ，： superdic字典界面在c:\hack目錄下，創(chuàng)建一個用戶名文件(),文件內(nèi)容就是administrator，： DOS界面，就可以看到密碼了，： 獲取的密碼通過，所以攻擊成功 目標界面 防護（1）賬戶的鎖定默認情況下，用戶在登陸界面中可能會有很多次輸入無效賬戶和密碼的機會，當用戶這值得口令示弱口令時，黑客就可以通過密碼猜或者字典攻擊破解用戶的賬戶和密碼，從而獲取控制權，所以我們可以通過鎖定賬戶，來防止這類的攻擊，選擇“開始”—“運行”輸入“”,點擊確定后進入組策略配置，依次點開“本地計算機策略”—“計算機配置” —“windows設置” —“安全設置”，： 具體步驟再雙擊“賬戶策略”，如下圖所示：設置相應的參數(shù)值，設置用戶只可以有輸入用戶和密碼錯誤三次的機會，一旦輸入錯誤三次，就會被鎖定， 設置登陸次數(shù)界面設置鎖定的時間一個小時，： 設置鎖定界面（2）密碼設置密碼是用來登錄到系統(tǒng)中的憑證，在系統(tǒng)設置密碼的前提下，只有輸入有效的密碼才可以登錄錄到該系統(tǒng)中，可是往往該系統(tǒng)忽略了密碼設置的策略，將弱口令設置為登錄密碼，從而導致黑客通過字典攻擊就可以把密碼破解了，從而攻破主機，所以密碼策略可以防止黑客通過弱口令對該系統(tǒng)實施攻擊選擇“開始”—“運行” 輸入“”,點擊確定后，進入“組策略”配置，依次點開“本地計算機策略”—“計算機配置” —“windows設置” —“安全設置”—“賬戶策略” —“密碼策略”，： 設置界面雙擊密碼策略，界面如下所示：根據(jù)標準的要求對密碼策略進行相應的設置：密碼符合性必須符合復雜性的要求不包含部分的用戶的賬戶名長度至少為六個包含以下四個類別中的三個字符英文大寫字母（A—Z）英文小寫字母（a—z）十個數(shù)字（0—9）非字母字符（！、）密碼成都最小值：確定賬戶的密碼可以包含最少的字符個數(shù)，可以設置為1—14個字符的值，或設置為0，可是這樣設置不安全，： 設置密碼長度界面密碼最短使用期，限制用戶使用密碼的期限，可以設置其值為1—999之間，當設置期限到達時，用戶就更換密碼了，這樣可以防止黑客花很長的時間破解我們的密碼，當他破解時，我們的密碼也不是原來的密碼，： 設置更改的天數(shù)界面確定在從新使用舊密碼前，必須與一個用戶相關的唯一新密碼個數(shù)，可以設置為0—24之間，通過該策略可以確保舊密碼不能再繼續(xù)使用，從而增強系統(tǒng)的安全性，設置完后，： 密碼設置標準根據(jù)密碼策略，將用戶的陸密碼設置為：Lxy123，： 設置密碼界面點擊確定，設置成功（3）設置用戶權限： 設置步驟： 更改步驟. 測試再次對被攻擊的足跡進行掃描,根據(jù)掃描的信息并沒有發(fā)現(xiàn)高危漏洞了，現(xiàn)在通過暴力破解，看看是否能夠破解該密碼。服務”這個選項，單擊確定。： IP設定界面輸入網(wǎng)站主目錄路徑。（2） 因為“家庭理財管理系統(tǒng)”，而Sever 。以保證數(shù)據(jù)和機密文件的安全。如果可以接受字母，那就要檢查是不是存在不可接受的字符。然后檢測請求數(shù)據(jù)中是否含有SQL注入攻擊常用的關鍵字以及分隔符，如and、or、1=’、等，如果不含有，則可以排除注入攻擊的可能。and(select count(*) from account)0。139。=39。=FROM上網(wǎng)行為管理設備應該做到阻止內(nèi)部主機對惡意U R L的訪問。 