【文章內(nèi)容簡(jiǎn)介】 間[10]。APT 攻擊發(fā)生的時(shí)間很長(zhǎng)， 對(duì)APT攻擊的檢測(cè)是建立一個(gè)有效的時(shí)間窗， 所以可以對(duì)長(zhǎng)時(shí)間內(nèi)的數(shù)據(jù)流量進(jìn)行更為深入、 細(xì)致的分析。 全流量審計(jì)組要是對(duì)全過程流量施以應(yīng)用上的識(shí)別與還原， 從而檢測(cè)出異常的可能會(huì)對(duì)系統(tǒng)造成危害的行為。該記憶的檢測(cè)方案主要分成如下幾個(gè)步驟: （1）擴(kuò)大檢測(cè)范圍該方案對(duì)數(shù)據(jù)流量的檢測(cè)領(lǐng)域進(jìn)行拓展， 并將全流量數(shù)據(jù)進(jìn)行有效的存儲(chǔ)，對(duì)存儲(chǔ)的流量數(shù)據(jù)會(huì)進(jìn)行深入分析。 該方案采取擴(kuò)大檢測(cè)領(lǐng)域不但提高發(fā)現(xiàn)可疑行為的概率。還可以在發(fā)現(xiàn)異常情況后，利用原先的全流量的存儲(chǔ)， 將異常行為返回到與之相關(guān)的時(shí)間點(diǎn)。還可以為已經(jīng)發(fā)生的，但在分析時(shí)沒有受到安全管理員的重視，偶爾會(huì)出現(xiàn)可疑情況的數(shù)據(jù)流量進(jìn)行關(guān)聯(lián)性的技術(shù)分析，從而實(shí)現(xiàn)有效識(shí)別。往往這些不受重視的報(bào)警常常是攻擊者掩藏蓄謀已久的攻擊意圖的好地方（2）濃縮數(shù)據(jù)量對(duì)輸入的數(shù)據(jù)量進(jìn)行壓縮， 在全流量中的數(shù)據(jù)進(jìn)行篩選，將有用的信息刪選出來，并將與攻擊不相關(guān)聯(lián)的數(shù)據(jù)及時(shí)刪除，并保留與APT攻擊有關(guān)的數(shù)據(jù)流量， 將其有用數(shù)據(jù)弄成一個(gè)集合，壓縮對(duì)數(shù)據(jù)量，從而為檢測(cè)系統(tǒng)騰出更大的空間。 依靠數(shù)據(jù)流量的異常檢測(cè)模塊，篩選、 刪除一些無用的數(shù)據(jù)流量，從而進(jìn)一步提高檢測(cè)的性能（3）報(bào)警將原先保存下來的與APT攻擊行為有關(guān)的數(shù)據(jù)進(jìn)行一個(gè)后續(xù)的詳細(xì)分析，制定相關(guān)的匹配規(guī)則。分析人員與分析儀器相互配合， 利用多維數(shù)據(jù)進(jìn)行可視化分析， 對(duì)可疑會(huì)話做好定位， 利用細(xì)粒度解析與應(yīng)用還原數(shù)據(jù)， 有效識(shí)別出異常的行為，如果有異常，報(bào)警模塊及時(shí)做出精確報(bào)警。從而識(shí)別出攻擊者將攻擊行為包裝成成正常行為的行為。（4）模擬攻擊安全管理員將識(shí)別出的報(bào)警數(shù)據(jù)進(jìn)行關(guān)聯(lián)性分析， 明確這些報(bào)警數(shù)據(jù)與APT攻擊之間存在的語義關(guān)系，并將孤立的攻擊報(bào)警從海量的報(bào)警中提取出來，根據(jù)關(guān)聯(lián)特征組建攻擊場(chǎng)景相關(guān)的知識(shí)庫，對(duì)識(shí)別出的報(bào)警與之相匹配、對(duì)照，構(gòu)建 APT攻擊，如果構(gòu)建成功，則APT攻擊被發(fā)現(xiàn)，并將其記錄。接下來就是做出進(jìn)一步的防護(hù)第四章 APT防護(hù)方案設(shè)計(jì) 網(wǎng)絡(luò)拓?fù)鋱D： 沒加防護(hù)設(shè)備的網(wǎng)絡(luò)拓?fù)鋱D，主要?jiǎng)澐謨蓚€(gè)網(wǎng)段，，是主要的攻擊目標(biāo)。其中內(nèi)網(wǎng)包括PC機(jī)和服務(wù)器，外網(wǎng)就只有PC機(jī)。 存在的威脅（1）外網(wǎng)帶來的威脅外網(wǎng)的威脅可能有木馬、病毒、蠕蟲，他們會(huì)正常的隱藏在word，等正常的軟件中。