【正文】 上保證計算機安全。并用工具軟件關閉用不到的端口，進一步提高系統(tǒng)的安全新。因為IP和計算機的關系就好比身份證上的身份證號和人的關系，當一個攻擊則通過掃描工具確定了一臺主機的IP地址后，相當于他已經找到了攻擊的目標，并通過IP向目標主機發(fā)動各種進攻，所以隱藏內網中的IP地址至關重要。 隱藏IP地址 使用代理服務器將內網中的IP地址進行隱藏，在內網中的主機上和遠程服務器之間架設一個“中轉站”，當內網中的主機向遠程服務器提出服務后，代理服務器首先截取內網主機的請求，然后代理服務器將服務請求轉交遠程服務器，從而實現內部網絡中的主機和遠程服務器之間的聯系。 禁止建立空連接 將內網的所有計算機上禁止建立空連接。 漏洞的防護（1）內部主機的設置關閉“文件和打印共享” 文件和打印共享可以實現內網中同一網段中的各個成員之間的文件的傳輸，使用起來很方便，所以很多時候企業(yè)都會采用這樣的方式進行文件的傳輸，但在不需要它的時候，文件和打印共享就成了攻擊者入侵內部網絡的很好的安全漏洞。并定期對服務器進行評估和審計。（3）日志管理及漏洞檢查對服務器日志進行統(tǒng)一管理，管理員需定期的歲服務器進行日志分析。定期對服務器的賬戶、密碼進行檢查，看看是否存在異常情況。從而發(fā)現系統(tǒng)存在和可能存在的漏洞，因為運用軟件掃描有時有可能會出現誤差（3）流量監(jiān)測定期對網絡進行流量監(jiān)測，因為通過檢測出進或者出口的流量情況，有助于網絡安全管理員分析WEB的運行情況，發(fā)現進出口的流量是否存在異常。制定一個統(tǒng)一的賬戶、密碼管理體系，對后臺的訪問做一些控制，防止惡意攻擊者進行暴力猜解。合理地選擇相對穩(wěn)定，安全的WEB框架，以及web服務器軟件，為選擇好WEB運行程序制定安全的配置方案和加固方案，以及維護方案，確保系統(tǒng)能夠安全、穩(wěn)定地運行。所以在開發(fā)WEB應用程序時，應該要有嚴格的安全編碼規(guī)范標準，避免注入、上傳、文件包含、遠程、本地代碼執(zhí)行、XSS等漏洞安全問題的產生。所以我們在路由器上安裝了防火墻，實現了對服務器的安全控制和監(jiān)測。禁止員工使用自帶的便攜設備，如U盤，移動硬盤，手機等，應該使用統(tǒng)一的移動設備，因為自帶的便攜設備很有可能會把病毒帶到內網中 ，在內網進行文件傳輸、共享的時候，應該按照文件的安全等級要求，進行加密傳輸（9）劃分VLAN為各個部門劃分VLAN，保證網絡能夠高效，穩(wěn)定，安全地運行。若發(fā)現異常，立即向主管領導反映，并分析被攻擊因素，及時修復漏洞，并根據異常日志，追蹤攻擊源(7）員工主機安全制定相應的主機加固和管理方案。同時制定一些制度，規(guī)定員工發(fā)郵件時不帶鏈接、附件等。（5）Mail安全在信息技術高度發(fā)展的今天，Email已成為我們生活和工作中必不可少的一部分了，很多人不懂安全的人事，很難想象一封Email中所隱藏的安全隱患，到底有多大，所以應當對郵件進行過濾。部署WSUS服務器，幫助內部網絡的用戶機及時、快速地更新/升級windows，能防止網內用戶不打漏洞補丁的問題，提高了辦公網絡的PC安全系數。（2）架設入侵檢測系統(tǒng)利用入侵檢測系統(tǒng)對網絡的安全情況進行全天的監(jiān)測，網絡安全管理員應該定期對網絡進行模擬滲透，即使發(fā)現系統(tǒng)漏洞，然后針對漏洞做出相應的加固方案。蠕蟲、病毒，往往會掃描服務器，從而造成信息泄漏，低權限管理員有可能利用此權限，進行越權、高危操作。管理員權限過大，可通過在交換機鏡像或ARP欺騙的方式捕獲內部人員的賬號和密碼，管理員可直接在服務器上讀取OA、EMail等的敏感信息。對服務器、應用系統(tǒng)的資源占用、響應無實時監(jiān)控手段。還有將自帶設備帶入內部網絡，并自動攻擊內部主機、服務器，并將重要資料復制到自帶的設備中，并通過外網回傳到黑客指定地址。最常見的還有遠程辦公帶來的安全威脅。主機IP地址和MAC地的威脅，因為它們很容易被篡改，造成運行與維護上的不安全，刻錄機帶來的安全風險。 