社會工程學通過培訓，使內(nèi)網(wǎng)的工作人員對社工有個比較全面的認識，學會理智地分辨他們身邊存在或可能存在的“社工行為”以及“社工因素”，避免內(nèi)網(wǎng)被社工。默認的情況下，所有的用戶都可以通過空連接連上服務器，所以這樣就會對我們的服務器帶來很大的安全隱患，導致服務器上的信息泄露。（2）配置安全策略歲服務器制定相應的安全部署策略和安全加固策略，以及訪問策略等，為服務器及時安裝漏洞補丁，并定期對安全策略、補丁等情況進行檢查。所以在應用上線之前，要嚴格地進行各種安全測試和加固。（6）日志管理對日志進行統(tǒng)一管理，安全管理員應該定期進行日志分析。 內(nèi)網(wǎng)的安全的防護（1）訪問控制配置訪問控制策略，對網(wǎng)絡進行訪問控制，并且在內(nèi)網(wǎng)中應該不要使用無線網(wǎng)，無線網(wǎng)絡存在諸多安全隱患，而且不方便集中管理上網(wǎng)用戶，為了避免攻擊者通過無線網(wǎng)絡滲透進內(nèi)網(wǎng)或者機密資料被竊取，所以應避免使用無線網(wǎng)絡。（2）內(nèi)網(wǎng)帶來的威脅內(nèi)部成員之間重要文檔在傳輸過程中帶來的安全問題，當某個不具備某文檔閱讀權限的內(nèi)部員工可能會接觸、打開、復制、打印該文檔，這樣就有可能造成文件的泄露。（4）模擬攻擊安全管理員將識別出的報警數(shù)據(jù)進行關聯(lián)性分析， 明確這些報警數(shù)據(jù)與APT攻擊之間存在的語義關系，并將孤立的攻擊報警從海量的報警中提取出來，根據(jù)關聯(lián)特征組建攻擊場景相關的知識庫，對識別出的報警與之相匹配、對照，構建 APT攻擊，如果構建成功，則APT攻擊被發(fā)現(xiàn)，并將其記錄。該記憶的檢測方案主要分成如下幾個步驟: （1）擴大檢測范圍該方案對數(shù)據(jù)流量的檢測領域進行拓展， 并將全流量數(shù)據(jù)進行有效的存儲，對存儲的流量數(shù)據(jù)會進行深入分析。一份統(tǒng)一的威脅名單：根據(jù)威脅檢測技術和虛擬分析技術的結果，模擬APT攻擊，可以產(chǎn)生一個可疑的威脅名單或則一份APT攻擊記錄報表，并將其可以名單和記錄的APT攻擊報表及時的地反饋給安全人員報表系統(tǒng)：該系統(tǒng)根據(jù)不同的目的，提供不同的報表供 IT 安全管理人員查看。 對于異常告警，安全審計人員需及時確認原因；并對未能確認原因的異常告警信息，尤其是異常流量警告信息，并及時聯(lián)系安全技術支持人員進行近一步分析這種異常，從而發(fā)現(xiàn)APT攻擊，但是該檢測的缺點是不能檢測未知的異常,同時隨著異常種類越來越來多,導致特征庫越來越龐大,從而監(jiān)測性能也隨之下降。 因而導致沙箱檢測在這種情形下檢測不出來惡意代碼， 但是在另外一種情形下可能檢測出來 異常檢測模式： 異常檢測流程圖APT攻擊常使用端口跳變、應用層加密等手段隱藏惡意流量特征，只有通過一系列的數(shù)據(jù)聚類才能發(fā)現(xiàn)異常，異常檢測是利用預先設定好特征庫或規(guī)則庫和用戶通過從賬號登錄的IP地址、時間、行為操作序列等特征的統(tǒng)計可得到該賬號的正常行為產(chǎn)生的數(shù)據(jù)量建立一個有效的模型。通常APT攻擊會采用一些惡意程序文件名與常見Windows文件類似，讓我們很難發(fā)現(xiàn)。所以要檢測出APT攻擊已成為許多企業(yè)所面臨的難題，因為APT種攻擊是以“隱形模式”進行的。