【正文】 和工作中必不可少的一部分了，很多人不懂安全的人事，很難想象一封Email中所隱藏的安全隱患，到底有多大，所以應當對郵件進行過濾。主機IP地址和MAC地的威脅，因為它們很容易被篡改，造成運行與維護上的不安全，刻錄機帶來的安全風險?；谟洃浀臋z測系統(tǒng)， 是由全流量審計與日志審計相結合形成的， 它對抗 APT 的關鍵方法就是以時間對抗時間[10]。通過對該主機流量進行特征抽取，與其正常的流量模型比較，從而得到流量異常情況的概率值?？墒前踩藛T可以快速定位攻擊源頭，并做出對應的安全防御策略，但是這些卻無法準確提取APT攻擊屬性與特征。第四階段：橫向擴展。通過對數(shù)據(jù)進行壓縮、加密的方式導致現(xiàn)有絕大部分基于特征庫匹配的檢測系統(tǒng)失效，實現(xiàn)數(shù)據(jù)的傳輸總之，高級持續(xù)性威脅(APT)正在通過一切方式，繞過基于代碼的傳統(tǒng)安全方案如防病毒軟件、防火墻、IPS等)，并更長時間的潛伏在系統(tǒng)中，讓傳統(tǒng)防御體系難以偵測[6]。APT攻擊和其他的網(wǎng)絡攻擊相比，他們有著本質的區(qū)別，病毒擁有3個基本屬性，APT攻擊在擁有那些基本屬性的同時，也擁有了屬于自己特有的屬性。根據(jù)許多APT行為特征的蠕蟲病毒分析報告來看，我國信息化建設和重要信息系統(tǒng)也可能受到來自某些國家和組織實施的前所未有的 APT 安全威脅，然而我國當前面向重要網(wǎng)絡信息系統(tǒng)的專業(yè)防護服務能力和產業(yè)化程度相對較低，尚難以有效應對高級持續(xù)性威脅攻擊，形勢相當嚴峻，另一方面，由于APT攻擊的高度復合性和復雜性，目前尚缺乏對 APT 成因和檢測的完善方法的研究。On the basis of understanding, using two Quidway S2008 types of switches and routers Quidway 2600 router models and some puter to simulate internal network and external network, and using building environment to simulate several typical APT attack, propose specific programs including the scheme sandbox detection, anomaly detection, threat detection, memory tests to detect APT attacks. These programs more effectively detect APT attacks pared with traditional protection schemes. By detecting whether the data and information contains APT features, querying flow, analysing log to find the APT attack before the APT attacks and proposed the specific prevention program for APT attack Key： APT attack , detection scheme, prevention strategies目錄摘要 IIAbstract III第一章 概述 1 目的與意義 1 1 主要設計內容 3第二章 相關的基礎知識 4 ATP的概念 4 APT攻擊的原理 4 APT的危害 5第三章 APT攻擊的發(fā)現(xiàn) 6 ATP攻擊的途徑 6 ATP攻擊的過程剖析 6 ATP的檢測 8 9 異常檢測模式 10 威脅檢測技術 11 基于記憶的檢測 13第四章 APT防護方案設計 15 網(wǎng)絡拓撲圖 15 存在的威脅 15 內網(wǎng)的安全的防護 16 應用程序的安全的防護 17 服務器安全的防護 18 漏洞的防護 18 社會工程學 20 針對SQL注入的防護 21 防護方案后的拓撲圖 23第五章 ATP攻防實驗 25 實驗平臺的搭建 25 平臺拓撲圖 25 web的搭建 25 FTP服務器的搭建 29 弱密碼攻擊 33 攻擊 33 防護 38. 