【正文】 要將殺毒軟件，還有防火墻關(guān)閉運(yùn)行superdic字典工具，選擇基本數(shù)字；生成口令文件， ，： superdic字典界面在c:\hack目錄下，創(chuàng)建一個(gè)用戶名文件(),文件內(nèi)容就是administrator，： DOS界面，就可以看到密碼了，： 獲取的密碼通過，所以攻擊成功 目標(biāo)界面 防護(hù)（1）賬戶的鎖定默認(rèn)情況下，用戶在登陸界面中可能會(huì)有很多次輸入無效賬戶和密碼的機(jī)會(huì)，當(dāng)用戶這值得口令示弱口令時(shí)，黑客就可以通過密碼猜或者字典攻擊破解用戶的賬戶和密碼，從而獲取控制權(quán)，所以我們可以通過鎖定賬戶，來防止這類的攻擊，選擇“開始”—“運(yùn)行”輸入“”,點(diǎn)擊確定后進(jìn)入組策略配置，依次點(diǎn)開“本地計(jì)算機(jī)策略”—“計(jì)算機(jī)配置” —“windows設(shè)置” —“安全設(shè)置”，： 具體步驟再雙擊“賬戶策略”，如下圖所示：設(shè)置相應(yīng)的參數(shù)值，設(shè)置用戶只可以有輸入用戶和密碼錯(cuò)誤三次的機(jī)會(huì)，一旦輸入錯(cuò)誤三次，就會(huì)被鎖定， 設(shè)置登陸次數(shù)界面設(shè)置鎖定的時(shí)間一個(gè)小時(shí)，： 設(shè)置鎖定界面（2）密碼設(shè)置密碼是用來登錄到系統(tǒng)中的憑證，在系統(tǒng)設(shè)置密碼的前提下，只有輸入有效的密碼才可以登錄錄到該系統(tǒng)中，可是往往該系統(tǒng)忽略了密碼設(shè)置的策略，將弱口令設(shè)置為登錄密碼，從而導(dǎo)致黑客通過字典攻擊就可以把密碼破解了，從而攻破主機(jī)，所以密碼策略可以防止黑客通過弱口令對(duì)該系統(tǒng)實(shí)施攻擊選擇“開始”—“運(yùn)行” 輸入“”,點(diǎn)擊確定后，進(jìn)入“組策略”配置，依次點(diǎn)開“本地計(jì)算機(jī)策略”—“計(jì)算機(jī)配置” —“windows設(shè)置” —“安全設(shè)置”—“賬戶策略” —“密碼策略”，： 設(shè)置界面雙擊密碼策略，界面如下所示：根據(jù)標(biāo)準(zhǔn)的要求對(duì)密碼策略進(jìn)行相應(yīng)的設(shè)置：密碼符合性必須符合復(fù)雜性的要求不包含部分的用戶的賬戶名長度至少為六個(gè)包含以下四個(gè)類別中的三個(gè)字符英文大寫字母（A—Z）英文小寫字母（a—z）十個(gè)數(shù)字（0—9）非字母字符（！、）密碼成都最小值：確定賬戶的密碼可以包含最少的字符個(gè)數(shù)，可以設(shè)置為1—14個(gè)字符的值，或設(shè)置為0，可是這樣設(shè)置不安全，： 設(shè)置密碼長度界面密碼最短使用期，限制用戶使用密碼的期限，可以設(shè)置其值為1—999之間，當(dāng)設(shè)置期限到達(dá)時(shí)，用戶就更換密碼了，這樣可以防止黑客花很長的時(shí)間破解我們的密碼，當(dāng)他破解時(shí)，我們的密碼也不是原來的密碼，： 設(shè)置更改的天數(shù)界面確定在從新使用舊密碼前，必須與一個(gè)用戶相關(guān)的唯一新密碼個(gè)數(shù)，可以設(shè)置為0—24之間，通過該策略可以確保舊密碼不能再繼續(xù)使用，從而增強(qiáng)系統(tǒng)的安全性，設(shè)置完后，： 密碼設(shè)置標(biāo)準(zhǔn)根據(jù)密碼策略，將用戶的陸密碼設(shè)置為：Lxy123，： 設(shè)置密碼界面點(diǎn)擊確定，設(shè)置成功（3）設(shè)置用戶權(quán)限： 設(shè)置步驟： 更改步驟. 