為確保以后的數(shù)據(jù)竊取行動中會得到最有價值的數(shù)據(jù)，APT會長期低調(diào)地潛伏。然后，APT攻擊活動利用網(wǎng)絡通信協(xié)議來與Camp。另外，攻擊者在探測期中也需要收集各類零日漏洞、編制木馬程序、制訂攻擊計劃等，用于在下一階段實施精確攻擊，當攻擊者收集到足夠的信息時，就會對目標網(wǎng)絡發(fā)起攻擊。從一些受到APT攻擊的大型企業(yè)可以發(fā)現(xiàn)，這些企業(yè)受到威脅的關鍵因素都與普通員工遭遇社交工程的惡意郵件有關。 APT攻擊的原理APT攻擊的原理和其他網(wǎng)絡攻擊的區(qū)別主要在于他攻擊形式更為高級和先進，其高級性體現(xiàn)在APT在發(fā)動攻擊之前，需要對攻擊目標信息進行精確的收集，在此收集的過程中，有可能結合當前IT行業(yè)所有可用的攻擊入侵手段和技術，他們不會采取單一的攻擊手段，病毒傳播、SQL 注入等 。但是，多重指標很容易導致判斷出現(xiàn)失誤，而且，攻擊者還可能利用偽造技術指標來將懷疑對象轉(zhuǎn)嫁到別人身上，大大提升了判斷的難度。APT攻擊是一個在時間上具備連續(xù)性的行為，在以后信息技術快速的發(fā)展中，APT攻擊將會變得越來越復雜，這并不僅僅表示攻擊技術越來越強大，也意味著部署攻擊的方式越來越靈活。缺乏統(tǒng)一的形式化描述,不能全面系統(tǒng)地表達APT攻擊的全過程。APT變化多端、效果顯著且難于防范,因此,漸漸成為網(wǎng)絡滲透和系統(tǒng)攻擊的演進趨勢。目前，國內(nèi)外對 APT 攻擊防護的研究尚處于初級階段，防御方案是基于已知的知識和規(guī)則，基于信任,缺乏對未知威脅的感知能力,針對未知的感知能力非常薄弱,對抗點滯后,缺乏關聯(lián)分析能力，并沒有對 APT 攻擊機理、產(chǎn)生背景等進行整體而細致的剖析。論文（設計）作者簽名： 日 期： ATP攻擊的發(fā)現(xiàn)與防護方案設計摘要APT即為高級持續(xù)性威脅，是近年來才出現(xiàn)的一種網(wǎng)絡攻擊手段，其特點是他的攻擊的前期準備需要很長的時間，攻擊的手段十分隱蔽, 變化多端、效果非常顯著，不易被發(fā)現(xiàn)，APT攻擊已經(jīng)漸漸成為網(wǎng)絡滲透和系統(tǒng)攻擊的演進趨勢。近年來，APT高級持續(xù)性威脅便成為信息安全圈子人人皆知的時髦名詞[1]。所以關注點較為分散，不成體系，無法對 APT 攻擊形成較為全面的認知和理解。APT攻擊時代的來臨預示著定向攻擊將成為惡意軟件發(fā)展的新趨勢[4]。但是到了以后，我們將需要綜合社會、政治、經(jīng)濟、技術等多重指標進行判斷，以充分評估和分析目標攻擊。應對新的威脅，需要有新的思路。(2)社交工程的惡意郵件是許多APT攻擊成功的關鍵因素之一，隨著社交工程攻擊手法的日益成熟，郵件幾乎真假難辨。攻擊者對鎖定的目標和資源采用針對性APT攻擊，使用技術和社會工程學手段針對性地進行信息收集，目標網(wǎng)絡環(huán)境探測，線上服務器分布情況，應用程序的弱點分析，了解業(yè)務狀況，員工信息，收集大量關于系統(tǒng)業(yè)務流程和使用情況等關鍵信息，通過網(wǎng)絡流量、軟件版本、開放端口、員工資料、管理策略等因素的整理和分析[7]，得出系統(tǒng)可能存在的安全弱點。攻擊者成功入侵目標網(wǎng)絡后，通常并不急于獲取敏感信息和數(shù)據(jù)，而是在隱藏自身的前提下找出放有敏感信息的重要計算機。第五階段：資料發(fā)掘。