【正文】 件i386，則定位到剛才拷貝的i386文件，一直點(diǎn)下一步，最后點(diǎn)完成（1）配置ftp站點(diǎn)點(diǎn)擊“開始”—“管理工具”—“Internet服務(wù)”這個選項(xiàng)，單擊確定。選中“文件傳輸協(xié)議 主頁界面 FTP服務(wù)器的搭建安裝ftp服務(wù)，將i386文件拷貝到服務(wù)器上或插入Windows2003安裝光盤，單擊“開始控制面板添加或刪除程序添加/刪除Windows組件”選項(xiàng)，在“組件”列表中，雙擊“應(yīng)用程序服務(wù)器”選項(xiàng)，單擊并選中“Internet信息服務(wù)(IIS)”選項(xiàng)，然后單擊“詳細(xì)信息”按鈕，打開“應(yīng)用程序服務(wù)器子組件”窗口。在彈出的提示中單擊“是”即可。： IP設(shè)定界面輸入網(wǎng)站主目錄路徑。右鍵“網(wǎng)站”，單擊“網(wǎng)站”進(jìn)入網(wǎng)站創(chuàng)建向?qū)Ы缑?。安裝完成后，Sever 2003系統(tǒng)的Frame ,，通過IIS下的“Web 服務(wù)擴(kuò)展”查看支持的框架。： 完成界面。（2） 因?yàn)椤凹彝ダ碡?cái)管理系統(tǒng)”，而Sever 。（1）安裝IIS進(jìn)行添加程序界面，單擊“添加/刪除Windows組件”，選中“應(yīng)用程序服務(wù)器”，單擊下一步，： 應(yīng)用程序界面安裝過程中需要插入系統(tǒng)安裝光盤，插入光盤后繼續(xù)運(yùn)行。 web的搭建搭建的web系統(tǒng)為“家庭理財(cái)管理系統(tǒng)”。第五章 ATP攻防實(shí)驗(yàn) 實(shí)驗(yàn)平臺的搭建 平臺拓?fù)鋱D： 環(huán)境網(wǎng)絡(luò)拓?fù)鋱D，主要劃分兩個網(wǎng)段，是主要的攻擊目標(biāo)。以保證數(shù)據(jù)和機(jī)密文件的安全。 防護(hù)方案后的拓?fù)鋱D： 加了防護(hù)方案的拓?fù)鋱D在路由出口架設(shè)大流量吞吐量的防火墻，可以有效地防御外部攻擊者對外部路由進(jìn)行DDoS攻擊，做訪問控制策略，保證內(nèi)網(wǎng)的安全控制，在二層交換機(jī)上部署上網(wǎng)行為管理系統(tǒng)，網(wǎng)絡(luò)入侵檢測系統(tǒng)，日志審計(jì)管理系統(tǒng)，運(yùn)行與維護(hù)安全審計(jì)系統(tǒng)。（3）用戶權(quán)限在應(yīng)用程序中使用的連接數(shù)據(jù)庫的賬戶應(yīng)該是擁有必要的特權(quán)，這樣可以有效地保護(hù)整個系統(tǒng)盡可能少地受到入侵者的危害通過限制用戶權(quán)限，隔離了不同賬戶可執(zhí)行的操作。使用正則表達(dá)式來進(jìn)行復(fù)雜的模式匹配，限制用戶輸入的字符的長度[21]。如果可以接受字母，那就要檢查是不是存在不可接受的字符。（2）驗(yàn)證所有的輸入信息如果匹配失敗，則將請求字符串記錄入可疑攻擊代碼庫，提交網(wǎng)站管理員分析。對于包含注入關(guān)鍵字的Web請求，可以遍歷規(guī)則庫對請求內(nèi)容進(jìn)行詳細(xì)的正則匹配。然后檢測請求數(shù)據(jù)中是否含有SQL注入攻擊常用的關(guān)鍵字以及分隔符，如and、or、1=’、等，如果不含有，則可以排除注入攻擊的可能。]]+\s*()?