測試再次對(duì)被攻擊的足跡進(jìn)行掃描,根據(jù)掃描的信息并沒有發(fā)現(xiàn)高危漏洞了，現(xiàn)在通過暴力破解，看看是否能夠破解該密碼。服務(wù)”這個(gè)選項(xiàng)，單擊確定。： IP設(shè)定界面輸入網(wǎng)站主目錄路徑。（2） 因?yàn)椤凹彝ダ碡?cái)管理系統(tǒng)”，而Sever 。以保證數(shù)據(jù)和機(jī)密文件的安全。如果可以接受字母，那就要檢查是不是存在不可接受的字符。然后檢測請(qǐng)求數(shù)據(jù)中是否含有SQL注入攻擊常用的關(guān)鍵字以及分隔符，如and、or、1=’、等，如果不含有，則可以排除注入攻擊的可能。and(select count(*) from account)0。139。=39。=FROM上網(wǎng)行為管理設(shè)備應(yīng)該做到阻止內(nèi)部主機(jī)對(duì)惡意U R L的訪問。 社會(huì)工程學(xué)通過培訓(xùn)，使內(nèi)網(wǎng)的工作人員對(duì)社工有個(gè)比較全面的認(rèn)識(shí)，學(xué)會(huì)理智地分辨他們身邊存在或可能存在的“社工行為”以及“社工因素”，避免內(nèi)網(wǎng)被社工。默認(rèn)的情況下，所有的用戶都可以通過空連接連上服務(wù)器，所以這樣就會(huì)對(duì)我們的服務(wù)器帶來很大的安全隱患，導(dǎo)致服務(wù)器上的信息泄露。（2）配置安全策略歲服務(wù)器制定相應(yīng)的安全部署策略和安全加固策略，以及訪問策略等，為服務(wù)器及時(shí)安裝漏洞補(bǔ)丁，并定期對(duì)安全策略、補(bǔ)丁等情況進(jìn)行檢查。所以在應(yīng)用上線之前，要嚴(yán)格地進(jìn)行各種安全測試和加固。（6）日志管理對(duì)日志進(jìn)行統(tǒng)一管理，安全管理員應(yīng)該定期進(jìn)行日志分析。 內(nèi)網(wǎng)的安全的防護(hù)（1）訪問控制配置訪問控制策略，對(duì)網(wǎng)絡(luò)進(jìn)行訪問控制，并且在內(nèi)網(wǎng)中應(yīng)該不要使用無線網(wǎng)，無線網(wǎng)絡(luò)存在諸多安全隱患，而且不方便集中管理上網(wǎng)用戶，為了避免攻擊者通過無線網(wǎng)絡(luò)滲透進(jìn)內(nèi)網(wǎng)或者機(jī)密資料被竊取，所以應(yīng)避免使用無線網(wǎng)絡(luò)。（2）內(nèi)網(wǎng)帶來的威脅內(nèi)部成員之間重要文檔在傳輸過程中帶來的安全問題，當(dāng)某個(gè)不具備某文檔閱讀權(quán)限的內(nèi)部員工可能會(huì)接觸、打開、復(fù)制、打印該文檔，這樣就有可能造成文件的泄露。（4）模擬攻擊安全管理員將識(shí)別出的報(bào)警數(shù)據(jù)進(jìn)行關(guān)聯(lián)性分析， 明確這些報(bào)警數(shù)據(jù)與APT攻擊之間存在的語義關(guān)系，并將孤立的攻擊報(bào)警從海量的報(bào)警中提取出來，根據(jù)關(guān)聯(lián)特征組建攻擊場景相關(guān)的知識(shí)庫，對(duì)識(shí)別出的報(bào)警與之相匹配、對(duì)照，構(gòu)建 APT攻擊，如果構(gòu)建成功，則APT攻擊被發(fā)現(xiàn)，并將其記錄。該記憶的檢測方案主要分成如下幾個(gè)步驟: （1）擴(kuò)大檢測范圍該方案對(duì)數(shù)據(jù)流量的檢測領(lǐng)域進(jìn)行拓展， 并將全流量數(shù)據(jù)進(jìn)行有效的存儲(chǔ)，對(duì)存儲(chǔ)的流量數(shù)據(jù)會(huì)進(jìn)行深入分析。