【正文】 能干的人，不在情緒上計較，只在做事上認真；無能的人！不在做事上認真，只在情緒上計較。寧可累死在路上，也不能閑死在家里！寧可去碰壁，也不能面壁。在設(shè)計的過程中，出現(xiàn)了很多錯誤，可是老師都會細心地為我的設(shè)計糾正錯誤，避免我將該方案設(shè)計偏離主題，這次設(shè)計的完成，很大一部分功勞是老師的，因為做的過程中都是他一步一步的指導，這次設(shè)計，讓我看到了老師治學嚴謹和認真負責的工作態(tài)度，這樣的態(tài)度將積極影響我今后的學習和工作。 前期做的工作主要是學習理論，后期主要是將這些理論運用到實踐中，通過搭建APT攻擊環(huán)境，我學會了怎樣大建一個WEB服務(wù)器和FTP服務(wù)器，然后再搭建的環(huán)境中模擬APT攻擊，模擬了弱密碼攻擊，系統(tǒng)漏洞攻擊，還有SQL注入攻擊，前兩個攻擊的防護已經(jīng)通過測試，可是在SQL注入攻擊的防護測試階段，遇到了問題，并沒有測試成功，所以理論和實踐還是有差別的，在實驗的環(huán)節(jié)中也應(yīng)該是可以實現(xiàn)的，可是在測試時才發(fā)現(xiàn)，理論與實驗的差距，可是基本完成通過這次設(shè)計讓我對網(wǎng)絡(luò)安全又有了一個新的認識，平時上網(wǎng)應(yīng)養(yǎng)成一個良好的習慣 ，同時還學會了一些保護個人電腦安全的方法。具體的防護方案在第三章中已經(jīng)做詳細的解答所以在此沒有在此提出第六章 總結(jié) 總結(jié)通過這兩個月的努力，終于完成了APT攻擊的發(fā)現(xiàn)與防護方案的設(shè)計。： 鏈接信息再看看能不能再將對方的C盤映射到本地的Z盤，結(jié)果失敗，不能將對方的C盤映射到本地的Z盤。 測試運行流光主程序，按“Ctrl+R”鍵彈出掃描框，在掃描范圍欄里輸入你要掃描的I P 地址范圍，在掃描主機類型里選擇NT/98 ，然后具體掃描，根據(jù)具掃描信息“探測所IPC$ 用戶列表”，并沒有存在空連接漏洞。： 限定權(quán)限（2）禁止管理共享打開注冊表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 項：對于服務(wù)器，添加鍵 AutoShareServer，類型為REG_DWORD，值為0 ，： 設(shè)置AutoShareServer對于客戶機，添加鍵值A(chǔ)utoShareWks，類型為REG_DWORD，值為0 ，： 設(shè)置AutoShareWks（3）關(guān)閉139和445端口打開“網(wǎng)上鄰居”—“本地連接（右擊屬性）”—“Internet協(xié)議（TCP/IP）的屬性”，進入“高級TCP/IP設(shè)置”，在“WINS設(shè)置”里面的“禁用TCP/IP的NETBIOS”，在那里打上鉤就可以關(guān)閉139端口了，： 關(guān)閉139端口界面關(guān)閉445端口的方法：”開始“→”控制面板“→”系統(tǒng)“→”硬件“→”設(shè)備管理器”，單擊“查看”菜單下的“顯示隱藏的設(shè)備”，雙擊“非即插即用驅(qū)動程序”，找到并雙擊“NetBios over Tcpip”，在打開的“NetBios over Tcpip屬性”窗口中，單擊選中“常規(guī)”標簽下的“不要使用這個設(shè)備(停用)”，單擊“確定”按鈕后重新啟動后即可。其中，用戶名是用administrator，密碼空。 具體設(shè)置制定虛擬目錄，在c:\hack目錄下，創(chuàng)建一個用戶名文件(),文件內(nèi)容就是administrator，： 建立的文件 ： 命令界面 結(jié)果沒有破解成功，所以防護策略是可行的。并選擇FTP的根目錄，我在此d盤下新建了一個temp目錄，用它來做ftp的根目錄。單擊“下一步”按鈕。設(shè)置訪問權(quán)限，為WEB系統(tǒng)設(shè)置“默認內(nèi)容文檔”。 