存在的威脅（1）外網帶來的威脅外網的威脅可能有木馬、病毒、蠕蟲，他們會正常的隱藏在word，等正常的軟件中。接下來就是做出進一步的防護第四章 APT防護方案設計 網絡拓撲圖： 沒加防護設備的網絡拓撲圖，主要劃分兩個網段，是主要的攻擊目標。從而識別出攻擊者將攻擊行為包裝成成正常行為的行為。 依靠數據流量的異常檢測模塊，篩選、 刪除一些無用的數據流量，從而進一步提高檢測的性能（3）報警將原先保存下來的與APT攻擊行為有關的數據進行一個后續(xù)的詳細分析，制定相關的匹配規(guī)則。還可以為已經發(fā)生的，但在分析時沒有受到安全管理員的重視，偶爾會出現可疑情況的數據流量進行關聯性的技術分析，從而實現有效識別。 該方案采取擴大檢測領域不但提高發(fā)現可疑行為的概率。 全流量審計組要是對全過程流量施以應用上的識別與還原， 從而檢測出異常的可能會對系統(tǒng)造成危害的行為?；谟洃浀臋z測系統(tǒng)， 是由全流量審計與日志審計相結合形成的， 它對抗 APT 的關鍵方法就是以時間對抗時間[10]。 基于記憶的檢測： 記憶檢測流程圖在檢測中APT 攻擊過程中，APT攻擊遺留下來的暴露點包括攻擊過程中的攻擊路徑和時序，APT 攻擊一般不會對系統(tǒng)的安全防御系統(tǒng)進行暴力破解，攻擊過程的大部分貌似正常操作；不是所有的異常操作都能立即被檢測；被檢測到的異常也許是在APT攻擊過后才檢測到，因為APT具有很強的隱蔽性。攔截病毒數量、本地病毒庫的更新狀態(tài)、已發(fā)現的潛在威脅、 病毒來源，或已知的攻擊等都屬于。所以該方案是將文件放在沙盒中執(zhí)行，檢測該文件對系統(tǒng)的所有更改是否是有害的，如果對該系統(tǒng)沒有造成影響，就允許通過，如果有影響，或則會危害到系統(tǒng)的秘密信息，就該文件攔截。因此，無論隔離還是放過，都會對用戶造成困擾。傳統(tǒng)的檢測方案對某些附件或則可執(zhí)行文件對系統(tǒng)可能造成的影響沒有一個準確的分析，往往會把一些文件隔離起來或者直接放過[20]。 威脅檢測技術： 威脅檢測流程圖該方案提供了一個統(tǒng)一的接口，可以在不同位置把相關的日志信息上傳，例如已發(fā)現的病毒或者木馬，可疑的網絡訪問行為，異常的網絡流量等。對于員工賬號訪問審計，并進一步用于員工賬號訪問異常檢測。通過對該主機流量進行特征抽取，與其正常的流量模型比較，從而得到流量異常情況的概率值。該方案的設計思維就好比現實生活中警察抓壞人的思維方式， 在沒有明確壞人的基本特征的情況下，那就對好人進行行為模式的建構， 當一個人的行為模式偏離好人的正常范圍， 那么這個人就有可能是壞人，然后再對這個有可能是壞人的人進行具體的檢測。該模型通過匹配已知異常特征相的模式來檢測異常。 并且沙箱檢測與整個網絡運行環(huán)境相關， 操作系統(tǒng)的類型、 瀏覽器的版本、 安裝的插件版本等都對沙箱檢測的結果起著影響。攻擊者與防護者的信息不對稱， 因為APT攻擊具有極強的隱蔽性，所以要想發(fā)現APT攻擊如同大海撈針。一共分成五大模塊，沙箱檢測，異常檢測，威脅檢測，記憶檢測還有響應?？墒侵灰覀兞粜挠^察，是可以識別文件名的細微區(qū)別的，例如使用大寫I代替小寫L。因為APT是在很長時間內才發(fā)生，也許一年，兩年，甚至五年，才可能發(fā)生，所以我們要在一段時間內發(fā)現APT，還是很有難度的，需要對長時間、全流量數據進行深度分析，針對APT攻擊行為的檢測，需要構建一個多維度的安全模型，還可以通過手動檢查文件來識別一些微小的不易發(fā)現的標記，并將這些標記作為潛在惡意活動的指示?？墒前踩藛T可以快速定位攻擊源頭，并做出對應的安全防御策略，但是這些卻無法準確提取APT攻擊屬性與特征。無論攻擊者的實施的計劃多么縝密，還是會留下點攻擊過程中的痕跡，通常就是我們所說的刑事調查中的痕跡證據，這種證據并不明顯，甚至可能是肉眼看不見的。