【正文】 。使我自身的修養(yǎng)有了一定的提高。在設計的過程中，出現(xiàn)了很多錯誤，可是老師都會細心地為我的設計糾正錯誤，避免我將該方案設計偏離主題，這次設計的完成，很大一部分功勞是老師的，因為做的過程中都是他一步一步的指導，這次設計，讓我看到了老師治學嚴謹和認真負責的工作態(tài)度，這樣的態(tài)度將積極影響我今后的學習和工作。本設計已經(jīng)針對APT的幾種攻擊手段進行了防護，可是APT的攻擊手段還有很多，所以APT攻擊的發(fā)現(xiàn)與防范的研究并沒有結束,這是一個漫長的博弈過程，不能在此就停下了腳步，希望在未來能有人提出更完善的設計方案參考文獻[1]江原. APT攻擊的那些事[J]. 信息安全與通信保密,2011(11):2223[2]杜躍進,方緖鵬,翟立東. APT的本質(zhì)探討[J]. 電信網(wǎng)技術,2013(11):14.[3]張之碩. 郵箱服務器APT攻擊檢測與防御工具的設計及實現(xiàn)[D].南京大學,2013[4]李青山. APT發(fā)展趨勢研究漫談[J]. 信息安全與通信保密,2012(7):1621.[5][J].信息安全與通信保密，2012(3):3940[6]張帥. 對APT攻擊的檢測與防御[J]. 信息安全與技術,2011(9):125127[7]陳劍鋒,王強,[J].信息安全與通信保密,2012(7):2427[8]陳陽. 中小企業(yè)如何應對APT攻擊[J]. 硅谷,2012(8):182183.[9]方興. APT攻防[J]. 信息安全與通信保密,2012（7）:2227[10]周濤. 大數(shù)據(jù)與APT攻擊檢測[J]. 信息安全與通信保密,2012（7）:2329.[11]劉東鑫,劉國榮,王帥,沈軍,金華敏. 面向企業(yè)網(wǎng)的APT攻擊特征分析及防御技術探討[J]. 電信科學,2013（12）:158163[12]宗波. APT攻擊防護淺析[J]. 軟件工程師,2012（12）:3940[13]王哲,[J].計算機光盤軟件應用,2013（24）:169171.[14]卜娜. APT攻擊：陰險潛伏,一心竊取企業(yè)機密[N].中國計算機報,20120213028[15] 高春燕. 應對新型 APT 攻擊重在監(jiān)測[N].中國計算機報,20130415028.[16][J].信息安全與通信密,2013(6):6567.[17]俞研,郭山清,黃皓. 基于數(shù)據(jù)流的異常入侵檢測[J].計算機科學,2007（5）6671[18]劉昕. 大數(shù)據(jù)背景下的APT攻擊檢測與防御[J]. 電子測試,2014（2）:8081.[19]王在富. 淺析APT攻擊檢測與防護策略[J]. 無線互聯(lián)科技,2014（3）:120121.[20]權樂,高姝,徐松. APT攻擊行動研究[J]. 信息網(wǎng)絡安全,2013（4）:47.[21]肖麗. APT攻擊“步步為營”防范重在“事無巨細”[N].人民郵電,20130813006.致謝謝謝老師這三個月來的耐心指導，在寫畢業(yè)論文的這三個月里，每個星期老師都會抽出時間組織大家開一個周會，其周會的主要目的和內(nèi)容就是看看我們做的進度，并通過和我們交談了解我們在做論文設計的過程中遇到了哪些問題，針對問題提出了一些解決的思路。 前期做的工作主要是學習理論，后期主要是將這些理論運用到實踐中，通過搭建APT攻擊環(huán)境，我學會了怎樣大建一個WEB服務器和FTP服務器，然后再搭建的環(huán)境中模擬APT攻擊，模擬了弱密碼攻擊，系統(tǒng)漏洞攻擊，還有SQL注入攻擊，前兩個攻擊的防護已經(jīng)通過測試，可是在SQL注入攻擊的防護測試階段，遇到了問題，并沒有測試成功，所以理論和實踐還是有差別的，在實驗的環(huán)節(jié)中也應該是可以實現(xiàn)的，可是在測試時才發(fā)現(xiàn)，理論與實驗的差距，可是基本完成通過這次設計讓我對網(wǎng)絡安全又有了一個新的認識，平時上網(wǎng)應養(yǎng)成一個良好的習慣 ，同時還學會了一些保護個人電腦安全的方法。