一份統(tǒng)一的威脅名單：根據(jù)威脅檢測技術(shù)和虛擬分析技術(shù)的結(jié)果，模擬APT攻擊，可以產(chǎn)生一個(gè)可疑的威脅名單或則一份APT攻擊記錄報(bào)表，并將其可以名單和記錄的APT攻擊報(bào)表及時(shí)的地反饋給安全人員報(bào)表系統(tǒng)：該系統(tǒng)根據(jù)不同的目的，提供不同的報(bào)表供 IT 安全管理人員查看。 對(duì)于異常告警，安全審計(jì)人員需及時(shí)確認(rèn)原因；并對(duì)未能確認(rèn)原因的異常告警信息，尤其是異常流量警告信息，并及時(shí)聯(lián)系安全技術(shù)支持人員進(jìn)行近一步分析這種異常，從而發(fā)現(xiàn)APT攻擊，但是該檢測的缺點(diǎn)是不能檢測未知的異常,同時(shí)隨著異常種類越來越來多,導(dǎo)致特征庫越來越龐大,從而監(jiān)測性能也隨之下降。 因而導(dǎo)致沙箱檢測在這種情形下檢測不出來惡意代碼， 但是在另外一種情形下可能檢測出來 異常檢測模式： 異常檢測流程圖APT攻擊常使用端口跳變、應(yīng)用層加密等手段隱藏惡意流量特征，只有通過一系列的數(shù)據(jù)聚類才能發(fā)現(xiàn)異常，異常檢測是利用預(yù)先設(shè)定好特征庫或規(guī)則庫和用戶通過從賬號(hào)登錄的IP地址、時(shí)間、行為操作序列等特征的統(tǒng)計(jì)可得到該賬號(hào)的正常行為產(chǎn)生的數(shù)據(jù)量建立一個(gè)有效的模型。通常APT攻擊會(huì)采用一些惡意程序文件名與常見Windows文件類似，讓我們很難發(fā)現(xiàn)。所以要檢測出APT攻擊已成為許多企業(yè)所面臨的難題，因?yàn)锳PT種攻擊是以“隱形模式”進(jìn)行的。為確保以后的數(shù)據(jù)竊取行動(dòng)中會(huì)得到最有價(jià)值的數(shù)據(jù)，APT會(huì)長期低調(diào)地潛伏。然后，APT攻擊活動(dòng)利用網(wǎng)絡(luò)通信協(xié)議來與Camp。另外，攻擊者在探測期中也需要收集各類零日漏洞、編制木馬程序、制訂攻擊計(jì)劃等，用于在下一階段實(shí)施精確攻擊，當(dāng)攻擊者收集到足夠的信息時(shí)，就會(huì)對(duì)目標(biāo)網(wǎng)絡(luò)發(fā)起攻擊。從一些受到APT攻擊的大型企業(yè)可以發(fā)現(xiàn)，這些企業(yè)受到威脅的關(guān)鍵因素都與普通員工遭遇社交工程的惡意郵件有關(guān)。 APT攻擊的原理APT攻擊的原理和其他網(wǎng)絡(luò)攻擊的區(qū)別主要在于他攻擊形式更為高級(jí)和先進(jìn)，其高級(jí)性體現(xiàn)在APT在發(fā)動(dòng)攻擊之前，需要對(duì)攻擊目標(biāo)信息進(jìn)行精確的收集，在此收集的過程中，有可能結(jié)合當(dāng)前IT行業(yè)所有可用的攻擊入侵手段和技術(shù)，他們不會(huì)采取單一的攻擊手段，病毒傳播、SQL 注入等 。但是，多重指標(biāo)很容易導(dǎo)致判斷出現(xiàn)失誤，而且，攻擊者還可能利用偽造技術(shù)指標(biāo)來將懷疑對(duì)象轉(zhuǎn)嫁到別人身上，大大提升了判斷的難度。APT攻擊是一個(gè)在時(shí)間上具備連續(xù)性的行為，在以后信息技術(shù)快速的發(fā)展中，APT攻擊將會(huì)變得越來越復(fù)雜，這并不僅僅表示攻擊技術(shù)越來越強(qiáng)大，也意味著部署攻擊的方式越來越靈活。缺乏統(tǒng)一的形式化描述,不能全面系統(tǒng)地表達(dá)APT攻擊的全過程。