【正文】 能干的人，不在情緒上計(jì)較，只在做事上認(rèn)真；無(wú)能的人！不在做事上認(rèn)真，只在情緒上計(jì)較。寧可累死在路上，也不能閑死在家里！寧可去碰壁，也不能面壁。在設(shè)計(jì)的過(guò)程中，出現(xiàn)了很多錯(cuò)誤，可是老師都會(huì)細(xì)心地為我的設(shè)計(jì)糾正錯(cuò)誤，避免我將該方案設(shè)計(jì)偏離主題，這次設(shè)計(jì)的完成，很大一部分功勞是老師的，因?yàn)樽龅倪^(guò)程中都是他一步一步的指導(dǎo)，這次設(shè)計(jì)，讓我看到了老師治學(xué)嚴(yán)謹(jǐn)和認(rèn)真負(fù)責(zé)的工作態(tài)度，這樣的態(tài)度將積極影響我今后的學(xué)習(xí)和工作。 前期做的工作主要是學(xué)習(xí)理論，后期主要是將這些理論運(yùn)用到實(shí)踐中，通過(guò)搭建APT攻擊環(huán)境，我學(xué)會(huì)了怎樣大建一個(gè)WEB服務(wù)器和FTP服務(wù)器，然后再搭建的環(huán)境中模擬APT攻擊，模擬了弱密碼攻擊，系統(tǒng)漏洞攻擊，還有SQL注入攻擊，前兩個(gè)攻擊的防護(hù)已經(jīng)通過(guò)測(cè)試，可是在SQL注入攻擊的防護(hù)測(cè)試階段，遇到了問(wèn)題，并沒(méi)有測(cè)試成功，所以理論和實(shí)踐還是有差別的，在實(shí)驗(yàn)的環(huán)節(jié)中也應(yīng)該是可以實(shí)現(xiàn)的，可是在測(cè)試時(shí)才發(fā)現(xiàn)，理論與實(shí)驗(yàn)的差距，可是基本完成通過(guò)這次設(shè)計(jì)讓我對(duì)網(wǎng)絡(luò)安全又有了一個(gè)新的認(rèn)識(shí)，平時(shí)上網(wǎng)應(yīng)養(yǎng)成一個(gè)良好的習(xí)慣 ，同時(shí)還學(xué)會(huì)了一些保護(hù)個(gè)人電腦安全的方法。具體的防護(hù)方案在第三章中已經(jīng)做詳細(xì)的解答所以在此沒(méi)有在此提出第六章 總結(jié) 總結(jié)通過(guò)這兩個(gè)月的努力，終于完成了APT攻擊的發(fā)現(xiàn)與防護(hù)方案的設(shè)計(jì)。： 鏈接信息再看看能不能再將對(duì)方的C盤映射到本地的Z盤，結(jié)果失敗，不能將對(duì)方的C盤映射到本地的Z盤。 測(cè)試運(yùn)行流光主程序，按“Ctrl+R”鍵彈出掃描框，在掃描范圍欄里輸入你要掃描的I P 地址范圍，在掃描主機(jī)類型里選擇NT/98 ，然后具體掃描，根據(jù)具掃描信息“探測(cè)所IPC$ 用戶列表”，并沒(méi)有存在空連接漏洞。： 限定權(quán)限（2）禁止管理共享打開(kāi)注冊(cè)表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 項(xiàng)：對(duì)于服務(wù)器，添加鍵 AutoShareServer，類型為REG_DWORD，值為0 ，： 設(shè)置AutoShareServer對(duì)于客戶機(jī)，添加鍵值A(chǔ)utoShareWks，類型為REG_DWORD，值為0 ，： 設(shè)置AutoShareWks（3）關(guān)閉139和445端口打開(kāi)“網(wǎng)上鄰居”—“本地連接（右擊屬性）”—“Internet協(xié)議（TCP/IP）的屬性”，進(jìn)入“高級(jí)TCP/IP設(shè)置”，在“WINS設(shè)置”里面的“禁用TCP/IP的NETBIOS”，在那里打上鉤就可以關(guān)閉139端口了，： 關(guān)閉139端口界面關(guān)閉445端口的方法：”開(kāi)始“→”控制面板“→”系統(tǒng)“→”硬件“→”設(shè)備管理器”，單擊“查看”菜單下的“顯示隱藏的設(shè)備”，雙擊“非即插即用驅(qū)動(dòng)程序”，找到并雙擊“NetBios over Tcpip”，在打開(kāi)的“NetBios over Tcpip屬性”窗口中，單擊選中“常規(guī)”標(biāo)簽下的“不要使用這個(gè)設(shè)備(停用)”，單擊“確定”按鈕后重新啟動(dòng)后即可。