這些威脅也許會(huì)通過U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行傳播。主機(jī)IP地址和MAC地的威脅，因?yàn)樗鼈兒苋菀妆淮鄹模斐蛇\(yùn)行與維護(hù)上的不安全，刻錄機(jī)帶來的安全風(fēng)險(xiǎn)。還有隨著手機(jī)、平板電腦的流行而帶來的移動(dòng)設(shè)備管理等問題。最常見的還有遠(yuǎn)程辦公帶來的安全威脅。（2）內(nèi)網(wǎng)帶來的威脅內(nèi)部成員之間重要文檔在傳輸過程中帶來的安全問題，當(dāng)某個(gè)不具備某文檔閱讀權(quán)限的內(nèi)部員工可能會(huì)接觸、打開、復(fù)制、打印該文檔，這樣就有可能造成文件的泄露。還有將自帶設(shè)備帶入內(nèi)部網(wǎng)絡(luò)，并自動(dòng)攻擊內(nèi)部主機(jī)、服務(wù)器，并將重要資料復(fù)制到自帶的設(shè)備中，并通過外網(wǎng)回傳到黑客指定地址。員工的U盤、移動(dòng)硬盤、光盤也有可能在外部感染木馬，從而攻擊內(nèi)網(wǎng)中的主機(jī)、服務(wù)器，然后將數(shù)據(jù)傳到外部。對(duì)服務(wù)器、應(yīng)用系統(tǒng)的資源占用、響應(yīng)無實(shí)時(shí)監(jiān)控手段。主機(jī)、應(yīng)用系統(tǒng)登錄安全問題。管理員權(quán)限過大，可通過在交換機(jī)鏡像或ARP欺騙的方式捕獲內(nèi)部人員的賬號(hào)和密碼，管理員可直接在服務(wù)器上讀取OA、EMail等的敏感信息。管理員可直接接觸到核心數(shù)據(jù)庫，容易產(chǎn)生誤操作，或惡意操作。蠕蟲、病毒，往往會(huì)掃描服務(wù)器，從而造成信息泄漏，低權(quán)限管理員有可能利用此權(quán)限，進(jìn)行越權(quán)、高危操作。 內(nèi)網(wǎng)的安全的防護(hù)（1）訪問控制配置訪問控制策略，對(duì)網(wǎng)絡(luò)進(jìn)行訪問控制，并且在內(nèi)網(wǎng)中應(yīng)該不要使用無線網(wǎng)，無線網(wǎng)絡(luò)存在諸多安全隱患，而且不方便集中管理上網(wǎng)用戶，為了避免攻擊者通過無線網(wǎng)絡(luò)滲透進(jìn)內(nèi)網(wǎng)或者機(jī)密資料被竊取，所以應(yīng)避免使用無線網(wǎng)絡(luò)。（2）架設(shè)入侵檢測(cè)系統(tǒng)利用入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)的安全情況進(jìn)行全天的監(jiān)測(cè)，網(wǎng)絡(luò)安全管理員應(yīng)該定期對(duì)網(wǎng)絡(luò)進(jìn)行模擬滲透，即使發(fā)現(xiàn)系統(tǒng)漏洞，然后針對(duì)漏洞做出相應(yīng)的加固方案。（3）PC補(bǔ)丁管理服務(wù)器WSUS支持微軟的全部產(chǎn)品的更新，以及補(bǔ)丁程序。部署WSUS服務(wù)器，幫助內(nèi)部網(wǎng)絡(luò)的用戶機(jī)及時(shí)、快速地更新/升級(jí)windows，能防止網(wǎng)內(nèi)用戶不打漏洞補(bǔ)丁的問題，提高了辦公網(wǎng)絡(luò)的PC安全系數(shù)。（4）病毒防御系統(tǒng)統(tǒng)一為網(wǎng)內(nèi)中的所有主機(jī)和服務(wù)器安裝殺毒軟件。（5）Mail安全在信息技術(shù)高度發(fā)展的今天，Email已成為我們生活和工作中必不可少的一部分了，很多人不懂安全的人事，很難想象一封Email中所隱藏的安全隱患，到底有多大，所以應(yīng)當(dāng)對(duì)郵件進(jìn)行過濾。消除郵件中的安全隱患。同時(shí)制定一些制度，規(guī)定員工發(fā)郵件時(shí)不帶鏈接、附件等。（6）日志管理對(duì)日志進(jìn)行統(tǒng)一管理，安全管理員應(yīng)該定期進(jìn)行日志分析。