Frame （3）發(fā)布WEB系統(tǒng)搭建好所需要的環(huán)境后，就可以進行以發(fā)布網(wǎng)站了。安裝步驟如下：。 環(huán)境設(shè)備開發(fā)環(huán)境Visual Studio 2012數(shù)據(jù)庫SQL Server2008系統(tǒng)框架Frame 由于需要搭建到Server 2003上，需要對Server 2003做如下工作：安裝IIS， ，搭建WEB系統(tǒng)等。在員工辦公的區(qū)域架設(shè)行為管理系統(tǒng)。不同的用戶賬戶擁有不同的權(quán)限，執(zhí)行查詢插入更新刪除等操作的用戶可以是不同的用戶，這樣可以防止原本用于執(zhí)行查詢操作的地方卻被用于執(zhí)行插入、更新或刪除等操作[8]。確保你的應(yīng)用程序要檢查以下字符：分號，等號，破折號，括號以及SQL關(guān)鍵字。如果發(fā)現(xiàn)同一源IP地址短時間內(nèi)多次攻擊，過濾模塊就會將該IP地址加入黑名單，禁止其在一定時間內(nèi)訪問，從而防止攻擊者采用窮舉法,最終攻破系統(tǒng)。如果含有則提示登錄信息錯誤，并將輸入的數(shù)據(jù)提交至詳細的規(guī)則檢測，又返回來處理正常請求，并盡可能快地將正常請求提交至系統(tǒng)模塊處理，避免正?？蛻魧W(wǎng)站訪問的延遲影響。alnum。?and\(select\s+count\(\*\)\s+from\s)+[^ )]+\)\s*=?\s*\d+猜測數(shù)據(jù)庫表名Admin’:drop table accounts ([^’]*’\s*)?。139。OR139。ORWHERE1，SQL語句就變成了：SELECT1和password=139。139。ANDUsers所以內(nèi)網(wǎng)人員不要隨便回陌生人的郵件。（2）防范郵件中的社會工程學攻擊許多攻擊者會采用“郵件”作為主要的攻擊手段，攻擊者通過篡改DNS服務(wù)器上的解析記錄，將對正常U RL的訪問引導到掛有木馬的網(wǎng)頁上。（1）防范來內(nèi)網(wǎng)的主動/被動的社會工程學攻擊“主動的社會工程學攻擊”指來內(nèi)網(wǎng)中不安分人員的攻擊。社會工程學，在普遍的網(wǎng)絡(luò)攻擊和的APT攻擊中、扮演著非常重要的角色。并用工具軟件關(guān)閉用不到的端口，進一步提高系統(tǒng)的安全新。 隱藏IP地址 使用代理服務(wù)器將內(nèi)網(wǎng)中的IP地址進行隱藏，在內(nèi)網(wǎng)中的主機上和遠程服務(wù)器之間架設(shè)一個“中轉(zhuǎn)站”，當內(nèi)網(wǎng)中的主機向遠程服務(wù)器提出服務(wù)后，代理服務(wù)器首先截取內(nèi)網(wǎng)主機的請求，然后代理服務(wù)器將服務(wù)請求轉(zhuǎn)交遠程服務(wù)器，從而實現(xiàn)內(nèi)部網(wǎng)絡(luò)中的主機和遠程服務(wù)器之間的聯(lián)系。 漏洞的防護（1）內(nèi)部主機的設(shè)置關(guān)閉“文件和打印共享” 文件和打印共享可以實現(xiàn)內(nèi)網(wǎng)中同一網(wǎng)段中的各個成員之間的文件的傳輸，使用起來很方便，所以很多時候企業(yè)都會采用這樣的方式進行文件的傳輸，但在不需要它的時候，文件和打印共享就成了攻擊者入侵內(nèi)部網(wǎng)絡(luò)的很好的安全漏洞。（3）日志管理及漏洞檢查對服務(wù)器日志進行統(tǒng)一管理，管理員需定期的歲服務(wù)器進行日志分析。從而發(fā)現(xiàn)系統(tǒng)存在和可能存在的漏洞，因為運用軟件掃描有時有可能會出現(xiàn)誤差（3）流量監(jiān)測定期對網(wǎng)絡(luò)進行流量監(jiān)測，因為通過檢測出進或者出口的流量情況，有助于網(wǎng)絡(luò)安全管理員分析WEB的運行情況，發(fā)現(xiàn)進出口的流量是否存在異常。