傳統(tǒng)基于攻擊特征的入侵檢測和防御方法在檢測和防御apt方面效果已經(jīng)變得很不理想了。因為APT是在很長時間內(nèi)才發(fā)生，也許一年，兩年，甚至五年，才可能發(fā)生，所以我們要在一段時間內(nèi)發(fā)現(xiàn)APT，還是很有難度的，需要對長時間、全流量數(shù)據(jù)進行深度分析，針對APT攻擊行為的檢測，需要構建一個多維度的安全模型，還可以通過手動檢查文件來識別一些微小的不易發(fā)現(xiàn)的標記，并將這些標記作為潛在惡意活動的指示。 并且沙箱檢測與整個網(wǎng)絡運行環(huán)境相關， 操作系統(tǒng)的類型、 瀏覽器的版本、 安裝的插件版本等都對沙箱檢測的結果起著影響。對于員工賬號訪問審計，并進一步用于員工賬號訪問異常檢測。所以該方案是將文件放在沙盒中執(zhí)行，檢測該文件對系統(tǒng)的所有更改是否是有害的，如果對該系統(tǒng)沒有造成影響，就允許通過，如果有影響，或則會危害到系統(tǒng)的秘密信息，就該文件攔截。 全流量審計組要是對全過程流量施以應用上的識別與還原， 從而檢測出異常的可能會對系統(tǒng)造成危害的行為。從而識別出攻擊者將攻擊行為包裝成成正常行為的行為。最常見的還有遠程辦公帶來的安全威脅。蠕蟲、病毒，往往會掃描服務器，從而造成信息泄漏，低權限管理員有可能利用此權限，進行越權、高危操作。同時制定一些制度，規(guī)定員工發(fā)郵件時不帶鏈接、附件等。所以在開發(fā)WEB應用程序時，應該要有嚴格的安全編碼規(guī)范標準，避免注入、上傳、文件包含、遠程、本地代碼執(zhí)行、XSS等漏洞安全問題的產(chǎn)生。定期對服務器的賬戶、密碼進行檢查，看看是否存在異常情況。 禁止建立空連接 將內(nèi)網(wǎng)的所有計算機上禁止建立空連接。因為 Adminstrator賬戶擁有最高的系統(tǒng)權限，一旦攻擊者獲得Adminstrator賬戶權限，就可以對系統(tǒng)進行任何操作，后果不堪設想， 安裝必要的安全軟件 為內(nèi)網(wǎng)中的各個主機安裝必要的防黑軟件、殺毒軟件和防火墻，在一定的程度上保證計算機安全。絕大部分社工攻擊是通過電子郵件或即時消息進行的。*password’可能會帶來SQL注入攻擊，因為當我們在用戶名和密碼地址欄中輸入username139。139。Password=39。攻擊語句正則表示說明。： 匹配流圖當攔截到Http請求后首先對請求內(nèi)容進行URL解碼，其主要目的是防止攻擊者以URL編碼方式構造SQL注入語句。將用戶名和密碼輸入框中輸入的信息進行一個驗證處理，例如只能輸入數(shù)值或字符，那么要登陸后臺，則必須滿足通過驗證的條件后，才來也正該用戶名和密碼是否正確，確保用戶輸入的都是數(shù)字。為服務器部署數(shù)據(jù)庫審計系統(tǒng)。直到IIS安裝完成。輸入網(wǎng)站系統(tǒng)的描述，在這里輸入“myweb”。(FTP) 建立成功界面下載一個ftp客戶端，Cute FTP ，新建一個鏈接，點擊鏈接后，如果連接成功，就可以實現(xiàn)文件的上傳和下載了。這樣通過IPC$ 的遠程登錄就成功了。運行后顯示“找不到網(wǎng)絡路徑”。所以剛開始設計的時候基本不知道該怎樣著手，可是經(jīng)過利用兩個禮拜的時間查詢了大量的資料文獻，對APT攻擊的定義及特征有了一個初步的認識，并了解了檢測APT攻擊的一些方法，異常檢測，威脅檢測，記憶檢測，在這些檢測方法的基礎上，提出自己的一些改進。使我自身的修養(yǎng)有了一定的提高