若發(fā)現(xiàn)異常，立即向主管領(lǐng)導(dǎo)反映，并分析被攻擊因素，及時(shí)修復(fù)漏洞，并根據(jù)異常日志，追蹤攻擊源(7）員工主機(jī)安全制定相應(yīng)的主機(jī)加固和管理方案。確保每個(gè)員工的主機(jī)都能安全地運(yùn)行（8）培養(yǎng)員工的安全意管理員應(yīng)該定期對(duì)員工進(jìn)行網(wǎng)絡(luò)安全方面知識(shí)的普及和培訓(xùn)，規(guī)范員工的上網(wǎng)，引導(dǎo)員工去安全地上網(wǎng)，從而確保內(nèi)網(wǎng)環(huán)境安全和穩(wěn)定。禁止員工使用自帶的便攜設(shè)備，如U盤，移動(dòng)硬盤，手機(jī)等，應(yīng)該使用統(tǒng)一的移動(dòng)設(shè)備，因?yàn)樽詭У谋銛y設(shè)備很有可能會(huì)把病毒帶到內(nèi)網(wǎng)中 ，在內(nèi)網(wǎng)進(jìn)行文件傳輸、共享的時(shí)候，應(yīng)該按照文件的安全等級(jí)要求，進(jìn)行加密傳輸（9）劃分VLAN為各個(gè)部門劃分VLAN，保證網(wǎng)絡(luò)能夠高效，穩(wěn)定，安全地運(yùn)行。并對(duì)員工的主機(jī)實(shí)行mac雙向綁定，從而預(yù)防ARP攻擊 應(yīng)用程序的安全的防護(hù)WEB應(yīng)用程序是整個(gè)網(wǎng)絡(luò)中的第一道防線，同時(shí)也是整個(gè)網(wǎng)絡(luò)中最容易被攻擊者攻擊的一個(gè)環(huán)節(jié)，從而導(dǎo)致了WEB應(yīng)用程序的安全變得很重要。所以我們?cè)诼酚善魃习惭b了防火墻，實(shí)現(xiàn)了對(duì)服務(wù)器的安全控制和監(jiān)測(cè)。WEB應(yīng)用程序的安全，需要注意以下幾點(diǎn)：（1）開發(fā)環(huán)節(jié)WEB應(yīng)用的開發(fā)環(huán)節(jié)直接影響WEB應(yīng)用的安全。所以在開發(fā)WEB應(yīng)用程序時(shí)，應(yīng)該要有嚴(yán)格的安全編碼規(guī)范標(biāo)準(zhǔn)，避免注入、上傳、文件包含、遠(yuǎn)程、本地代碼執(zhí)行、XSS等漏洞安全問題的產(chǎn)生。所以在應(yīng)用上線之前，要嚴(yán)格地進(jìn)行各種安全測(cè)試和加固。合理地選擇相對(duì)穩(wěn)定，安全的WEB框架，以及web服務(wù)器軟件，為選擇好WEB運(yùn)行程序制定安全的配置方案和加固方案，以及維護(hù)方案，確保系統(tǒng)能夠安全、穩(wěn)定地運(yùn)行。（2）安裝WEB應(yīng)用防火墻安裝防火墻，一定程度上也可以提高WEB的安全系數(shù)。制定一個(gè)統(tǒng)一的賬戶、密碼管理體系，對(duì)后臺(tái)的訪問做一些控制，防止惡意攻擊者進(jìn)行暴力猜解。并定期對(duì)WEB系統(tǒng)進(jìn)行漏洞掃描和弱點(diǎn)分析，同時(shí)，也要進(jìn)行人工的漏洞挖掘。從而發(fā)現(xiàn)系統(tǒng)存在和可能存在的漏洞，因?yàn)檫\(yùn)用軟件掃描有時(shí)有可能會(huì)出現(xiàn)誤差（3）流量監(jiān)測(cè)定期對(duì)網(wǎng)絡(luò)進(jìn)行流量監(jiān)測(cè)，因?yàn)橥ㄟ^檢測(cè)出進(jìn)或者出口的流量情況，有助于網(wǎng)絡(luò)安全管理員分析WEB的運(yùn)行情況，發(fā)現(xiàn)進(jìn)出口的流量是否存在異常。防止攻擊者對(duì)網(wǎng)絡(luò)實(shí)行流量攻擊 服務(wù)器安全的防護(hù)（1）賬戶、密碼管理對(duì)服務(wù)器的賬戶、密碼進(jìn)行嚴(yán)格管理，修改密碼策略，賬戶添加/刪除審批，用戶賬戶的權(quán)限管理/審批等。定期對(duì)服務(wù)器的賬戶、密碼進(jìn)行檢查，看看是否存在異常情況。