測試 44 操作系統(tǒng)IPC$ 漏洞攻擊 46 攻擊 46 防護 51 測試 55 SQL注入攻擊 57第六章 總結 65 總結 65 展望 65參考文獻 67致謝 68 學習參考. . . .第一章 概述 目的與意義近年來，隨著信息技術的高速發(fā)展，信息化技術在給人們帶來種種物質和文化生活享受的同時，各種安全問題也隨之而來，諸如網(wǎng)絡的數(shù)據(jù)竊賊、黑客對主機的侵襲從而導致系統(tǒng)內部的泄密者。這些方案和傳統(tǒng)的防護方案相比更加有效地檢測 APT 網(wǎng)絡攻擊。大致主要分為兩種方式:靜態(tài)檢測方式和動態(tài)檢測方式[3]。Persistent(3)利用防火墻、服務器等系統(tǒng)漏洞繼而獲取訪問企業(yè)網(wǎng)絡的有效憑證信息(4)很多企業(yè)和組織的網(wǎng)站在防范SQL注入攻擊方面缺乏防范。C服務器間保持通信[]。并且該方案能夠識別和分析服務器和客戶端的微妙變化和異常。該方案提出了在多種查詢條件下對流量數(shù)據(jù)進行可視化分析，例如目的 IP 地址流量統(tǒng)計排序、目的端口流量統(tǒng)計排序等；并對對重要文件的操作及對應的發(fā)生時間進行審計。通過進行人工整合的工作，對不同的情況采取不同的措施。其中內網(wǎng)包括PC機和服務器，外網(wǎng)就只有PC機。（3）PC補丁管理服務器WSUS支持微軟的全部產品的更新，以及補丁程序。（2）安裝WEB應用防火墻安裝防火墻，一定程度上也可以提高WEB的安全系數(shù)。使用代理服務器后，攻擊者只能探測到道理服務器的IP地址而不是內網(wǎng)中主機的IP地址，這就實現(xiàn)了隱藏用戶IP地址的目的，從而保障了內網(wǎng)的安全。DNS服務器，可能是內部的緩存服務器,也可能是外部的DNS服務器,由于只能對內部DNS服務器監(jiān)控而無法監(jiān)控外部DNS服務器的情況，因此不能完全避免這種類型的攻擊[13]。or39。39。\s*drop\s+table\s+|_az09]+()?刪除數(shù)據(jù)’or 1=1 (’\s+)?or\s+[[。使用正則表達式來進行復雜的模式匹配，限制用戶輸入的字符的長度[21]。： 完成界面。出現(xiàn)提示時，如需要文件i386，則定位到剛才拷貝的i386文件，一直點下一步，最后點完成（1）配置ftp站點點擊“開始”—“管理工具”—“Internet： 設置步驟（4）刪除默認共享用記事本自建一個刪除所有默認共享的批處理文件，放在啟動欄里，每次啟動機器時都自動運行，以刪除所有的默認共享。 展望該防護方案針對的是APT攻擊的手段進行防護的，可是前期信息收集階段，并沒有進行相應的防護，由于APT攻擊周密完善且攻擊目標明確的信息收集，所以一旦確定攻擊目標后，就會不計成本的挖掘或者購買Odays漏洞，想辦法滲透到目標的內部,利用社會工程學的方法，成功攻擊，APT攻擊總是會尋找一種有效的途徑進入企業(yè)的內部，所以僅依靠網(wǎng)上的一些掃描工具是很難發(fā)現(xiàn)APT攻擊的，大多數(shù)情況下都是利用社會工程學的方法，這是這種方法很難方法，他的利用因素很多。不奮斗就是每天都很容易，可一年一年越來越難。 表名是否存在界面猜管理員的ID號，還有密碼字段，在地址欄中輸入如下語句：:8080/ ?id=2 and exists(select ID form Admin)，如果顯示正常，說明存在字段“ID”： ID是否存在界面:8080/ ?id=2 and exists (select password form Admin) 顯示正常，說明該字段存在，： 猜關鍵字猜管理員的ID號，看看ID號為多少，在IE地址欄中輸入:8080/ ?id=2 and exists (select ID form Admin where ID=…..)