【正文】 展望該防護(hù)方案針對(duì)的是APT攻擊的手段進(jìn)行防護(hù)的，可是前期信息收集階段，并沒(méi)有進(jìn)行相應(yīng)的防護(hù)，由于APT攻擊周密完善且攻擊目標(biāo)明確的信息收集，所以一旦確定攻擊目標(biāo)后，就會(huì)不計(jì)成本的挖掘或者購(gòu)買Odays漏洞，想辦法滲透到目標(biāo)的內(nèi)部,利用社會(huì)工程學(xué)的方法，成功攻擊，APT攻擊總是會(huì)尋找一種有效的途徑進(jìn)入企業(yè)的內(nèi)部，所以僅依靠網(wǎng)上的一些掃描工具是很難發(fā)現(xiàn)APT攻擊的，大多數(shù)情況下都是利用社會(huì)工程學(xué)的方法，這是這種方法很難方法，他的利用因素很多。： 設(shè)置步驟（4）刪除默認(rèn)共享用記事本自建一個(gè)刪除所有默認(rèn)共享的批處理文件，放在啟動(dòng)欄里，每次啟動(dòng)機(jī)器時(shí)都自動(dòng)運(yùn)行，以刪除所有的默認(rèn)共享。出現(xiàn)提示時(shí)，如需要文件i386，則定位到剛才拷貝的i386文件，一直點(diǎn)下一步，最后點(diǎn)完成（1）配置ftp站點(diǎn)點(diǎn)擊“開(kāi)始”—“管理工具”—“Internet： 完成界面。使用正則表達(dá)式來(lái)進(jìn)行復(fù)雜的模式匹配，限制用戶輸入的字符的長(zhǎng)度[21]。\s*drop\s+table\s+|_az09]+()?刪除數(shù)據(jù)’or 1=1 (’\s+)?or\s+[[。39。or39。DNS服務(wù)器，可能是內(nèi)部的緩存服務(wù)器,也可能是外部的DNS服務(wù)器,由于只能對(duì)內(nèi)部DNS服務(wù)器監(jiān)控而無(wú)法監(jiān)控外部DNS服務(wù)器的情況，因此不能完全避免這種類型的攻擊[13]。使用代理服務(wù)器后，攻擊者只能探測(cè)到道理服務(wù)器的IP地址而不是內(nèi)網(wǎng)中主機(jī)的IP地址，這就實(shí)現(xiàn)了隱藏用戶IP地址的目的，從而保障了內(nèi)網(wǎng)的安全。（2）安裝WEB應(yīng)用防火墻安裝防火墻，一定程度上也可以提高WEB的安全系數(shù)。（3）PC補(bǔ)丁管理服務(wù)器WSUS支持微軟的全部產(chǎn)品的更新，以及補(bǔ)丁程序。其中內(nèi)網(wǎng)包括PC機(jī)和服務(wù)器，外網(wǎng)就只有PC機(jī)。通過(guò)進(jìn)行人工整合的工作，對(duì)不同的情況采取不同的措施。該方案提出了在多種查詢條件下對(duì)流量數(shù)據(jù)進(jìn)行可視化分析，例如目的 IP 地址流量統(tǒng)計(jì)排序、目的端口流量統(tǒng)計(jì)排序等；并對(duì)對(duì)重要文件的操作及對(duì)應(yīng)的發(fā)生時(shí)間進(jìn)行審計(jì)。并且該方案能夠識(shí)別和分析服務(wù)器和客戶端的微妙變化和異常。C服務(wù)器間保持通信[]。(3)利用防火墻、服務(wù)器等系統(tǒng)漏洞繼而獲取訪問(wèn)企業(yè)網(wǎng)絡(luò)的有效憑證信息(4)很多企業(yè)和組織的網(wǎng)站在防范SQL注入攻擊方面缺乏防范。Persistent大致主要分為兩種方式:靜態(tài)檢測(cè)方式和動(dòng)態(tài)檢測(cè)方式[3]。近年來(lái)，APT高級(jí)持續(xù)性威脅便成為信息安全圈子人人皆知的時(shí)髦名詞[1]。APT攻擊時(shí)代的來(lái)臨預(yù)示著定向攻擊將成為惡意軟件發(fā)展的新趨勢(shì)[4]。應(yīng)對(duì)新的威脅，需要有新的思路。攻擊者對(duì)鎖定的目標(biāo)和資源采用針對(duì)性APT攻擊，使用技術(shù)和社會(huì)工程學(xué)手段針對(duì)性地進(jìn)行信息收集，目標(biāo)網(wǎng)絡(luò)環(huán)境探測(cè)，線上服務(wù)器分布情況，應(yīng)用程序的弱點(diǎn)分析，了解業(yè)務(wù)狀況，員工信息，收集大量關(guān)于系統(tǒng)業(yè)務(wù)流程和使用情況等關(guān)鍵信息，通過(guò)網(wǎng)絡(luò)流量、軟件版本、開(kāi)放端口、員工資料、管理策略等因素的整理和分析[7]，得出系統(tǒng)可能存在的安全弱點(diǎn)。