所以剛開始設計的時候基本不知道該怎樣著手，可是經(jīng)過利用兩個禮拜的時間查詢了大量的資料文獻，對APT攻擊的定義及特征有了一個初步的認識，并了解了檢測APT攻擊的一些方法，異常檢測，威脅檢測，記憶檢測，在這些檢測方法的基礎上，提出自己的一些改進。具體的防護方案在第三章中已經(jīng)做詳細的解答所以在此沒有在此提出第六章 總結 總結通過這兩個月的努力，終于完成了APT攻擊的發(fā)現(xiàn)與防護方案的設計?？梢耘袛嘣撟⑷?yún)?shù)的類型為整數(shù)型，所以我們猜出SQL語句大致的格式為：Select * from 表名 where 字段=2，通過SQL語句猜登陸的管理員的表名，在地址欄中輸入：:8080/?id=2and0 (select count(*) form User)，回車，頁面顯示正常，說明該表名存在。： 鏈接信息再看看能不能再將對方的C盤映射到本地的Z盤，結果失敗，不能將對方的C盤映射到本地的Z盤。運行后顯示“找不到網(wǎng)絡路徑”。 測試運行流光主程序，按“Ctrl+R”鍵彈出掃描框，在掃描范圍欄里輸入你要掃描的I P 地址范圍，在掃描主機類型里選擇NT/98 ，然后具體掃描，根據(jù)具掃描信息“探測所IPC$ 用戶列表”，并沒有存在空連接漏洞。新建一個記事本，輸入如下圖所示的內(nèi)容， 文件，放到啟動欄里，從而達到禁止所有默認共享的目的。： 限定權限（2）禁止管理共享打開注冊表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 項：對于服務器，添加鍵 AutoShareServer，類型為REG_DWORD，值為0 ，： 設置AutoShareServer對于客戶機，添加鍵值AutoShareWks，類型為REG_DWORD，值為0 ，： 設置AutoShareWks（3）關閉139和445端口打開“網(wǎng)上鄰居”—“本地連接（右擊屬性）”—“Internet協(xié)議（TCP/IP）的屬性”，進入“高級TCP/IP設置”，在“WINS設置”里面的“禁用TCP/IP的NETBIOS”，在那里打上鉤就可以關閉139端口了，： 關閉139端口界面關閉445端口的方法：”開始“→”控制面板“→”系統(tǒng)“→”硬件“→”設備管理器”，單擊“查看”菜單下的“顯示隱藏的設備”，雙擊“非即插即用驅(qū)動程序”，找到并雙擊“NetBios over Tcpip”，在打開的“NetBios over Tcpip屬性”窗口中，單擊選中“常規(guī)”標簽下的“不要使用這個設備(停用)”，單擊“確定”按鈕后重新啟動后即可。這樣通過IPC$ 的遠程登錄就成功了。其中，用戶名是用administrator，密碼空。 設置界面更具掃描信息 “探測所有IPC$用戶列表” 存在漏洞的主機檢測到的信息，知道哪些端口是打開的，： 檢測信息。 具體設置制定虛擬目錄，在c:\hack目錄下，創(chuàng)建一個用戶名文件(),文件內(nèi)容就是administrator，： 建立的文件 ： 命令界面 結果沒有破解成功，所以防護策略是可行的。 建立成功界面下載一個ftp客戶端，Cute FTP ，新建一個鏈接，點擊鏈接后，如果連接成功，就可以實現(xiàn)文件的上傳和下載了。并選擇FTP的根目錄，我在此d盤下新建了一個temp目錄，用它來做ftp的根目錄。信息服務管理器”，右鍵新建站點，點擊下一步，填寫FTP 站點描述，： FTP站點描述配置IP和端口，也可以選擇默認的設置，點擊下一步。單擊“下一步”按鈕。(FTP)至此WEB系統(tǒng)搭建完成，在瀏覽器中輸入:8080可訪問系統(tǒng)主頁。設置訪問權限，為WEB系統(tǒng)設置“默認內(nèi)容文檔”。