其中，用戶名是用administrator，密碼空。 具體設(shè)置制定虛擬目錄，在c:\hack目錄下，創(chuàng)建一個(gè)用戶名文件(),文件內(nèi)容就是administrator，： 建立的文件 ： 命令界面 結(jié)果沒(méi)有破解成功，所以防護(hù)策略是可行的。并選擇FTP的根目錄，我在此d盤下新建了一個(gè)temp目錄，用它來(lái)做ftp的根目錄。單擊“下一步”按鈕。設(shè)置訪問(wèn)權(quán)限，為WEB系統(tǒng)設(shè)置“默認(rèn)內(nèi)容文檔”。 Frame （3）發(fā)布WEB系統(tǒng)搭建好所需要的環(huán)境后，就可以進(jìn)行以發(fā)布網(wǎng)站了。安裝步驟如下：。 環(huán)境設(shè)備開(kāi)發(fā)環(huán)境Visual Studio 2012數(shù)據(jù)庫(kù)SQL Server2008系統(tǒng)框架Frame 由于需要搭建到Server 2003上，需要對(duì)Server 2003做如下工作：安裝IIS， ，搭建WEB系統(tǒng)等。在員工辦公的區(qū)域架設(shè)行為管理系統(tǒng)。不同的用戶賬戶擁有不同的權(quán)限，執(zhí)行查詢插入更新刪除等操作的用戶可以是不同的用戶，這樣可以防止原本用于執(zhí)行查詢操作的地方卻被用于執(zhí)行插入、更新或刪除等操作[8]。確保你的應(yīng)用程序要檢查以下字符：分號(hào)，等號(hào)，破折號(hào)，括號(hào)以及SQL關(guān)鍵字。如果發(fā)現(xiàn)同一源IP地址短時(shí)間內(nèi)多次攻擊，過(guò)濾模塊就會(huì)將該IP地址加入黑名單，禁止其在一定時(shí)間內(nèi)訪問(wèn)，從而防止攻擊者采用窮舉法,最終攻破系統(tǒng)。如果含有則提示登錄信息錯(cuò)誤，并將輸入的數(shù)據(jù)提交至詳細(xì)的規(guī)則檢測(cè)，又返回來(lái)處理正常請(qǐng)求，并盡可能快地將正常請(qǐng)求提交至系統(tǒng)模塊處理，避免正?？蛻魧?duì)網(wǎng)站訪問(wèn)的延遲影響。alnum。?and\(select\s+count\(\*\)\s+from\s)+[^ )]+\)\s*=?\s*\d+猜測(cè)數(shù)據(jù)庫(kù)表名Admin’:drop table accounts ([^’]*’\s*)?。139。OR139。ORWHERE1，SQL語(yǔ)句就變成了：SELECT1和password=139。139。ANDUsers所以內(nèi)網(wǎng)人員不要隨便回陌生人的郵件。（2）防范郵件中的社會(huì)工程學(xué)攻擊許多攻擊者會(huì)采用“郵件”作為主要的攻擊手段，攻擊者通過(guò)篡改DNS服務(wù)器上的解析記錄，將對(duì)正常U RL的訪問(wèn)引導(dǎo)到掛有木馬的網(wǎng)頁(yè)上。（1）防范來(lái)內(nèi)網(wǎng)的主動(dòng)/被動(dòng)的社會(huì)工程學(xué)攻擊“主動(dòng)的社會(huì)工程學(xué)攻擊”指來(lái)內(nèi)網(wǎng)中不安分人員的攻擊。社會(huì)工程學(xué)，在普遍的網(wǎng)絡(luò)攻擊和的APT攻擊中、扮演著非常重要的角色。并用工具軟件關(guān)閉用不到的端口，進(jìn)一步提高系統(tǒng)的安全新。 