【正文】 展望該防護方案針對的是APT攻擊的手段進行防護的，可是前期信息收集階段，并沒有進行相應(yīng)的防護，由于APT攻擊周密完善且攻擊目標(biāo)明確的信息收集，所以一旦確定攻擊目標(biāo)后，就會不計成本的挖掘或者購買Odays漏洞，想辦法滲透到目標(biāo)的內(nèi)部,利用社會工程學(xué)的方法，成功攻擊，APT攻擊總是會尋找一種有效的途徑進入企業(yè)的內(nèi)部，所以僅依靠網(wǎng)上的一些掃描工具是很難發(fā)現(xiàn)APT攻擊的，大多數(shù)情況下都是利用社會工程學(xué)的方法，這是這種方法很難方法，他的利用因素很多。： 設(shè)置步驟（4）刪除默認(rèn)共享用記事本自建一個刪除所有默認(rèn)共享的批處理文件，放在啟動欄里，每次啟動機器時都自動運行，以刪除所有的默認(rèn)共享。出現(xiàn)提示時，如需要文件i386，則定位到剛才拷貝的i386文件，一直點下一步，最后點完成（1）配置ftp站點點擊“開始”—“管理工具”—“Internet： 完成界面。使用正則表達式來進行復(fù)雜的模式匹配，限制用戶輸入的字符的長度[21]。\s*drop\s+table\s+|_az09]+()?刪除數(shù)據(jù)’or 1=1 (’\s+)?or\s+[[。39。or39。DNS服務(wù)器，可能是內(nèi)部的緩存服務(wù)器,也可能是外部的DNS服務(wù)器,由于只能對內(nèi)部DNS服務(wù)器監(jiān)控而無法監(jiān)控外部DNS服務(wù)器的情況，因此不能完全避免這種類型的攻擊[13]。使用代理服務(wù)器后，攻擊者只能探測到道理服務(wù)器的IP地址而不是內(nèi)網(wǎng)中主機的IP地址，這就實現(xiàn)了隱藏用戶IP地址的目的，從而保障了內(nèi)網(wǎng)的安全。（2）安裝WEB應(yīng)用防火墻安裝防火墻，一定程度上也可以提高WEB的安全系數(shù)。（3）PC補丁管理服務(wù)器WSUS支持微軟的全部產(chǎn)品的更新，以及補丁程序。其中內(nèi)網(wǎng)包括PC機和服務(wù)器，外網(wǎng)就只有PC機。通過進行人工整合的工作，對不同的情況采取不同的措施。該方案提出了在多種查詢條件下對流量數(shù)據(jù)進行可視化分析，例如目的 IP 地址流量統(tǒng)計排序、目的端口流量統(tǒng)計排序等；并對對重要文件的操作及對應(yīng)的發(fā)生時間進行審計。并且該方案能夠識別和分析服務(wù)器和客戶端的微妙變化和異常。C服務(wù)器間保持通信[]。(3)利用防火墻、服務(wù)器等系統(tǒng)漏洞繼而獲取訪問企業(yè)網(wǎng)絡(luò)的有效憑證信息(4)很多企業(yè)和組織的網(wǎng)站在防范SQL注入攻擊方面缺乏防范。Persistent大致主要分為兩種方式:靜態(tài)檢測方式和動態(tài)檢測方式[3]。近年來，APT高級持續(xù)性威脅便成為信息安全圈子人人皆知的時髦名詞[1]。APT攻擊時代的來臨預(yù)示著定向攻擊將成為惡意軟件發(fā)展的新趨勢[4]。應(yīng)對新的威脅，需要有新的思路。攻擊者對鎖定的目標(biāo)和資源采用針對性APT攻擊，使用技術(shù)和社會工程學(xué)手段針對性地進行信息收集，目標(biāo)網(wǎng)絡(luò)環(huán)境探測，線上服務(wù)器分布情況，應(yīng)用程序的弱點分析，了解業(yè)務(wù)狀況，員工信息，收集大量關(guān)于系統(tǒng)業(yè)務(wù)流程和使用情況等關(guān)鍵信息，通過網(wǎng)絡(luò)流量、軟件版本、開放端口、員工資料、管理策略等因素的整理和分析[7]，得出系統(tǒng)可能存在的安全弱點。第五階段：資料發(fā)掘。因為APT是在很長時間內(nèi)才發(fā)生，也許一年，兩年，甚至五年，才可能發(fā)生，所以我們要在一段時間內(nèi)發(fā)現(xiàn)APT，還是很有難度的，需要對長時間、全流量數(shù)據(jù)進行深度分析，針對APT攻擊行為的檢測，需要構(gòu)建一個多維度的安全模型，還可以通過手動檢查文件來識別一些微小的不易發(fā)現(xiàn)的標(biāo)記，并將這些標(biāo)記作為潛在惡意活動的指示。對于員工賬號訪問審計，并進一步用于員工賬號訪問異常檢測。 全流量審計組要是對全過程流量施以應(yīng)用上的識別與還原， 從而檢測出異常的可能會對系統(tǒng)造成危害的行為。最常見的還有遠(yuǎn)程辦公帶來的安全威脅。同時制定一些制度，規(guī)定員工發(fā)郵件時不帶鏈接、附件等。