對于傳統(tǒng)的攻擊行為，安全專家僅需關注惡意程序的樣本提取并做分析，便可以掌握攻擊者的動機及傳播渠道，可是對于APT攻擊以點概面的安全檢測手段已顯得不合時宜，所以要想在APT攻擊還沒發(fā)生之前，事先檢測到APT攻擊是很困難的，面對APT攻擊威脅，我們應當有一套更完善更主動更智能的安全防御方案，必須承認APT攻擊的發(fā)起者有著超群的智慧和豐富的經驗，因此檢測APT攻擊就必須密切關注攻擊者所釋放的惡意代碼的每一個細節(jié)。傳統(tǒng)基于攻擊特征的入侵檢測和防御方法在檢測和防御apt方面效果已經變得很不理想了。APT 根據入侵之前采集的系統(tǒng)信息，將滯留過的主機進行狀態(tài)還原，并恢復網絡配置參數，清除系統(tǒng)日志數據，使事后電子取證分析和責任認定難以進行。APT是一種高級的、狡猾的伎倆，利用APT入侵網絡、逃避“追捕”、悄無聲息不被發(fā)現、隨心所欲對泄露數據進行長期訪問，最終挖掘到攻擊者想要的資料信息。這是APT長期潛伏不容易被發(fā)現的特點，來挖掘出最多的資料，而且在這個過程當中，通常不會是重復自動化的過程，而是會有人工的介入對數據作分析，以做最大化利用。第五階段：資料發(fā)掘。第四階段：橫向擴展。開始尋找實施進一步行動的最佳時機。C服務器通信，并確認入侵成功的計算機和Camp。攻擊者成功入侵目標網絡后，通常并不急于獲取敏感信息和數據，而是在隱藏自身的前提下找出放有敏感信息的重要計算機。C盡管攻擊手段各不相同，但絕大部分目的是盡量在避免用戶覺察的條件下取得服務器、網絡設備的控制權第三階段：命令與控制第二階段：進入點。攻擊者對鎖定的目標和資源采用針對性APT攻擊，使用技術和社會工程學手段針對性地進行信息收集，目標網絡環(huán)境探測，線上服務器分布情況，應用程序的弱點分析，了解業(yè)務狀況，員工信息，收集大量關于系統(tǒng)業(yè)務流程和使用情況等關鍵信息，通過網絡流量、軟件版本、開放端口、員工資料、管理策略等因素的整理和分析[7]，得出系統(tǒng)可能存在的安全弱點。通過對數據進行壓縮、加密的方式導致現有絕大部分基于特征庫匹配的檢測系統(tǒng)失效，實現數據的傳輸總之，高級持續(xù)性威脅(APT)正在通過一切方式，繞過基于代碼的傳統(tǒng)安全方案如防病毒軟件、防火墻、IPS等)，并更長時間的潛伏在系統(tǒng)中，讓傳統(tǒng)防御體系難以偵測[6]。所以通過對目標公網網站的SQL注入方式實現APT攻擊。黑客一開始，就是針對某些特定員工發(fā)送的釣魚郵件，以此作為使用APT手法進行攻擊的所有源頭。(2)社交工程的惡意郵件是許多APT攻擊成功的關鍵因素之一，隨著社交工程攻擊手法的日益成熟，郵件幾乎真假難辨。傳統(tǒng)安全事故經常是可見的、危害即刻發(fā)生，造成的威脅很小；可是APT攻擊則是不可見，危害在幕后發(fā)生，因為APT攻擊具有很強的隱蔽性，所以悄然間便可竊取被攻擊目標的核心數據，當一個企業(yè)或一個國家知道被攻擊成功時，則造成的危害已經不可挽回，他的破壞力是非常強的，在國與國之間沒有真正較量沒有發(fā)生之前時發(fā)作，一旦發(fā)作也許會導致系統(tǒng)不運行，包括金融系統(tǒng)，攻擊的目標大多數是針對國家的要害部門，所以它的危害是非常嚴重，威脅到國家的信息安全。 APT的危害，APT攻擊的出現，對全球的信息安全的防護是一個極大的挑戰(zhàn)，因為APT攻擊的目標通常會是一個國家的安全設施，例如：航空航天，或者是重要的金融系統(tǒng)。因為單一的攻擊手段容易被發(fā)現，很難達到APT攻擊所想要的結果，所以通常會使用自己設計、具有極強針對性和破壞性的惡意程序[5]，主動挖掘被攻擊對象受信系統(tǒng)和應用程序的漏洞，對目標系統(tǒng)實施毀滅性的打擊,APT攻擊的方式可以根據實際情況進行動態(tài)的調整，從整體上掌控攻擊進程，APT攻擊還具備快速編寫所需滲透代碼的能力。應對新的威脅，需要有新的思路。APT攻擊和其他的網絡攻擊相比，他們有著本質的區(qū)別，病毒擁有3個基本屬性，APT攻擊在擁有那些基本屬性的同時，也擁有了屬于自己特有的屬性。Threat，APT)產生的背景、攻擊方法與原理進行分析，發(fā)現其攻擊規(guī)律，提出