合理地選擇相對穩(wěn)定，安全的WEB框架，以及web服務(wù)器軟件，為選擇好WEB運行程序制定安全的配置方案和加固方案，以及維護方案，確保系統(tǒng)能夠安全、穩(wěn)定地運行。所以我們在路由器上安裝了防火墻，實現(xiàn)了對服務(wù)器的安全控制和監(jiān)測。若發(fā)現(xiàn)異常，立即向主管領(lǐng)導反映，并分析被攻擊因素，及時修復漏洞，并根據(jù)異常日志，追蹤攻擊源(7）員工主機安全制定相應(yīng)的主機加固和管理方案。（5）Mail安全在信息技術(shù)高度發(fā)展的今天，Email已成為我們生活和工作中必不可少的一部分了，很多人不懂安全的人事，很難想象一封Email中所隱藏的安全隱患，到底有多大，所以應(yīng)當對郵件進行過濾。（2）架設(shè)入侵檢測系統(tǒng)利用入侵檢測系統(tǒng)對網(wǎng)絡(luò)的安全情況進行全天的監(jiān)測，網(wǎng)絡(luò)安全管理員應(yīng)該定期對網(wǎng)絡(luò)進行模擬滲透，即使發(fā)現(xiàn)系統(tǒng)漏洞，然后針對漏洞做出相應(yīng)的加固方案。管理員權(quán)限過大，可通過在交換機鏡像或ARP欺騙的方式捕獲內(nèi)部人員的賬號和密碼，管理員可直接在服務(wù)器上讀取OA、EMail等的敏感信息。還有將自帶設(shè)備帶入內(nèi)部網(wǎng)絡(luò)，并自動攻擊內(nèi)部主機、服務(wù)器，并將重要資料復制到自帶的設(shè)備中，并通過外網(wǎng)回傳到黑客指定地址。主機IP地址和MAC地的威脅，因為它們很容易被篡改，造成運行與維護上的不安全，刻錄機帶來的安全風險。接下來就是做出進一步的防護第四章 APT防護方案設(shè)計 網(wǎng)絡(luò)拓撲圖： 沒加防護設(shè)備的網(wǎng)絡(luò)拓撲圖，主要劃分兩個網(wǎng)段，是主要的攻擊目標。 依靠數(shù)據(jù)流量的異常檢測模塊，篩選、 刪除一些無用的數(shù)據(jù)流量，從而進一步提高檢測的性能（3）報警將原先保存下來的與APT攻擊行為有關(guān)的數(shù)據(jù)進行一個后續(xù)的詳細分析，制定相關(guān)的匹配規(guī)則。 該方案采取擴大檢測領(lǐng)域不但提高發(fā)現(xiàn)可疑行為的概率?；谟洃浀臋z測系統(tǒng)， 是由全流量審計與日志審計相結(jié)合形成的， 它對抗 APT 的關(guān)鍵方法就是以時間對抗時間[10]。攔截病毒數(shù)量、本地病毒庫的更新狀態(tài)、已發(fā)現(xiàn)的潛在威脅、 病毒來源，或已知的攻擊等都屬于。因此，無論隔離還是放過，都會對用戶造成困擾。 威脅檢測技術(shù)： 威脅檢測流程圖該方案提供了一個統(tǒng)一的接口，可以在不同位置把相關(guān)的日志信息上傳，例如已發(fā)現(xiàn)的病毒或者木馬，可疑的網(wǎng)絡(luò)訪問行為，異常的網(wǎng)絡(luò)流量等。通過對該主機流量進行特征抽取，與其正常的流量模型比較，從而得到流量異常情況的概率值。該模型通過匹配已知異常特征相的模式來檢測異常。攻擊者與防護者的信息不對稱， 因為APT攻擊具有極強的隱蔽性，所以要想發(fā)現(xiàn)APT攻擊如同大海撈針?？墒侵灰覀兞粜挠^察，是可以識別文件名的細微區(qū)別的，例如使用大寫I代替小寫L。可是安全人員可以快速定位攻擊源頭，并做出對應(yīng)的安全防御策略，但是這些卻無法準確提取APT攻擊屬性與特征。對于傳統(tǒng)的攻擊行為，安全專家僅需關(guān)注惡意程序的樣本提取并做分析，便可以掌握攻擊者的動機及傳播渠道，可是對于APT攻擊以點概面的安全檢測手段已顯得不合時宜，所以要想在APT攻擊還沒發(fā)生之前，事先檢測到APT攻擊是很困難的，面對APT攻擊威脅，我們應(yīng)當有一套更完善更主動更智能的安全防御方案，必須承認APT攻擊的發(fā)起者有著超群的智慧和豐富的經(jīng)驗，因此檢測APT攻擊就必須密切關(guān)注攻擊者所釋放的惡意代碼的每一個細節(jié)。