第五階段：資料發(fā)掘。因?yàn)锳PT是在很長(zhǎng)時(shí)間內(nèi)才發(fā)生，也許一年，兩年，甚至五年，才可能發(fā)生，所以我們要在一段時(shí)間內(nèi)發(fā)現(xiàn)APT，還是很有難度的，需要對(duì)長(zhǎng)時(shí)間、全流量數(shù)據(jù)進(jìn)行深度分析，針對(duì)APT攻擊行為的檢測(cè)，需要構(gòu)建一個(gè)多維度的安全模型，還可以通過(guò)手動(dòng)檢查文件來(lái)識(shí)別一些微小的不易發(fā)現(xiàn)的標(biāo)記，并將這些標(biāo)記作為潛在惡意活動(dòng)的指示。對(duì)于員工賬號(hào)訪問(wèn)審計(jì)，并進(jìn)一步用于員工賬號(hào)訪問(wèn)異常檢測(cè)。 全流量審計(jì)組要是對(duì)全過(guò)程流量施以應(yīng)用上的識(shí)別與還原， 從而檢測(cè)出異常的可能會(huì)對(duì)系統(tǒng)造成危害的行為。最常見(jiàn)的還有遠(yuǎn)程辦公帶來(lái)的安全威脅。同時(shí)制定一些制度，規(guī)定員工發(fā)郵件時(shí)不帶鏈接、附件等。定期對(duì)服務(wù)器的賬戶、密碼進(jìn)行檢查，看看是否存在異常情況。因?yàn)?Adminstrator賬戶擁有最高的系統(tǒng)權(quán)限，一旦攻擊者獲得Adminstrator賬戶權(quán)限，就可以對(duì)系統(tǒng)進(jìn)行任何操作，后果不堪設(shè)想， 安裝必要的安全軟件 為內(nèi)網(wǎng)中的各個(gè)主機(jī)安裝必要的防黑軟件、殺毒軟件和防火墻，在一定的程度上保證計(jì)算機(jī)安全。*139。Password=39。： 匹配流圖當(dāng)攔截到Http請(qǐng)求后首先對(duì)請(qǐng)求內(nèi)容進(jìn)行URL解碼，其主要目的是防止攻擊者以URL編碼方式構(gòu)造SQL注入語(yǔ)句。為服務(wù)器部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)。輸入網(wǎng)站系統(tǒng)的描述，在這里輸入“myweb”。 建立成功界面下載一個(gè)ftp客戶端，Cute FTP ，新建一個(gè)鏈接，點(diǎn)擊鏈接后，如果連接成功，就可以實(shí)現(xiàn)文件的上傳和下載了。運(yùn)行后顯示“找不到網(wǎng)絡(luò)路徑”。使我自身的修養(yǎng)有了一定的提高。具體的防護(hù)方案在第三章中已經(jīng)做詳細(xì)的解答所以在此沒(méi)有在此提出第六章 總結(jié) 總結(jié)通過(guò)這兩個(gè)月的努力，終于完成了APT攻擊的發(fā)現(xiàn)與防護(hù)方案的設(shè)計(jì)。其中，用戶名是用administrator，密碼空。 環(huán)境設(shè)備開(kāi)發(fā)環(huán)境Visual Studio 2012數(shù)據(jù)庫(kù)SQL Server2008系統(tǒng)框架Frame 由于需要搭建到Server 2003上，需要對(duì)Server 2003做如下工作：安裝IIS， ，搭建WEB系統(tǒng)等。如果發(fā)現(xiàn)同一源IP地址短時(shí)間內(nèi)多次攻擊，過(guò)濾模塊就會(huì)將該IP地址加入黑名單，禁止其在一定時(shí)間內(nèi)訪問(wèn)，從而防止攻擊者采用窮舉法,最終攻破系統(tǒng)。139。WHEREAND（1）防范來(lái)內(nèi)網(wǎng)的主動(dòng)/被動(dòng)的社會(huì)工程學(xué)攻擊“主動(dòng)的社會(huì)工程學(xué)攻擊”指來(lái)內(nèi)網(wǎng)中不安分人員的攻擊。 