（2）配置安全策略歲服務(wù)器制定相應(yīng)的安全部署策略和安全加固策略，以及訪問策略等，為服務(wù)器及時(shí)安裝漏洞補(bǔ)丁，并定期對(duì)安全策略、補(bǔ)丁等情況進(jìn)行檢查。（3）日志管理及漏洞檢查對(duì)服務(wù)器日志進(jìn)行統(tǒng)一管理，管理員需定期的歲服務(wù)器進(jìn)行日志分析。發(fā)現(xiàn)異常，應(yīng)及時(shí)的做相應(yīng)的處理，為服務(wù)器進(jìn)行定期的漏洞掃描安全人員也應(yīng)該進(jìn)行相應(yīng)的手工漏洞挖掘工作。并定期對(duì)服務(wù)器進(jìn)行評(píng)估和審計(jì)。做出相應(yīng)的加固，加固必須要嚴(yán)格按照服務(wù)器安全配置方案，加固方案，管理方案進(jìn)行。 漏洞的防護(hù)（1）內(nèi)部主機(jī)的設(shè)置關(guān)閉“文件和打印共享” 文件和打印共享可以實(shí)現(xiàn)內(nèi)網(wǎng)中同一網(wǎng)段中的各個(gè)成員之間的文件的傳輸，使用起來很方便，所以很多時(shí)候企業(yè)都會(huì)采用這樣的方式進(jìn)行文件的傳輸，但在不需要它的時(shí)候，文件和打印共享就成了攻擊者入侵內(nèi)部網(wǎng)絡(luò)的很好的安全漏洞。所以在沒有必要“文件和打印共享”的情況下，可以這個(gè)功能關(guān)閉。 禁止建立空連接 將內(nèi)網(wǎng)的所有計(jì)算機(jī)上禁止建立空連接。默認(rèn)的情況下，所有的用戶都可以通過空連接連上服務(wù)器，所以這樣就會(huì)對(duì)我們的服務(wù)器帶來很大的安全隱患，導(dǎo)致服務(wù)器上的信息泄露。 隱藏IP地址 使用代理服務(wù)器將內(nèi)網(wǎng)中的IP地址進(jìn)行隱藏，在內(nèi)網(wǎng)中的主機(jī)上和遠(yuǎn)程服務(wù)器之間架設(shè)一個(gè)“中轉(zhuǎn)站”，當(dāng)內(nèi)網(wǎng)中的主機(jī)向遠(yuǎn)程服務(wù)器提出服務(wù)后，代理服務(wù)器首先截取內(nèi)網(wǎng)主機(jī)的請(qǐng)求，然后代理服務(wù)器將服務(wù)請(qǐng)求轉(zhuǎn)交遠(yuǎn)程服務(wù)器，從而實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的主機(jī)和遠(yuǎn)程服務(wù)器之間的聯(lián)系。使用代理服務(wù)器后，攻擊者只能探測(cè)到道理服務(wù)器的IP地址而不是內(nèi)網(wǎng)中主機(jī)的IP地址，這就實(shí)現(xiàn)了隱藏用戶IP地址的目的，從而保障了內(nèi)網(wǎng)的安全。因?yàn)镮P和計(jì)算機(jī)的關(guān)系就好比身份證上的身份證號(hào)和人的關(guān)系，當(dāng)一個(gè)攻擊則通過掃描工具確定了一臺(tái)主機(jī)的IP地址后，相當(dāng)于他已經(jīng)找到了攻擊的目標(biāo)，并通過IP向目標(biāo)主機(jī)發(fā)動(dòng)各種進(jìn)攻，所以隱藏內(nèi)網(wǎng)中的IP地址至關(guān)重要。關(guān)閉不必要的端口 攻擊者在入侵時(shí)常常會(huì)對(duì)目標(biāo)主機(jī)的端口進(jìn)行掃描，安裝了端口監(jiān)視程序，當(dāng)監(jiān)視程序檢測(cè)到有人掃描是就會(huì)有警告提示。并用工具軟件關(guān)閉用不到的端口，進(jìn)一步提高系統(tǒng)的安全新。 更換管理員賬戶為Adminstrator賬戶設(shè)置一個(gè)強(qiáng)大復(fù)雜的密碼，然后重命名Adminstrator賬戶，再創(chuàng)建一個(gè)沒有管理員權(quán)限的Adminstrator賬戶漆面入侵者，以此來防止攻擊者知道管理員賬戶，從而在一定的程度上保證計(jì)算機(jī)安全。