構(gòu)造永遠(yuǎn)為真的條件語句： 防御流程圖當(dāng)發(fā)現(xiàn)SQL攻擊時，則攔截請求并產(chǎn)生警告信息作為應(yīng)答；如果未發(fā)現(xiàn)攻擊，則提交至系統(tǒng)模塊。||+\s*=\s*|[。\s*drop\s+table\s+|_az09]+()?刪除數(shù)據(jù)’or 1=1 (’\s+)?or\s+[[。and(select count(*) from account)0。該語句恒為真，所以就會登陸后臺界面，這樣就會構(gòu)成SQL注入攻擊，所以我們應(yīng)該對SQL注入的字符串進(jìn)行有效的過濾[]。=39。39。139。AND=39。39。Username=39。Users*=39。or39。=39。or39。=Password=39。username39。WHEREFROM 針對SQL注入的防護(hù)（1）應(yīng)用程序設(shè)計(jì)該SQL語句ELECT有些攻擊者可能會冒充某些正規(guī)網(wǎng)站的名義，然后編個冠冕堂皇的理由寄一封信給內(nèi)部人員，并要求輸入用戶名稱與密碼，當(dāng)內(nèi)部成員輸入后，如果按下“確定”，那時用戶名和密碼就會返回到攻擊者的郵箱。DNS服務(wù)器，可能是內(nèi)部的緩存服務(wù)器,也可能是外部的DNS服務(wù)器,由于只能對內(nèi)部DNS服務(wù)器監(jiān)控而無法監(jiān)控外部DNS服務(wù)器的情況，因此不能完全避免這種類型的攻擊[13]。上網(wǎng)行為管理設(shè)備應(yīng)該做到阻止內(nèi)部主機(jī)對惡意U R L的訪問。而“被動社會工程學(xué)攻擊”是指內(nèi)網(wǎng)中的人員因?yàn)樾畔⑿孤兜纫蛩?，被外網(wǎng)的攻擊者所利用而引發(fā)的攻擊。0day漏洞很可怕，可是在網(wǎng)絡(luò)攻擊中的社會工程學(xué)同樣很可怕，社會工程學(xué)是一個很廣泛的攻擊手段，跟技術(shù)性的防范不同，它包含很多的不確定因素，所以要想防范社會工程學(xué)攻擊還是很有難度的。社會工程學(xué)的攻擊主要是從“人”開始的。 社會工程學(xué)通過培訓(xùn)，使內(nèi)網(wǎng)的工作人員對社工有個比較全面的認(rèn)識，學(xué)會理智地分辨他們身邊存在或可能存在的“社工行為”以及“社工因素”，避免內(nèi)網(wǎng)被社工。 更換管理員賬戶為Adminstrator賬戶設(shè)置一個強(qiáng)大復(fù)雜的密碼，然后重命名Adminstrator賬戶，再創(chuàng)建一個沒有管理員權(quán)限的Adminstrator賬戶漆面入侵者，以此來防止攻擊者知道管理員賬戶，從而在一定的程度上保證計(jì)算機(jī)安全。關(guān)閉不必要的端口 攻擊者在入侵時常常會對目標(biāo)主機(jī)的端口進(jìn)行掃描，安裝了端口監(jiān)視程序，當(dāng)監(jiān)視程序檢測到有人掃描是就會有警告提示。使用代理服務(wù)器后，攻擊者只能探測到道理服務(wù)器的IP地址而不是內(nèi)網(wǎng)中主機(jī)的IP地址，這就實(shí)現(xiàn)了隱藏用戶IP地址的目的，從而保障了內(nèi)網(wǎng)的安全。默認(rèn)的情況下，所有的用戶都可以通過空連接連上服務(wù)器，所以這樣就會對我們的服務(wù)器帶來很大的安全隱患，導(dǎo)致服務(wù)器上的信息泄露。所以在沒有必要“文件和打印共享”的情況下，可以這個功能關(guān)閉。做出相應(yīng)的加固，加固必須要嚴(yán)格按照服務(wù)器安全配置方案，加固方案，管理方案進(jìn)行。