隱藏IP地址 使用代理服務(wù)器將內(nèi)網(wǎng)中的IP地址進(jìn)行隱藏，在內(nèi)網(wǎng)中的主機(jī)上和遠(yuǎn)程服務(wù)器之間架設(shè)一個(gè)“中轉(zhuǎn)站”，當(dāng)內(nèi)網(wǎng)中的主機(jī)向遠(yuǎn)程服務(wù)器提出服務(wù)后，代理服務(wù)器首先截取內(nèi)網(wǎng)主機(jī)的請(qǐng)求，然后代理服務(wù)器將服務(wù)請(qǐng)求轉(zhuǎn)交遠(yuǎn)程服務(wù)器，從而實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的主機(jī)和遠(yuǎn)程服務(wù)器之間的聯(lián)系。 漏洞的防護(hù)（1）內(nèi)部主機(jī)的設(shè)置關(guān)閉“文件和打印共享” 文件和打印共享可以實(shí)現(xiàn)內(nèi)網(wǎng)中同一網(wǎng)段中的各個(gè)成員之間的文件的傳輸，使用起來(lái)很方便，所以很多時(shí)候企業(yè)都會(huì)采用這樣的方式進(jìn)行文件的傳輸，但在不需要它的時(shí)候，文件和打印共享就成了攻擊者入侵內(nèi)部網(wǎng)絡(luò)的很好的安全漏洞。（3）日志管理及漏洞檢查對(duì)服務(wù)器日志進(jìn)行統(tǒng)一管理，管理員需定期的歲服務(wù)器進(jìn)行日志分析。從而發(fā)現(xiàn)系統(tǒng)存在和可能存在的漏洞，因?yàn)檫\(yùn)用軟件掃描有時(shí)有可能會(huì)出現(xiàn)誤差（3）流量監(jiān)測(cè)定期對(duì)網(wǎng)絡(luò)進(jìn)行流量監(jiān)測(cè)，因?yàn)橥ㄟ^(guò)檢測(cè)出進(jìn)或者出口的流量情況，有助于網(wǎng)絡(luò)安全管理員分析WEB的運(yùn)行情況，發(fā)現(xiàn)進(jìn)出口的流量是否存在異常。合理地選擇相對(duì)穩(wěn)定，安全的WEB框架，以及web服務(wù)器軟件，為選擇好WEB運(yùn)行程序制定安全的配置方案和加固方案，以及維護(hù)方案，確保系統(tǒng)能夠安全、穩(wěn)定地運(yùn)行。所以我們?cè)诼酚善魃习惭b了防火墻，實(shí)現(xiàn)了對(duì)服務(wù)器的安全控制和監(jiān)測(cè)。若發(fā)現(xiàn)異常，立即向主管領(lǐng)導(dǎo)反映，并分析被攻擊因素，及時(shí)修復(fù)漏洞，并根據(jù)異常日志，追蹤攻擊源(7）員工主機(jī)安全制定相應(yīng)的主機(jī)加固和管理方案。（5）Mail安全在信息技術(shù)高度發(fā)展的今天，Email已成為我們生活和工作中必不可少的一部分了，很多人不懂安全的人事，很難想象一封Email中所隱藏的安全隱患，到底有多大，所以應(yīng)當(dāng)對(duì)郵件進(jìn)行過(guò)濾。（2）架設(shè)入侵檢測(cè)系統(tǒng)利用入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)的安全情況進(jìn)行全天的監(jiān)測(cè)，網(wǎng)絡(luò)安全管理員應(yīng)該定期對(duì)網(wǎng)絡(luò)進(jìn)行模擬滲透，即使發(fā)現(xiàn)系統(tǒng)漏洞，然后針對(duì)漏洞做出相應(yīng)的加固方案。管理員權(quán)限過(guò)大，可通過(guò)在交換機(jī)鏡像或ARP欺騙的方式捕獲內(nèi)部人員的賬號(hào)和密碼，管理員可直接在服務(wù)器上讀取OA、EMail等的敏感信息。還有將自帶設(shè)備帶入內(nèi)部網(wǎng)絡(luò)，并自動(dòng)攻擊內(nèi)部主機(jī)、服務(wù)器，并將重要資料復(fù)制到自帶的設(shè)備中，并通過(guò)外網(wǎng)回傳到黑客指定地址。主機(jī)IP地址和MAC地的威脅，因?yàn)樗鼈兒苋菀妆淮鄹?，造成運(yùn)行與維護(hù)上的不安全，刻錄機(jī)帶來(lái)的安全風(fēng)險(xiǎn)。接下來(lái)就是做出進(jìn)一步的防護(hù)第四章 APT防護(hù)方案設(shè)計(jì) 網(wǎng)絡(luò)拓?fù)鋱D： 沒(méi)加防護(hù)設(shè)備的網(wǎng)絡(luò)拓?fù)鋱D，主要?jiǎng)澐謨蓚€(gè)網(wǎng)段，是主要的攻擊目標(biāo)。 