APT 根據(jù)入侵之前采集的系統(tǒng)信息，將滯留過的主機進行狀態(tài)還原，并恢復網(wǎng)絡(luò)配置參數(shù)，清除系統(tǒng)日志數(shù)據(jù)，使事后電子取證分析和責任認定難以進行。這是APT長期潛伏不容易被發(fā)現(xiàn)的特點，來挖掘出最多的資料，而且在這個過程當中，通常不會是重復自動化的過程，而是會有人工的介入對數(shù)據(jù)作分析，以做最大化利用。第四階段：橫向擴展。C服務(wù)器通信，并確認入侵成功的計算機和Camp。C第二階段：進入點。通過對數(shù)據(jù)進行壓縮、加密的方式導致現(xiàn)有絕大部分基于特征庫匹配的檢測系統(tǒng)失效，實現(xiàn)數(shù)據(jù)的傳輸總之，高級持續(xù)性威脅(APT)正在通過一切方式，繞過基于代碼的傳統(tǒng)安全方案如防病毒軟件、防火墻、IPS等)，并更長時間的潛伏在系統(tǒng)中，讓傳統(tǒng)防御體系難以偵測[6]。黑客一開始，就是針對某些特定員工發(fā)送的釣魚郵件，以此作為使用APT手法進行攻擊的所有源頭。傳統(tǒng)安全事故經(jīng)常是可見的、危害即刻發(fā)生，造成的威脅很?。豢墒茿PT攻擊則是不可見，危害在幕后發(fā)生，因為APT攻擊具有很強的隱蔽性，所以悄然間便可竊取被攻擊目標的核心數(shù)據(jù)，當一個企業(yè)或一個國家知道被攻擊成功時，則造成的危害已經(jīng)不可挽回，他的破壞力是非常強的，在國與國之間沒有真正較量沒有發(fā)生之前時發(fā)作，一旦發(fā)作也許會導致系統(tǒng)不運行，包括金融系統(tǒng)，攻擊的目標大多數(shù)是針對國家的要害部門，所以它的危害是非常嚴重，威脅到國家的信息安全。因為單一的攻擊手段容易被發(fā)現(xiàn)，很難達到APT攻擊所想要的結(jié)果，所以通常會使用自己設(shè)計、具有極強針對性和破壞性的惡意程序[5]，主動挖掘被攻擊對象受信系統(tǒng)和應(yīng)用程序的漏洞，對目標系統(tǒng)實施毀滅性的打擊,APT攻擊的方式可以根據(jù)實際情況進行動態(tài)的調(diào)整，從整體上掌控攻擊進程，APT攻擊還具備快速編寫所需滲透代碼的能力。APT攻擊和其他的網(wǎng)絡(luò)攻擊相比，他們有著本質(zhì)的區(qū)別，病毒擁有3個基本屬性，APT攻擊在擁有那些基本屬性的同時，也擁有了屬于自己特有的屬性。 主要設(shè)計內(nèi)容運用已學過的信息安全原理與技術(shù)、現(xiàn)代密碼學、計算機網(wǎng)絡(luò)和網(wǎng)絡(luò)攻防等專業(yè)知識，對高級持續(xù)性威脅(Advanced（2）APT攻擊將更有破壞性：在以后，APT攻擊將帶有更多的破壞性質(zhì)，無論這是它的主要目的，或是作為清理攻擊者總計的手段，都很有可能成為時間性攻擊的一部分，被運用在明確的目標上。以后，這類攻擊將會具備更大的破壞能力，使得我們更難進行屬性分析。根據(jù)許多APT行為特征的蠕蟲病毒分析報告來看，我國信息化建設(shè)和重要信息系統(tǒng)也可能受到來自某些國家和組織實施的前所未有的 APT 安全威脅，然而我國當前面向重要網(wǎng)絡(luò)信息系統(tǒng)的專業(yè)防護服務(wù)能力和產(chǎn)業(yè)化程度相對較低，尚難以有效應(yīng)對高級持續(xù)性威脅攻擊，形勢相當嚴峻，另一方面，由于APT攻擊的高度復合性和復雜性，目前尚缺乏對 APT 成因和檢測的完善方法的研究。外對APT攻擊的檢測主要還都處于探索狀態(tài)。目前仍有很多人對APT這個名詞感到陌生，APT到底是什么，關(guān)于APT的定義非?；靵y，APT攻擊并不是具體限定于某一種唯一的方法和步驟,他攻擊的手段多種多樣，廣泛的用到了社會工程學的手段。所以要設(shè)計一套能有效防護APT攻擊的方案顯得及其重要。On the basis of und