發(fā)現(xiàn)異常，應(yīng)及時的做相應(yīng)的處理，為服務(wù)器進(jìn)行定期的漏洞掃描安全人員也應(yīng)該進(jìn)行相應(yīng)的手工漏洞挖掘工作。（2）配置安全策略歲服務(wù)器制定相應(yīng)的安全部署策略和安全加固策略，以及訪問策略等，為服務(wù)器及時安裝漏洞補(bǔ)丁，并定期對安全策略、補(bǔ)丁等情況進(jìn)行檢查。防止攻擊者對網(wǎng)絡(luò)實(shí)行流量攻擊 服務(wù)器安全的防護(hù)（1）賬戶、密碼管理對服務(wù)器的賬戶、密碼進(jìn)行嚴(yán)格管理，修改密碼策略，賬戶添加/刪除審批，用戶賬戶的權(quán)限管理/審批等。并定期對WEB系統(tǒng)進(jìn)行漏洞掃描和弱點(diǎn)分析，同時，也要進(jìn)行人工的漏洞挖掘。（2）安裝WEB應(yīng)用防火墻安裝防火墻，一定程度上也可以提高WEB的安全系數(shù)。所以在應(yīng)用上線之前，要嚴(yán)格地進(jìn)行各種安全測試和加固。WEB應(yīng)用程序的安全，需要注意以下幾點(diǎn)：（1）開發(fā)環(huán)節(jié)WEB應(yīng)用的開發(fā)環(huán)節(jié)直接影響WEB應(yīng)用的安全。并對員工的主機(jī)實(shí)行mac雙向綁定，從而預(yù)防ARP攻擊 應(yīng)用程序的安全的防護(hù)WEB應(yīng)用程序是整個網(wǎng)絡(luò)中的第一道防線，同時也是整個網(wǎng)絡(luò)中最容易被攻擊者攻擊的一個環(huán)節(jié)，從而導(dǎo)致了WEB應(yīng)用程序的安全變得很重要。確保每個員工的主機(jī)都能安全地運(yùn)行（8）培養(yǎng)員工的安全意管理員應(yīng)該定期對員工進(jìn)行網(wǎng)絡(luò)安全方面知識的普及和培訓(xùn)，規(guī)范員工的上網(wǎng)，引導(dǎo)員工去安全地上網(wǎng)，從而確保內(nèi)網(wǎng)環(huán)境安全和穩(wěn)定。（6）日志管理對日志進(jìn)行統(tǒng)一管理，安全管理員應(yīng)該定期進(jìn)行日志分析。消除郵件中的安全隱患。（4）病毒防御系統(tǒng)統(tǒng)一為網(wǎng)內(nèi)中的所有主機(jī)和服務(wù)器安裝殺毒軟件。（3）PC補(bǔ)丁管理服務(wù)器WSUS支持微軟的全部產(chǎn)品的更新，以及補(bǔ)丁程序。 內(nèi)網(wǎng)的安全的防護(hù)（1）訪問控制配置訪問控制策略，對網(wǎng)絡(luò)進(jìn)行訪問控制，并且在內(nèi)網(wǎng)中應(yīng)該不要使用無線網(wǎng)，無線網(wǎng)絡(luò)存在諸多安全隱患，而且不方便集中管理上網(wǎng)用戶，為了避免攻擊者通過無線網(wǎng)絡(luò)滲透進(jìn)內(nèi)網(wǎng)或者機(jī)密資料被竊取，所以應(yīng)避免使用無線網(wǎng)絡(luò)。管理員可直接接觸到核心數(shù)據(jù)庫，容易產(chǎn)生誤操作，或惡意操作。主機(jī)、應(yīng)用系統(tǒng)登錄安全問題。員工的U盤、移動硬盤、光盤也有可能在外部感染木馬，從而攻擊內(nèi)網(wǎng)中的主機(jī)、服務(wù)器，然后將數(shù)據(jù)傳到外部。（2）內(nèi)網(wǎng)帶來的威脅內(nèi)部成員之間重要文檔在傳輸過程中帶來的安全問題，當(dāng)某個不具備某文檔閱讀權(quán)限的內(nèi)部員工可能會接觸、打開、復(fù)制、打印該文檔，這樣就有可能造成文件的泄露。