，一直猜解到頁面顯示正常，此時的ID號就是正確的，ID號為1，： 猜ID接下來猜管理員的密碼長度，在地址欄中輸入：:8080/ ?id=2and exists (select admin form where id=1 and length (admin)=…….. )，……直到頁面顯示正常，那么那個數(shù)值就是密碼的長度，當數(shù)值為5時，界面顯示正常，說明該管理員的密碼長度為5，所以我們可以大膽的猜管理員的密碼為admin 猜密碼長度此時在登陸界面輸入用戶名為：“admin”密碼為“admin”，： 后臺界面或者猜管理員的密碼，由于英文和數(shù)字的ASCII在1到128之間，所以我們可以通過在地址欄中輸入：:8080/?id=2and exists (select password form admin where ID=1 and asc (mid (admin,1,1) )=…..128，只要頁面顯示正常，則猜出來的數(shù)字和字符就是密碼中含有的，一直猜到結束，直到得到密碼為止，這種方式也可以得到用戶的密碼。在運行框里輸入“cmd”命令，進入DOS界面，：net use \\\IPC$ 密碼 /user:用戶名。 主頁界面 FTP服務器的搭建安裝ftp服務，將i386文件拷貝到服務器上或插入Windows2003安裝光盤，單擊“開始控制面板添加或刪除程序添加/刪除Windows組件”選項，在“組件”列表中，雙擊“應用程序服務器”選項，單擊并選中“Internet信息服務(IIS)”選項，然后單擊“詳細信息”按鈕，打開“應用程序服務器子組件”窗口。 web的搭建搭建的web系統(tǒng)為“家庭理財管理系統(tǒng)”。如果匹配失敗，則將請求字符串記錄入可疑攻擊代碼庫，提交網(wǎng)站管理員分析。=39。Usersusername39。0day漏洞很可怕，可是在網(wǎng)絡攻擊中的社會工程學同樣很可怕，社會工程學是一個很廣泛的攻擊手段，跟技術性的防范不同，它包含很多的不確定因素，所以要想防范社會工程學攻擊還是很有難度的。做出相應的加固，加固必須要嚴格按照服務器安全配置方案，加固方案，管理方案進行。并對員工的主機實行mac雙向綁定，從而預防ARP攻擊 應用程序的安全的防護WEB應用程序是整個網(wǎng)絡中的第一道防線，同時也是整個網(wǎng)絡中最容易被攻擊者攻擊的一個環(huán)節(jié)，從而導致了WEB應用程序的安全變得很重要。主機、應用系統(tǒng)登錄安全問題。往往這些不受重視的報警常常是攻擊者掩藏蓄謀已久的攻擊意圖的好地方（2）濃縮數(shù)據(jù)量對輸入的數(shù)據(jù)量進行壓縮， 在全流量中的數(shù)據(jù)進行篩選，將有用的信息刪選出來，并將與攻擊不相關聯(lián)的數(shù)據(jù)及時刪除，并保留與APT攻擊有關的數(shù)據(jù)流量， 將其有用數(shù)據(jù)弄成一個集合，壓縮對數(shù)據(jù)量，從而為檢測系統(tǒng)騰出更大的空間。如果該文件是一個正常文件，隔離后，用戶需要額外的操作才能得到該文件；如果該文件是一個惡意文件，放過的話，就會對會對用戶的系統(tǒng)造成影響。 檢測的整體流程圖該方案在一定程度上可以有效檢測 APT 攻擊， 對攻擊方式進行非特征匹配。為了避免受害者推斷出攻擊的來源，APT 代碼需要對其在目標網(wǎng)絡中存留的痕跡進行銷毀，這個過程可以稱之為 APT 的退出。（Camp。APT攻擊在沒有挖掘到目標的有用信息之前，它可以悄悄潛伏在被攻擊的目標的主機中。因此，我們將會看到越來越多的本地化攻擊。國內防不住，國外其實也防不住[2]。. . . . 本科畢業(yè)論文（設計） 論文（設計）題目：ATP攻擊的發(fā)現(xiàn)與防護方案設計學 院： 專 業(yè)： 班 級： 學 號： 姓 名： **年**月**日學習參考貴州大學本科畢業(yè)論文（設計）誠信責任書本人鄭重聲明：本人所呈交的畢業(yè)論文（設計），是在導師的指導下獨立進行研究所完成。從震網(wǎng)到火焰各種的攻擊，到媒體關的關注，全都認可一件事情，那就APT攻擊是防不住。在此類攻擊中，除非目標在語言設定、網(wǎng)段等條件上符合一定的標準，否則惡意軟件不會運行。 APT的危害，APT攻擊的出現(xiàn)，對全球的信息安全的防護是一個極大的挑戰(zhàn)，因為APT攻擊的目標通常