依靠數(shù)據(jù)流量的異常檢測(cè)模塊，篩選、 刪除一些無(wú)用的數(shù)據(jù)流量，從而進(jìn)一步提高檢測(cè)的性能（3）報(bào)警將原先保存下來(lái)的與APT攻擊行為有關(guān)的數(shù)據(jù)進(jìn)行一個(gè)后續(xù)的詳細(xì)分析，制定相關(guān)的匹配規(guī)則。 該方案采取擴(kuò)大檢測(cè)領(lǐng)域不但提高發(fā)現(xiàn)可疑行為的概率。基于記憶的檢測(cè)系統(tǒng)， 是由全流量審計(jì)與日志審計(jì)相結(jié)合形成的， 它對(duì)抗 APT 的關(guān)鍵方法就是以時(shí)間對(duì)抗時(shí)間[10]。攔截病毒數(shù)量、本地病毒庫(kù)的更新?tīng)顟B(tài)、已發(fā)現(xiàn)的潛在威脅、 病毒來(lái)源，或已知的攻擊等都屬于。因此，無(wú)論隔離還是放過(guò)，都會(huì)對(duì)用戶造成困擾。 威脅檢測(cè)技術(shù)： 威脅檢測(cè)流程圖該方案提供了一個(gè)統(tǒng)一的接口，可以在不同位置把相關(guān)的日志信息上傳，例如已發(fā)現(xiàn)的病毒或者木馬，可疑的網(wǎng)絡(luò)訪問(wèn)行為，異常的網(wǎng)絡(luò)流量等。通過(guò)對(duì)該主機(jī)流量進(jìn)行特征抽取，與其正常的流量模型比較，從而得到流量異常情況的概率值。該模型通過(guò)匹配已知異常特征相的模式來(lái)檢測(cè)異常。攻擊者與防護(hù)者的信息不對(duì)稱， 因?yàn)锳PT攻擊具有極強(qiáng)的隱蔽性，所以要想發(fā)現(xiàn)APT攻擊如同大海撈針?？墒侵灰覀兞粜挠^察，是可以識(shí)別文件名的細(xì)微區(qū)別的，例如使用大寫I代替小寫L?？墒前踩藛T可以快速定位攻擊源頭，并做出對(duì)應(yīng)的安全防御策略，但是這些卻無(wú)法準(zhǔn)確提取APT攻擊屬性與特征。對(duì)于傳統(tǒng)的攻擊行為，安全專家僅需關(guān)注惡意程序的樣本提取并做分析，便可以掌握攻擊者的動(dòng)機(jī)及傳播渠道，可是對(duì)于APT攻擊以點(diǎn)概面的安全檢測(cè)手段已顯得不合時(shí)宜，所以要想在APT攻擊還沒(méi)發(fā)生之前，事先檢測(cè)到APT攻擊是很困難的，面對(duì)APT攻擊威脅，我們應(yīng)當(dāng)有一套更完善更主動(dòng)更智能的安全防御方案，必須承認(rèn)APT攻擊的發(fā)起者有著超群的智慧和豐富的經(jīng)驗(yàn)，因此檢測(cè)APT攻擊就必須密切關(guān)注攻擊者所釋放的惡意代碼的每一個(gè)細(xì)節(jié)。APT 根據(jù)入侵之前采集的系統(tǒng)信息，將滯留過(guò)的主機(jī)進(jìn)行狀態(tài)還原，并恢復(fù)網(wǎng)絡(luò)配置參數(shù)，清除系統(tǒng)日志數(shù)據(jù)，使事后電子取證分析和責(zé)任認(rèn)定難以進(jìn)行。這是APT長(zhǎng)期潛伏不容易被發(fā)現(xiàn)的特點(diǎn)，來(lái)挖掘出最多的資料，而且在這個(gè)過(guò)程當(dāng)中，通常不會(huì)是重復(fù)自動(dòng)化的過(guò)程，而是會(huì)有人工的介入對(duì)數(shù)據(jù)作分析，以做最大化利用。第四階段：橫向擴(kuò)展。C服務(wù)器通信，并確認(rèn)入侵成功的計(jì)算機(jī)和Camp。C第二階段：進(jìn)入點(diǎn)。通過(guò)對(duì)數(shù)據(jù)進(jìn)行壓縮、加密的方式導(dǎo)致現(xiàn)有絕大部分基于特征庫(kù)匹配的檢測(cè)系統(tǒng)失效，實(shí)現(xiàn)數(shù)據(jù)的傳輸總之，高級(jí)持續(xù)性威脅(APT)正在通過(guò)一切方式，繞過(guò)基于代碼的傳統(tǒng)安全方案如防病毒軟件、防火墻、IPS等)，并更長(zhǎng)時(shí)間的潛伏在系統(tǒng)中，讓傳統(tǒng)防御體系難以偵測(cè)[6]。