還有隨著手機(jī)、平板電腦的流行而帶來的移動設(shè)備管理等問題。這些威脅也許會通過U盤、移動硬盤等移動存儲介質(zhì)進(jìn)行傳播。其中內(nèi)網(wǎng)包括PC機(jī)和服務(wù)器，外網(wǎng)就只有PC機(jī)。（4）模擬攻擊安全管理員將識別出的報(bào)警數(shù)據(jù)進(jìn)行關(guān)聯(lián)性分析， 明確這些報(bào)警數(shù)據(jù)與APT攻擊之間存在的語義關(guān)系，并將孤立的攻擊報(bào)警從海量的報(bào)警中提取出來，根據(jù)關(guān)聯(lián)特征組建攻擊場景相關(guān)的知識庫，對識別出的報(bào)警與之相匹配、對照，構(gòu)建 APT攻擊，如果構(gòu)建成功，則APT攻擊被發(fā)現(xiàn)，并將其記錄。分析人員與分析儀器相互配合， 利用多維數(shù)據(jù)進(jìn)行可視化分析， 對可疑會話做好定位， 利用細(xì)粒度解析與應(yīng)用還原數(shù)據(jù)， 有效識別出異常的行為，如果有異常，報(bào)警模塊及時做出精確報(bào)警。往往這些不受重視的報(bào)警常常是攻擊者掩藏蓄謀已久的攻擊意圖的好地方（2）濃縮數(shù)據(jù)量對輸入的數(shù)據(jù)量進(jìn)行壓縮， 在全流量中的數(shù)據(jù)進(jìn)行篩選，將有用的信息刪選出來，并將與攻擊不相關(guān)聯(lián)的數(shù)據(jù)及時刪除，并保留與APT攻擊有關(guān)的數(shù)據(jù)流量， 將其有用數(shù)據(jù)弄成一個集合，壓縮對數(shù)據(jù)量，從而為檢測系統(tǒng)騰出更大的空間。還可以在發(fā)現(xiàn)異常情況后，利用原先的全流量的存儲， 將異常行為返回到與之相關(guān)的時間點(diǎn)。該記憶的檢測方案主要分成如下幾個步驟: （1）擴(kuò)大檢測范圍該方案對數(shù)據(jù)流量的檢測領(lǐng)域進(jìn)行拓展， 并將全流量數(shù)據(jù)進(jìn)行有效的存儲，對存儲的流量數(shù)據(jù)會進(jìn)行深入分析。APT 攻擊發(fā)生的時間很長， 對APT攻擊的檢測是建立一個有效的時間窗， 所以可以對長時間內(nèi)的數(shù)據(jù)流量進(jìn)行更為深入、 細(xì)致的分析。基于記憶的檢測可以有效緩解上述問題。通過進(jìn)行人工整合的工作，對不同的情況采取不同的措施。一份統(tǒng)一的威脅名單：根據(jù)威脅檢測技術(shù)和虛擬分析技術(shù)的結(jié)果，模擬APT攻擊，可以產(chǎn)生一個可疑的威脅名單或則一份APT攻擊記錄報(bào)表，并將其可以名單和記錄的APT攻擊報(bào)表及時的地反饋給安全人員報(bào)表系統(tǒng)：該系統(tǒng)根據(jù)不同的目的，提供不同的報(bào)表供 IT 安全管理人員查看。用戶通常不具備足夠的知識來判斷文件是否是惡意的。如果該文件是一個正常文件，隔離后，用戶需要額外的操作才能得到該文件；如果該文件是一個惡意文件，放過的話，就會對會對用戶的系統(tǒng)造成影響。在該模塊產(chǎn)生日志分析的基礎(chǔ)上，根據(jù)一些經(jīng)驗(yàn)規(guī)則或者自定義的規(guī)則，主動的發(fā)現(xiàn)可能發(fā)生的安全威脅虛擬分析技術(shù)。 