APT變化多端、效果顯著且難于防范,因此,漸漸成為網(wǎng)絡(luò)滲透和系統(tǒng)攻擊的演進(jìn)趨勢。目前，國內(nèi)外對(duì) APT 攻擊防護(hù)的研究尚處于初級(jí)階段，防御方案是基于已知的知識(shí)和規(guī)則，基于信任,缺乏對(duì)未知威脅的感知能力,針對(duì)未知的感知能力非常薄弱,對(duì)抗點(diǎn)滯后,缺乏關(guān)聯(lián)分析能力，并沒有對(duì) APT 攻擊機(jī)理、產(chǎn)生背景等進(jìn)行整體而細(xì)致的剖析。論文（設(shè)計(jì)）作者簽名： 日 期： ATP攻擊的發(fā)現(xiàn)與防護(hù)方案設(shè)計(jì)摘要APT即為高級(jí)持續(xù)性威脅，是近年來才出現(xiàn)的一種網(wǎng)絡(luò)攻擊手段，其特點(diǎn)是他的攻擊的前期準(zhǔn)備需要很長的時(shí)間，攻擊的手段十分隱蔽, 變化多端、效果非常顯著，不易被發(fā)現(xiàn)，APT攻擊已經(jīng)漸漸成為網(wǎng)絡(luò)滲透和系統(tǒng)攻擊的演進(jìn)趨勢。近年來，APT高級(jí)持續(xù)性威脅便成為信息安全圈子人人皆知的時(shí)髦名詞[1]。所以關(guān)注點(diǎn)較為分散，不成體系，無法對(duì) APT 攻擊形成較為全面的認(rèn)知和理解。APT攻擊時(shí)代的來臨預(yù)示著定向攻擊將成為惡意軟件發(fā)展的新趨勢[4]。但是到了以后，我們將需要綜合社會(huì)、政治、經(jīng)濟(jì)、技術(shù)等多重指標(biāo)進(jìn)行判斷，以充分評(píng)估和分析目標(biāo)攻擊。應(yīng)對(duì)新的威脅，需要有新的思路。(2)社交工程的惡意郵件是許多APT攻擊成功的關(guān)鍵因素之一，隨著社交工程攻擊手法的日益成熟，郵件幾乎真假難辨。攻擊者對(duì)鎖定的目標(biāo)和資源采用針對(duì)性APT攻擊，使用技術(shù)和社會(huì)工程學(xué)手段針對(duì)性地進(jìn)行信息收集，目標(biāo)網(wǎng)絡(luò)環(huán)境探測，線上服務(wù)器分布情況，應(yīng)用程序的弱點(diǎn)分析，了解業(yè)務(wù)狀況，員工信息，收集大量關(guān)于系統(tǒng)業(yè)務(wù)流程和使用情況等關(guān)鍵信息，通過網(wǎng)絡(luò)流量、軟件版本、開放端口、員工資料、管理策略等因素的整理和分析[7]，得出系統(tǒng)可能存在的安全弱點(diǎn)。攻擊者成功入侵目標(biāo)網(wǎng)絡(luò)后，通常并不急于獲取敏感信息和數(shù)據(jù)，而是在隱藏自身的前提下找出放有敏感信息的重要計(jì)算機(jī)。第五階段：資料發(fā)掘。傳統(tǒng)基于攻擊特征的入侵檢測和防御方法在檢測和防御apt方面效果已經(jīng)變得很不理想了。因?yàn)锳PT是在很長時(shí)間內(nèi)才發(fā)生，也許一年，兩年，甚至五年，才可能發(fā)生，所以我們要在一段時(shí)間內(nèi)發(fā)現(xiàn)APT，還是很有難度的，需要對(duì)長時(shí)間、全流量數(shù)據(jù)進(jìn)行深度分析，針對(duì)APT攻擊行為的檢測，需要構(gòu)建一個(gè)多維度的安全模型，還可以通過手動(dòng)檢查文件來識(shí)別一些微小的不易發(fā)現(xiàn)的標(biāo)記，并將這些標(biāo)記作為潛在惡意活動(dòng)的指示。 并且沙箱檢測與整個(gè)網(wǎng)絡(luò)運(yùn)行環(huán)境相關(guān)， 操作系統(tǒng)的類型、 瀏覽器的版本、 安裝的插件版本等都對(duì)沙箱檢測的結(jié)果起著影響。