漏洞的防護(hù)（1）內(nèi)部主機(jī)的設(shè)置關(guān)閉“文件和打印共享” 文件和打印共享可以實(shí)現(xiàn)內(nèi)網(wǎng)中同一網(wǎng)段中的各個(gè)成員之間的文件的傳輸，使用起來(lái)很方便，所以很多時(shí)候企業(yè)都會(huì)采用這樣的方式進(jìn)行文件的傳輸，但在不需要它的時(shí)候，文件和打印共享就成了攻擊者入侵內(nèi)部網(wǎng)絡(luò)的很好的安全漏洞。所以我們?cè)诼酚善魃习惭b了防火墻，實(shí)現(xiàn)了對(duì)服務(wù)器的安全控制和監(jiān)測(cè)。管理員權(quán)限過(guò)大，可通過(guò)在交換機(jī)鏡像或ARP欺騙的方式捕獲內(nèi)部人員的賬號(hào)和密碼，管理員可直接在服務(wù)器上讀取OA、EMail等的敏感信息。 依靠數(shù)據(jù)流量的異常檢測(cè)模塊，篩選、 刪除一些無(wú)用的數(shù)據(jù)流量，從而進(jìn)一步提高檢測(cè)的性能（3）報(bào)警將原先保存下來(lái)的與APT攻擊行為有關(guān)的數(shù)據(jù)進(jìn)行一個(gè)后續(xù)的詳細(xì)分析，制定相關(guān)的匹配規(guī)則。因此，無(wú)論隔離還是放過(guò)，都會(huì)對(duì)用戶造成困擾。攻擊者與防護(hù)者的信息不對(duì)稱， 因?yàn)锳PT攻擊具有極強(qiáng)的隱蔽性，所以要想發(fā)現(xiàn)APT攻擊如同大海撈針。APT 根據(jù)入侵之前采集的系統(tǒng)信息，將滯留過(guò)的主機(jī)進(jìn)行狀態(tài)還原，并恢復(fù)網(wǎng)絡(luò)配置參數(shù)，清除系統(tǒng)日志數(shù)據(jù)，使事后電子取證分析和責(zé)任認(rèn)定難以進(jìn)行。C傳統(tǒng)安全事故經(jīng)常是可見(jiàn)的、危害即刻發(fā)生，造成的威脅很??；可是APT攻擊則是不可見(jiàn)，危害在幕后發(fā)生，因?yàn)锳PT攻擊具有很強(qiáng)的隱蔽性，所以悄然間便可竊取被攻擊目標(biāo)的核心數(shù)據(jù)，當(dāng)一個(gè)企業(yè)或一個(gè)國(guó)家知道被攻擊成功時(shí)，則造成的危害已經(jīng)不可挽回，他的破壞力是非常強(qiáng)的，在國(guó)與國(guó)之間沒(méi)有真正較量沒(méi)有發(fā)生之前時(shí)發(fā)作，一旦發(fā)作也許會(huì)導(dǎo)致系統(tǒng)不運(yùn)行，包括金融系統(tǒng)，攻擊的目標(biāo)大多數(shù)是針對(duì)國(guó)家的要害部門，所以它的危害是非常嚴(yán)重，威脅到國(guó)家的信息安全。（2）APT攻擊將更有破壞性：在以后，APT攻擊將帶有更多的破壞性質(zhì)，無(wú)論這是它的主要目的，或是作為清理攻擊者總計(jì)的手段，都很有可能成為時(shí)間性攻擊的一部分，被運(yùn)用在明確的目標(biāo)上。目前仍有很多人對(duì)APT這個(gè)名詞感到陌生，APT到底是什么，關(guān)于APT的定義非常混亂，APT攻擊并不是具體限定于某一種唯一的方法和步驟,他攻擊的手段多種多樣，廣泛的用到了社會(huì)工程學(xué)的手段。國(guó)內(nèi)防不住，國(guó)外其實(shí)也防不住[2]。因此，我們將會(huì)看到越來(lái)越多的本地化攻擊。APT攻擊在沒(méi)有挖掘到目標(biāo)的有用信息之前，它可以悄悄潛伏在被攻擊的目標(biāo)的主機(jī)中。（Camp。為了避免受害者推斷出攻擊的來(lái)源，APT 代碼需要對(duì)其在目標(biāo)網(wǎng)絡(luò)中存留的痕跡進(jìn)行銷毀，這個(gè)過(guò)程可以稱之為 APT 的退出。 檢測(cè)的整體流程圖該方案在一定程度上可以有效檢測(cè) APT 攻擊， 對(duì)攻擊方式進(jìn)行非特征匹配。如果該文件是一個(gè)正常文件，隔離后，用戶需要額外的操作才能得到該文件；如果該文件是一個(gè)惡意文件，放過(guò)的話，就會(huì)對(duì)會(huì)對(duì)用戶的系統(tǒng)造成影響。