對于異常告警，安全審計(jì)人員需及時確認(rèn)原因；并對未能確認(rèn)原因的異常告警信息，尤其是異常流量警告信息，并及時聯(lián)系安全技術(shù)支持人員進(jìn)行近一步分析這種異常，從而發(fā)現(xiàn)APT攻擊，但是該檢測的缺點(diǎn)是不能檢測未知的異常,同時隨著異常種類越來越來多,導(dǎo)致特征庫越來越龐大,從而監(jiān)測性能也隨之下降。 對于被識別為“異常”概率值大的流量信息，將被推送到安全審計(jì)人員作進(jìn)一步分析[17]。該方案主要注重的是對元數(shù)據(jù)的提取， 以此對整個網(wǎng)絡(luò)流量的基本情況進(jìn)行檢測， 從而發(fā)現(xiàn)異常行為。該方案提出了在多種查詢條件下對流量數(shù)據(jù)進(jìn)行可視化分析，例如目的 IP 地址流量統(tǒng)計(jì)排序、目的端口流量統(tǒng)計(jì)排序等；并對對重要文件的操作及對應(yīng)的發(fā)生時間進(jìn)行審計(jì)。 因而導(dǎo)致沙箱檢測在這種情形下檢測不出來惡意代碼， 但是在另外一種情形下可能檢測出來 異常檢測模式： 異常檢測流程圖APT攻擊常使用端口跳變、應(yīng)用層加密等手段隱藏惡意流量特征，只有通過一系列的數(shù)據(jù)聚類才能發(fā)現(xiàn)異常，異常檢測是利用預(yù)先設(shè)定好特征庫或規(guī)則庫和用戶通過從賬號登錄的IP地址、時間、行為操作序列等特征的統(tǒng)計(jì)可得到該賬號的正常行為產(chǎn)生的數(shù)據(jù)量建立一個有效的模型。 該智能沙箱法案， 通過對可能存在的異常行為進(jìn)行技術(shù)性識別， 檢測出存在高級威脅的問題。 檢測的整體流程圖該方案在一定程度上可以有效檢測 APT 攻擊， 對攻擊方式進(jìn)行非特征匹配。根據(jù)整個apt攻擊過程，圍繞APT的攻擊步驟提出具體的檢測方案。通常APT攻擊會采用一些惡意程序文件名與常見Windows文件類似，讓我們很難發(fā)現(xiàn)。我們現(xiàn)在對抗 APT 的思路是以時間對抗時間。APT攻擊者為了發(fā)動攻擊肯定會在系統(tǒng)的某處留下一些模糊的蹤跡，然而這些蹤跡在我們平時看來是正常的一些網(wǎng)絡(luò)行為，所以這就導(dǎo)致了我們很難檢測到APT攻擊。并且該方案能夠識別和分析服務(wù)器和客戶端的微妙變化和異常。所以要檢測出APT攻擊已成為許多企業(yè)所面臨的難題，因?yàn)锳PT種攻擊是以“隱形模式”進(jìn)行的。 ATP的檢測APT攻擊是近幾年來出現(xiàn)的一種高級網(wǎng)絡(luò)攻擊，具有難檢測、持續(xù)時間長和攻擊目標(biāo)明確等特征。為了避免受害者推斷出攻擊的來源，APT 代碼需要對其在目標(biāo)網(wǎng)絡(luò)中存留的痕跡進(jìn)行銷毀，這個過程可以稱之為 APT 的退出。第六階段：資料竊取。為確保以后的數(shù)據(jù)竊取行動中會得到最有價(jià)值的數(shù)據(jù)，APT會長期低調(diào)地潛伏。在目標(biāo)網(wǎng)絡(luò)中找出放有敏感信息的重要計(jì)算機(jī),使用包括傳遞哈希值算法的技巧和工具，將攻擊者權(quán)限提升到跟管理者一樣，讓他可以輕松地訪問和控制關(guān)鍵目標(biāo)。當(dāng)接收到特定指令，或者檢測到環(huán)境參數(shù)滿足一定條件時，惡意程序開始執(zhí)行預(yù)期的動作。C服務(wù)器間保持通信[]。然后，APT攻擊活動利用網(wǎng)絡(luò)通信協(xié)議來與Camp。通信）。（Camp。采用誘騙手段將正常網(wǎng)址請求重定向至惡意站點(diǎn)，發(fā)送垃