定期對服務(wù)器的賬戶、密碼進行檢查，看看是否存在異常情況。因為 Adminstrator賬戶擁有最高的系統(tǒng)權(quán)限，一旦攻擊者獲得Adminstrator賬戶權(quán)限，就可以對系統(tǒng)進行任何操作，后果不堪設(shè)想， 安裝必要的安全軟件 為內(nèi)網(wǎng)中的各個主機安裝必要的防黑軟件、殺毒軟件和防火墻，在一定的程度上保證計算機安全。*139。Password=39。： 匹配流圖當(dāng)攔截到Http請求后首先對請求內(nèi)容進行URL解碼，其主要目的是防止攻擊者以URL編碼方式構(gòu)造SQL注入語句。為服務(wù)器部署數(shù)據(jù)庫審計系統(tǒng)。輸入網(wǎng)站系統(tǒng)的描述，在這里輸入“myweb”。 建立成功界面下載一個ftp客戶端，Cute FTP ，新建一個鏈接，點擊鏈接后，如果連接成功，就可以實現(xiàn)文件的上傳和下載了。運行后顯示“找不到網(wǎng)絡(luò)路徑”。使我自身的修養(yǎng)有了一定的提高。具體的防護方案在第三章中已經(jīng)做詳細(xì)的解答所以在此沒有在此提出第六章 總結(jié) 總結(jié)通過這兩個月的努力，終于完成了APT攻擊的發(fā)現(xiàn)與防護方案的設(shè)計。其中，用戶名是用administrator，密碼空。 環(huán)境設(shè)備開發(fā)環(huán)境Visual Studio 2012數(shù)據(jù)庫SQL Server2008系統(tǒng)框架Frame 由于需要搭建到Server 2003上，需要對Server 2003做如下工作：安裝IIS， ，搭建WEB系統(tǒng)等。如果發(fā)現(xiàn)同一源IP地址短時間內(nèi)多次攻擊，過濾模塊就會將該IP地址加入黑名單，禁止其在一定時間內(nèi)訪問，從而防止攻擊者采用窮舉法,最終攻破系統(tǒng)。139。WHEREAND（1）防范來內(nèi)網(wǎng)的主動/被動的社會工程學(xué)攻擊“主動的社會工程學(xué)攻擊”指來內(nèi)網(wǎng)中不安分人員的攻擊。 漏洞的防護（1）內(nèi)部主機的設(shè)置關(guān)閉“文件和打印共享” 文件和打印共享可以實現(xiàn)內(nèi)網(wǎng)中同一網(wǎng)段中的各個成員之間的文件的傳輸，使用起來很方便，所以很多時候企業(yè)都會采用這樣的方式進行文件的傳輸，但在不需要它的時候，文件和打印共享就成了攻擊者入侵內(nèi)部網(wǎng)絡(luò)的很好的安全漏洞。所以我們在路由器上安裝了防火墻，實現(xiàn)了對服務(wù)器的安全控制和監(jiān)測。管理員權(quán)限過大，可通過在交換機鏡像或ARP欺騙的方式捕獲內(nèi)部人員的賬號和密碼，管理員可直接在服務(wù)器上讀取OA、EMail等的敏感信息。 依靠數(shù)據(jù)流量的異常檢測模塊，篩選、 刪除一些無用的數(shù)據(jù)流量，從而進一步提高檢測的性能（3）報警將原先保存下來的與APT攻擊行為有關(guān)的數(shù)據(jù)進行一個后續(xù)的詳細(xì)分析，制定相關(guān)的匹配規(guī)則。因此，無論隔離還是放過，都會對用戶造成困擾。攻擊者與防護者的信息不對稱， 因為APT攻擊具有極強的隱蔽性，所以要想發(fā)現(xiàn)APT攻擊如同大海撈針。APT 根據(jù)入侵之前采集的系統(tǒng)信息，將滯留過的主機進行狀態(tài)還原，并恢復(fù)網(wǎng)絡(luò)配置參數(shù)，清除系統(tǒng)日志數(shù)據(jù)，使事后電子取證分析和責(zé)任認(rèn)定難以進行。C傳統(tǒng)安全事故經(jīng)常是可見的、危害即刻發(fā)生，造成的威脅很小；可是APT攻擊則是不可見，危害在幕后發(fā)生，因為APT攻擊具有很強的隱蔽性，所以悄然間便可竊取被攻擊目標(biāo)的核心數(shù)據(jù)，當(dāng)一個企業(yè)或一個國家知道被攻擊成功時，則造成的危害已經(jīng)不可挽回，他的破壞力是非常強的，在國與國之間沒有真正較量沒有發(fā)生之前時發(fā)作，一旦發(fā)作也許會導(dǎo)致系統(tǒng)不運行，包括金融系統(tǒng)，攻擊的目標(biāo)大多數(shù)是針對國家的要害部門，所以它的危害是非常嚴(yán)重，威脅到國家的信息安全。（2）APT攻擊將更有破壞性：在以后，APT攻擊將帶有更多的破壞性質(zhì)，無論這是它的主要目的，或是作為清理攻擊者總計的手段，都很有可能成為時間性攻擊的一部分，被運用在明確的目標(biāo)上。