輸入網(wǎng)站系統(tǒng)的描述，在這里輸入“myweb”。 Frame （3）發(fā)布WEB系統(tǒng)搭建好所需要的環(huán)境后，就可以進行以發(fā)布網(wǎng)站了。按其默認設置單擊“下一步”即可完成安裝。安裝步驟如下：。直到IIS安裝完成。 環(huán)境設備開發(fā)環(huán)境Visual Studio 2012數(shù)據(jù)庫SQL Server2008系統(tǒng)框架Frame 由于需要搭建到Server 2003上，需要對Server 2003做如下工作：安裝IIS， ，搭建WEB系統(tǒng)等。其中內(nèi)網(wǎng)包括PC機和服務器，外網(wǎng)就只有PC機。在員工辦公的區(qū)域架設行為管理系統(tǒng)。為服務器部署數(shù)據(jù)庫審計系統(tǒng)。不同的用戶賬戶擁有不同的權限，執(zhí)行查詢插入更新刪除等操作的用戶可以是不同的用戶，這樣可以防止原本用于執(zhí)行查詢操作的地方卻被用于執(zhí)行插入、更新或刪除等操作[8]。所以驗證用戶輸入的信息是一個防止SQL注射攻擊的好方法，從而避免入侵者利用WEB的開放性對應用程序進行SQL注射攻擊。確保你的應用程序要檢查以下字符：分號，等號，破折號，括號以及SQL關鍵字。將用戶名和密碼輸入框中輸入的信息進行一個驗證處理，例如只能輸入數(shù)值或字符，那么要登陸后臺，則必須滿足通過驗證的條件后，才來也正該用戶名和密碼是否正確，確保用戶輸入的都是數(shù)字。如果發(fā)現(xiàn)同一源IP地址短時間內(nèi)多次攻擊，過濾模塊就會將該IP地址加入黑名單，禁止其在一定時間內(nèi)訪問，從而防止攻擊者采用窮舉法,最終攻破系統(tǒng)。如果匹配成功，則攔截請求、向客戶端發(fā)送警告。如果含有則提示登錄信息錯誤，并將輸入的數(shù)據(jù)提交至詳細的規(guī)則檢測，又返回來處理正常請求，并盡可能快地將正常請求提交至系統(tǒng)模塊處理，避免正常客戶對網(wǎng)站訪問的延遲影響。： 匹配流圖當攔截到Http請求后首先對請求內(nèi)容進行URL解碼，其主要目的是防止攻擊者以URL編碼方式構造SQL注入語句。alnum。almun。?and\(select\s+count\(\*\)\s+from\s)+[^ )]+\)\s*=?\s*\d+猜測數(shù)據(jù)庫表名Admin’:drop table accounts ([^’]*’\s*)?。攻擊語句正則表示說明。139。139。ORPassword=39。139。139。OR139。WHEREFROM1，SQL語句就變成了：SELECT139。1和password=139。139。139。password’可能會帶來SQL注入攻擊，因為當我們在用戶名和密碼地址欄中輸入usernameANDUsername=39。Users*所以內(nèi)網(wǎng)人員不要隨便回陌生人的郵件。所以，對這方面，應該要特別注意。（2）防范郵件中的社會工程學攻擊許多攻擊者會采用“郵件”作為主要的攻擊手段，攻擊者通過篡改DNS服務器上的解析記錄，將對正常U RL的訪問引導到掛有木馬的網(wǎng)頁上。絕大部分社工攻擊是通過電子郵件或即時消息進行的。（1）防范來內(nèi)網(wǎng)的主動/被動的社會工程學攻擊“主動的社會工程學攻擊”指來內(nèi)網(wǎng)中不安分人員的攻擊。我們在網(wǎng)絡防御中，人也是防御中的一個重要環(huán)節(jié)。社會工程學，在普遍的網(wǎng)絡攻擊和的APT攻擊中、扮演著非常重要的角色。因為 Adminstrator賬戶擁有最高的系統(tǒng)權限，一旦攻擊者獲得Adminstrator賬戶權限，就可以對系統(tǒng)進行任何操作，后果不堪設想， 安裝必要的安全軟件 為內(nèi)網(wǎng)中的各個主機安裝必要的防黑軟件、殺毒軟件和防火墻，在一定的程度