對(duì)于員工賬號(hào)訪問審計(jì)，并進(jìn)一步用于員工賬號(hào)訪問異常檢測。所以該方案是將文件放在沙盒中執(zhí)行，檢測該文件對(duì)系統(tǒng)的所有更改是否是有害的，如果對(duì)該系統(tǒng)沒有造成影響，就允許通過，如果有影響，或則會(huì)危害到系統(tǒng)的秘密信息，就該文件攔截。 全流量審計(jì)組要是對(duì)全過程流量施以應(yīng)用上的識(shí)別與還原， 從而檢測出異常的可能會(huì)對(duì)系統(tǒng)造成危害的行為。從而識(shí)別出攻擊者將攻擊行為包裝成成正常行為的行為。最常見的還有遠(yuǎn)程辦公帶來的安全威脅。蠕蟲、病毒，往往會(huì)掃描服務(wù)器，從而造成信息泄漏，低權(quán)限管理員有可能利用此權(quán)限，進(jìn)行越權(quán)、高危操作。同時(shí)制定一些制度，規(guī)定員工發(fā)郵件時(shí)不帶鏈接、附件等。所以在開發(fā)WEB應(yīng)用程序時(shí)，應(yīng)該要有嚴(yán)格的安全編碼規(guī)范標(biāo)準(zhǔn)，避免注入、上傳、文件包含、遠(yuǎn)程、本地代碼執(zhí)行、XSS等漏洞安全問題的產(chǎn)生。定期對(duì)服務(wù)器的賬戶、密碼進(jìn)行檢查，看看是否存在異常情況。 禁止建立空連接 將內(nèi)網(wǎng)的所有計(jì)算機(jī)上禁止建立空連接。因?yàn)?Adminstrator賬戶擁有最高的系統(tǒng)權(quán)限，一旦攻擊者獲得Adminstrator賬戶權(quán)限，就可以對(duì)系統(tǒng)進(jìn)行任何操作，后果不堪設(shè)想， 安裝必要的安全軟件 為內(nèi)網(wǎng)中的各個(gè)主機(jī)安裝必要的防黑軟件、殺毒軟件和防火墻，在一定的程度上保證計(jì)算機(jī)安全。絕大部分社工攻擊是通過電子郵件或即時(shí)消息進(jìn)行的。*password’可能會(huì)帶來SQL注入攻擊，因?yàn)楫?dāng)我們?cè)谟脩裘兔艽a地址欄中輸入username139。139。Password=39。攻擊語句正則表示說明。： 匹配流圖當(dāng)攔截到Http請(qǐng)求后首先對(duì)請(qǐng)求內(nèi)容進(jìn)行URL解碼，其主要目的是防止攻擊者以URL編碼方式構(gòu)造SQL注入語句。將用戶名和密碼輸入框中輸入的信息進(jìn)行一個(gè)驗(yàn)證處理，例如只能輸入數(shù)值或字符，那么要登陸后臺(tái)，則必須滿足通過驗(yàn)證的條件后，才來也正該用戶名和密碼是否正確，確保用戶輸入的都是數(shù)字。為服務(wù)器部署數(shù)據(jù)庫審計(jì)系統(tǒng)。直到IIS安裝完成。輸入網(wǎng)站系統(tǒng)的描述，在這里輸入“myweb”。(FTP) 建立成功界面下載一個(gè)ftp客戶端，Cute FTP ，新建一個(gè)鏈接，點(diǎn)擊鏈接后，如果連接成功，就可以實(shí)現(xiàn)文件的上傳和下載了。這樣通過IPC$ 的遠(yuǎn)程登錄就成功了。運(yùn)行后顯示“找不到網(wǎng)絡(luò)路徑”。所以剛開始設(shè)計(jì)的時(shí)候基本不知道該怎樣著手，可是經(jīng)過利用兩個(gè)禮拜的時(shí)間查詢了大量的資料文獻(xiàn)，對(duì)APT攻擊的定義及特征有了一個(gè)初步的認(rèn)識(shí)，并了解了檢測APT攻擊的一些方法，異常檢測，威脅檢測，記憶檢測，在這些檢測方法的基礎(chǔ)上，提出自己的一些改進(jìn)。使我自身的修養(yǎng)有了一定的提高