目前仍有很多人對APT這個名詞感到陌生，APT到底是什么，關(guān)于APT的定義非常混亂，APT攻擊并不是具體限定于某一種唯一的方法和步驟,他攻擊的手段多種多樣，廣泛的用到了社會工程學(xué)的手段。國內(nèi)防不住，國外其實也防不住[2]。因此，我們將會看到越來越多的本地化攻擊。APT攻擊在沒有挖掘到目標(biāo)的有用信息之前，它可以悄悄潛伏在被攻擊的目標(biāo)的主機中。（Camp。為了避免受害者推斷出攻擊的來源，APT 代碼需要對其在目標(biāo)網(wǎng)絡(luò)中存留的痕跡進行銷毀，這個過程可以稱之為 APT 的退出。 檢測的整體流程圖該方案在一定程度上可以有效檢測 APT 攻擊， 對攻擊方式進行非特征匹配。如果該文件是一個正常文件，隔離后，用戶需要額外的操作才能得到該文件；如果該文件是一個惡意文件，放過的話，就會對會對用戶的系統(tǒng)造成影響。往往這些不受重視的報警常常是攻擊者掩藏蓄謀已久的攻擊意圖的好地方（2）濃縮數(shù)據(jù)量對輸入的數(shù)據(jù)量進行壓縮， 在全流量中的數(shù)據(jù)進行篩選，將有用的信息刪選出來，并將與攻擊不相關(guān)聯(lián)的數(shù)據(jù)及時刪除，并保留與APT攻擊有關(guān)的數(shù)據(jù)流量， 將其有用數(shù)據(jù)弄成一個集合，壓縮對數(shù)據(jù)量，從而為檢測系統(tǒng)騰出更大的空間。主機、應(yīng)用系統(tǒng)登錄安全問題。并對員工的主機實行mac雙向綁定，從而預(yù)防ARP攻擊 應(yīng)用程序的安全的防護WEB應(yīng)用程序是整個網(wǎng)絡(luò)中的第一道防線，同時也是整個網(wǎng)絡(luò)中最容易被攻擊者攻擊的一個環(huán)節(jié)，從而導(dǎo)致了WEB應(yīng)用程序的安全變得很重要。做出相應(yīng)的加固，加固必須要嚴(yán)格按照服務(wù)器安全配置方案，加固方案，管理方案進行。0day漏洞很可怕，可是在網(wǎng)絡(luò)攻擊中的社會工程學(xué)同樣很可怕，社會工程學(xué)是一個很廣泛的攻擊手段，跟技術(shù)性的防范不同，它包含很多的不確定因素，所以要想防范社會工程學(xué)攻擊還是很有難度的。username39。Users=39。如果匹配失敗，則將請求字符串記錄入可疑攻擊代碼庫，提交網(wǎng)站管理員分析。 web的搭建搭建的web系統(tǒng)為“家庭理財管理系統(tǒng)”。 主頁界面 FTP服務(wù)器的搭建安裝ftp服務(wù)，將i386文件拷貝到服務(wù)器上或插入Windows2003安裝光盤，單擊“開始控制面板添加或刪除程序添加/刪除Windows組件”選項，在“組件”列表中，雙擊“應(yīng)用程序服務(wù)器”選項，單擊并選中“Internet信息服務(wù)(IIS)”選項，然后單擊“詳細(xì)信息”按鈕，打開“應(yīng)用程序服務(wù)器子組件”窗口。在運行框里輸入“cmd”命令，進入DOS界面，：net use \\\IPC$ 密碼 /user:用戶名。 表名是否存在界面猜管理員的ID號，還有密碼字段，在地址欄中輸入如下語句：:8080/ ?id=2 and exists(select ID form Admin)，如果顯示正常，說明存在字段“ID”： ID是否存在界面:8080/ ?id=2 and exists (select password form Admin) 顯示正常，說明該字段存在，： 猜關(guān)鍵字猜管理員的ID號，看看ID號為多少，在IE地址欄中輸入:8080/ ?id=2 and exists (select ID form Admin where ID=…..)，一直猜解到頁面顯示正常，此時的ID號就是正確的，ID號為1，： 猜ID接下來猜管理員的密碼長度，在地址欄中輸入：:8080/ ?id=2and exists (select admin form where id=1 and length (admin)=…….. )，……直到頁面顯示正常，那么那個數(shù)值就是密碼的長度，當(dāng)數(shù)值為5時，界面顯示正常，說明該管理員的密碼長度為5，所以我們可以大膽的猜管理員的密碼為admin 猜密碼長度此時在登陸界面輸入用戶名為：“admin”密碼為“admin”，： 后臺界面或者猜管理員的密碼，由于英文和數(shù)字的ASCII在1到128之間，所以我們可以通過在地址欄中輸入：:8080/?id=2and exists (select password form admin where ID=1 and asc (mid (admin,1,1)