黑客一開(kāi)始，就是針對(duì)某些特定員工發(fā)送的釣魚郵件，以此作為使用APT手法進(jìn)行攻擊的所有源頭。傳統(tǒng)安全事故經(jīng)常是可見(jiàn)的、危害即刻發(fā)生，造成的威脅很小；可是APT攻擊則是不可見(jiàn)，危害在幕后發(fā)生，因?yàn)锳PT攻擊具有很強(qiáng)的隱蔽性，所以悄然間便可竊取被攻擊目標(biāo)的核心數(shù)據(jù)，當(dāng)一個(gè)企業(yè)或一個(gè)國(guó)家知道被攻擊成功時(shí)，則造成的危害已經(jīng)不可挽回，他的破壞力是非常強(qiáng)的，在國(guó)與國(guó)之間沒(méi)有真正較量沒(méi)有發(fā)生之前時(shí)發(fā)作，一旦發(fā)作也許會(huì)導(dǎo)致系統(tǒng)不運(yùn)行，包括金融系統(tǒng)，攻擊的目標(biāo)大多數(shù)是針對(duì)國(guó)家的要害部門，所以它的危害是非常嚴(yán)重，威脅到國(guó)家的信息安全。因?yàn)閱我坏墓羰侄稳菀妆话l(fā)現(xiàn)，很難達(dá)到APT攻擊所想要的結(jié)果，所以通常會(huì)使用自己設(shè)計(jì)、具有極強(qiáng)針對(duì)性和破壞性的惡意程序[5]，主動(dòng)挖掘被攻擊對(duì)象受信系統(tǒng)和應(yīng)用程序的漏洞，對(duì)目標(biāo)系統(tǒng)實(shí)施毀滅性的打擊,APT攻擊的方式可以根據(jù)實(shí)際情況進(jìn)行動(dòng)態(tài)的調(diào)整，從整體上掌控攻擊進(jìn)程，APT攻擊還具備快速編寫所需滲透代碼的能力。APT攻擊和其他的網(wǎng)絡(luò)攻擊相比，他們有著本質(zhì)的區(qū)別，病毒擁有3個(gè)基本屬性，APT攻擊在擁有那些基本屬性的同時(shí)，也擁有了屬于自己特有的屬性。 主要設(shè)計(jì)內(nèi)容運(yùn)用已學(xué)過(guò)的信息安全原理與技術(shù)、現(xiàn)代密碼學(xué)、計(jì)算機(jī)網(wǎng)絡(luò)和網(wǎng)絡(luò)攻防等專業(yè)知識(shí)，對(duì)高級(jí)持續(xù)性威脅(Advanced（2）APT攻擊將更有破壞性：在以后，APT攻擊將帶有更多的破壞性質(zhì)，無(wú)論這是它的主要目的，或是作為清理攻擊者總計(jì)的手段，都很有可能成為時(shí)間性攻擊的一部分，被運(yùn)用在明確的目標(biāo)上。以后，這類攻擊將會(huì)具備更大的破壞能力，使得我們更難進(jìn)行屬性分析。根據(jù)許多APT行為特征的蠕蟲病毒分析報(bào)告來(lái)看，我國(guó)信息化建設(shè)和重要信息系統(tǒng)也可能受到來(lái)自某些國(guó)家和組織實(shí)施的前所未有的 APT 安全威脅，然而我國(guó)當(dāng)前面向重要網(wǎng)絡(luò)信息系統(tǒng)的專業(yè)防護(hù)服務(wù)能力和產(chǎn)業(yè)化程度相對(duì)較低，尚難以有效應(yīng)對(duì)高級(jí)持續(xù)性威脅攻擊，形勢(shì)相當(dāng)嚴(yán)峻，另一方面，由于APT攻擊的高度復(fù)合性和復(fù)雜性，目前尚缺乏對(duì) APT 成因和檢測(cè)的完善方法的研究。外對(duì)APT攻擊的檢測(cè)主要還都處于探索狀態(tài)。目前仍有很多人對(duì)APT這個(gè)名詞感到陌生，APT到底是什么，關(guān)于APT的定義非?；靵y，APT攻擊并不是具體限定于某一種唯一的方法和步驟,他攻擊的手段多種多樣，廣泛的用到了社會(huì)工程學(xué)的手段。所以要設(shè)計(jì)一套能有效防護(hù)APT攻擊的方案顯得及其重要。On the basis of und