往往這些不受重視的報(bào)警常常是攻擊者掩藏蓄謀已久的攻擊意圖的好地方（2）濃縮數(shù)據(jù)量對(duì)輸入的數(shù)據(jù)量進(jìn)行壓縮， 在全流量中的數(shù)據(jù)進(jìn)行篩選，將有用的信息刪選出來(lái)，并將與攻擊不相關(guān)聯(lián)的數(shù)據(jù)及時(shí)刪除，并保留與APT攻擊有關(guān)的數(shù)據(jù)流量， 將其有用數(shù)據(jù)弄成一個(gè)集合，壓縮對(duì)數(shù)據(jù)量，從而為檢測(cè)系統(tǒng)騰出更大的空間。主機(jī)、應(yīng)用系統(tǒng)登錄安全問(wèn)題。并對(duì)員工的主機(jī)實(shí)行mac雙向綁定，從而預(yù)防ARP攻擊 應(yīng)用程序的安全的防護(hù)WEB應(yīng)用程序是整個(gè)網(wǎng)絡(luò)中的第一道防線，同時(shí)也是整個(gè)網(wǎng)絡(luò)中最容易被攻擊者攻擊的一個(gè)環(huán)節(jié)，從而導(dǎo)致了WEB應(yīng)用程序的安全變得很重要。做出相應(yīng)的加固，加固必須要嚴(yán)格按照服務(wù)器安全配置方案，加固方案，管理方案進(jìn)行。0day漏洞很可怕，可是在網(wǎng)絡(luò)攻擊中的社會(huì)工程學(xué)同樣很可怕，社會(huì)工程學(xué)是一個(gè)很廣泛的攻擊手段，跟技術(shù)性的防范不同，它包含很多的不確定因素，所以要想防范社會(huì)工程學(xué)攻擊還是很有難度的。username39。Users=39。如果匹配失敗，則將請(qǐng)求字符串記錄入可疑攻擊代碼庫(kù)，提交網(wǎng)站管理員分析。 web的搭建搭建的web系統(tǒng)為“家庭理財(cái)管理系統(tǒng)”。 主頁(yè)界面 FTP服務(wù)器的搭建安裝ftp服務(wù)，將i386文件拷貝到服務(wù)器上或插入Windows2003安裝光盤，單擊“開(kāi)始控制面板添加或刪除程序添加/刪除Windows組件”選項(xiàng)，在“組件”列表中，雙擊“應(yīng)用程序服務(wù)器”選項(xiàng)，單擊并選中“Internet信息服務(wù)(IIS)”選項(xiàng)，然后單擊“詳細(xì)信息”按鈕，打開(kāi)“應(yīng)用程序服務(wù)器子組件”窗口。在運(yùn)行框里輸入“cmd”命令，進(jìn)入DOS界面，：net use \\\IPC$ 密碼 /user:用戶名。 表名是否存在界面猜管理員的ID號(hào)，還有密碼字段，在地址欄中輸入如下語(yǔ)句：:8080/ ?id=2 and exists(select ID form Admin)，如果顯示正常，說(shuō)明存在字段“ID”： ID是否存在界面:8080/ ?id=2 and exists (select password form Admin) 顯示正常，說(shuō)明該字段存在，： 猜關(guān)鍵字猜管理員的ID號(hào)，看看ID號(hào)為多少，在IE地址欄中輸入:8080/ ?id=2 and exists (select ID form Admin where ID=…..)，一直猜解到頁(yè)面顯示正常，此時(shí)的ID號(hào)就是正確的，ID號(hào)為1，： 猜ID接下來(lái)猜管理員的密碼長(zhǎng)度，在地址欄中輸入：:8080/ ?id=2and exists (select admin form where id=1 and length (admin)=…….. )，……直到頁(yè)面顯示正常，那么那個(gè)數(shù)值就是密碼的長(zhǎng)度，當(dāng)數(shù)值為5時(shí)，界面顯示正常，說(shuō)明該管理員的密碼長(zhǎng)度為5，所以我們可以大膽的猜管理員的密碼為admin 猜密碼長(zhǎng)度此時(shí)在登陸界面輸入用戶名為：“admin”密碼為“admin”，： 后臺(tái)界面或者猜管理員的密碼，由于英文和數(shù)字的ASCII在1到128之間，所以我們可以通過(guò)在地址欄中輸入：:8080/?id=2and exists (select password form admin where ID=1 and asc (mid (admin,1,1)