因?yàn)?Adminstrator賬戶擁有最高的系統(tǒng)權(quán)限，一旦攻擊者獲得Adminstrator賬戶權(quán)限，就可以對(duì)系統(tǒng)進(jìn)行任何操作，后果不堪設(shè)想， 安裝必要的安全軟件 為內(nèi)網(wǎng)中的各個(gè)主機(jī)安裝必要的防黑軟件、殺毒軟件和防火墻，在一定的程度上保證計(jì)算機(jī)安全。 社會(huì)工程學(xué)通過培訓(xùn)，使內(nèi)網(wǎng)的工作人員對(duì)社工有個(gè)比較全面的認(rèn)識(shí)，學(xué)會(huì)理智地分辨他們身邊存在或可能存在的“社工行為”以及“社工因素”，避免內(nèi)網(wǎng)被社工。社會(huì)工程學(xué)，在普遍的網(wǎng)絡(luò)攻擊和的APT攻擊中、扮演著非常重要的角色。社會(huì)工程學(xué)的攻擊主要是從“人”開始的。我們?cè)诰W(wǎng)絡(luò)防御中，人也是防御中的一個(gè)重要環(huán)節(jié)。0day漏洞很可怕，可是在網(wǎng)絡(luò)攻擊中的社會(huì)工程學(xué)同樣很可怕，社會(huì)工程學(xué)是一個(gè)很廣泛的攻擊手段，跟技術(shù)性的防范不同，它包含很多的不確定因素，所以要想防范社會(huì)工程學(xué)攻擊還是很有難度的。（1）防范來內(nèi)網(wǎng)的主動(dòng)/被動(dòng)的社會(huì)工程學(xué)攻擊“主動(dòng)的社會(huì)工程學(xué)攻擊”指來內(nèi)網(wǎng)中不安分人員的攻擊。而“被動(dòng)社會(huì)工程學(xué)攻擊”是指內(nèi)網(wǎng)中的人員因?yàn)樾畔⑿孤兜纫蛩?，被外網(wǎng)的攻擊者所利用而引發(fā)的攻擊。絕大部分社工攻擊是通過電子郵件或即時(shí)消息進(jìn)行的。上網(wǎng)行為管理設(shè)備應(yīng)該做到阻止內(nèi)部主機(jī)對(duì)惡意U R L的訪問。（2）防范郵件中的社會(huì)工程學(xué)攻擊許多攻擊者會(huì)采用“郵件”作為主要的攻擊手段，攻擊者通過篡改DNS服務(wù)器上的解析記錄，將對(duì)正常U RL的訪問引導(dǎo)到掛有木馬的網(wǎng)頁上。DNS服務(wù)器，可能是內(nèi)部的緩存服務(wù)器,也可能是外部的DNS服務(wù)器,由于只能對(duì)內(nèi)部DNS服務(wù)器監(jiān)控而無法監(jiān)控外部DNS服務(wù)器的情況，因此不能完全避免這種類型的攻擊[13]。所以，對(duì)這方面，應(yīng)該要特別注意。有些攻擊者可能會(huì)冒充某些正規(guī)網(wǎng)站的名義，然后編個(gè)冠冕堂皇的理由寄一封信給內(nèi)部人員，并要求輸入用戶名稱與密碼，當(dāng)內(nèi)部成員輸入后，如果按下“確定”，那時(shí)用戶名和密碼就會(huì)返回到攻擊者的郵箱。所以內(nèi)網(wǎng)人員不要隨便回陌生人的郵件。 針對(duì)SQL注入的防護(hù)（1）應(yīng)用程序設(shè)計(jì)該SQL語句ELECT*FROMUsersWHEREUsername=39。username39。ANDPassword=39。password’可能會(huì)帶來SQL注入攻擊，因?yàn)楫?dāng)我們?cè)谟脩裘兔艽a地址欄中輸入username=139。or39。139。=39。1和password=139。or39。139。=39。1，SQL語句就變成了：SELECT*FROMUsersWHEREUsername=39。139。OR39。139。=39。139。ANDPassword=39。139。OR39。139。=39。139。，該語句恒為真，所以就會(huì)登陸后臺(tái)界面，這樣就會(huì)構(gòu)成SQL注入攻擊，所以我們應(yīng)該對(duì)SQL注入的字符串進(jìn)行有效的過濾[]。攻擊語句正則表示說明。and(select count(*) from account)0。?and\(select\s+count\(\*\)\s+from\s)+[^ )]+\)\s*=?\s*\d+猜測(cè)數(shù)據(jù)庫表名Admin’:drop table accounts ([^’]*’\s*)?。\s*drop\s+table\s+|_a