【正文】 件i386，則定位到剛才拷貝的i386文件，一直點(diǎn)下一步，最后點(diǎn)完成（1）配置ftp站點(diǎn)點(diǎn)擊“開始”—“管理工具”—“Internet服務(wù)”這個(gè)選項(xiàng)，單擊確定。選中“文件傳輸協(xié)議 主頁(yè)界面 FTP服務(wù)器的搭建安裝ftp服務(wù)，將i386文件拷貝到服務(wù)器上或插入Windows2003安裝光盤，單擊“開始控制面板添加或刪除程序添加/刪除Windows組件”選項(xiàng)，在“組件”列表中，雙擊“應(yīng)用程序服務(wù)器”選項(xiàng)，單擊并選中“Internet信息服務(wù)(IIS)”選項(xiàng)，然后單擊“詳細(xì)信息”按鈕，打開“應(yīng)用程序服務(wù)器子組件”窗口。在彈出的提示中單擊“是”即可。： IP設(shè)定界面輸入網(wǎng)站主目錄路徑。右鍵“網(wǎng)站”，單擊“網(wǎng)站”進(jìn)入網(wǎng)站創(chuàng)建向?qū)Ы缑?。安裝完成后，Sever 2003系統(tǒng)的Frame ,，通過(guò)IIS下的“Web 服務(wù)擴(kuò)展”查看支持的框架。： 完成界面。（2） 因?yàn)椤凹彝ダ碡?cái)管理系統(tǒng)”，而Sever 。（1）安裝IIS進(jìn)行添加程序界面，單擊“添加/刪除Windows組件”，選中“應(yīng)用程序服務(wù)器”，單擊下一步，： 應(yīng)用程序界面安裝過(guò)程中需要插入系統(tǒng)安裝光盤，插入光盤后繼續(xù)運(yùn)行。 web的搭建搭建的web系統(tǒng)為“家庭理財(cái)管理系統(tǒng)”。第五章 ATP攻防實(shí)驗(yàn) 實(shí)驗(yàn)平臺(tái)的搭建 平臺(tái)拓?fù)鋱D： 環(huán)境網(wǎng)絡(luò)拓?fù)鋱D，主要?jiǎng)澐謨蓚€(gè)網(wǎng)段，是主要的攻擊目標(biāo)。以保證數(shù)據(jù)和機(jī)密文件的安全。 防護(hù)方案后的拓?fù)鋱D： 加了防護(hù)方案的拓?fù)鋱D在路由出口架設(shè)大流量吞吐量的防火墻，可以有效地防御外部攻擊者對(duì)外部路由進(jìn)行DDoS攻擊，做訪問(wèn)控制策略，保證內(nèi)網(wǎng)的安全控制，在二層交換機(jī)上部署上網(wǎng)行為管理系統(tǒng)，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，日志審計(jì)管理系統(tǒng)，運(yùn)行與維護(hù)安全審計(jì)系統(tǒng)。（3）用戶權(quán)限在應(yīng)用程序中使用的連接數(shù)據(jù)庫(kù)的賬戶應(yīng)該是擁有必要的特權(quán)，這樣可以有效地保護(hù)整個(gè)系統(tǒng)盡可能少地受到入侵者的危害通過(guò)限制用戶權(quán)限，隔離了不同賬戶可執(zhí)行的操作。使用正則表達(dá)式來(lái)進(jìn)行復(fù)雜的模式匹配，限制用戶輸入的字符的長(zhǎng)度[21]。如果可以接受字母，那就要檢查是不是存在不可接受的字符。（2）驗(yàn)證所有的輸入信息如果匹配失敗，則將請(qǐng)求字符串記錄入可疑攻擊代碼庫(kù)，提交網(wǎng)站管理員分析。對(duì)于包含注入關(guān)鍵字的Web請(qǐng)求，可以遍歷規(guī)則庫(kù)對(duì)請(qǐng)求內(nèi)容進(jìn)行詳細(xì)的正則匹配。然后檢測(cè)請(qǐng)求數(shù)據(jù)中是否含有SQL注入攻擊常用的關(guān)鍵字以及分隔符，如and、or、1=’、等，如果不含有，則可以排除注入攻擊的可能。]]+\s*()?構(gòu)造永遠(yuǎn)為真的條件語(yǔ)句： 防御流程圖當(dāng)發(fā)現(xiàn)SQL攻擊時(shí)，則攔截請(qǐng)求并產(chǎn)生警告信息作為應(yīng)答；如果未發(fā)現(xiàn)攻擊，則提交至系統(tǒng)模塊。||+\s*=\s*|[。\s*drop\s+table\s+|_az09]+()?刪除數(shù)據(jù)’or 1=1 (’\s+)?or\s+[[。and(select count(*) from account)0。該語(yǔ)句恒為真，所以就會(huì)登陸后臺(tái)界面，這樣就會(huì)構(gòu)成SQL注入攻擊，所以我們應(yīng)該對(duì)SQL注入的字符串進(jìn)行有效的過(guò)濾[]。=39。39。139。AND=39。39。Username=39。Users*=39。or39。=39。or39。=Password=39。username39。WHEREFROM 針對(duì)SQL注入的防護(hù)（1）應(yīng)用程序設(shè)計(jì)該SQL語(yǔ)句ELECT有些攻擊者可能會(huì)冒充某些正規(guī)網(wǎng)站的名義，然后編個(gè)冠冕堂皇的理由寄一封信給內(nèi)部人員，并要求輸入用戶名稱與密碼，當(dāng)內(nèi)部成員輸入后，如果按下“確定”，那時(shí)用戶名和密碼就會(huì)返回到攻擊者的郵箱。DNS服務(wù)器，可能是內(nèi)部的緩存服務(wù)器,也可能是外部的DNS服務(wù)器,由于只能對(duì)內(nèi)部DNS服務(wù)器監(jiān)控而無(wú)法監(jiān)控外部DNS服務(wù)器的情況，因此不能完全避免這種類型的攻擊[13]。上網(wǎng)行為管理設(shè)備應(yīng)該做到阻止內(nèi)部主機(jī)對(duì)惡意U R L的訪問(wèn)。而“被動(dòng)社會(huì)工程學(xué)攻擊”是指內(nèi)網(wǎng)中的人員因?yàn)樾畔⑿孤兜纫蛩?，被外網(wǎng)的攻擊者所利用而引發(fā)的攻擊。0day漏洞很可怕，可是在網(wǎng)絡(luò)攻擊中的社會(huì)工程學(xué)同樣很可怕，社會(huì)工程學(xué)是一個(gè)很廣泛的攻擊手段，跟技術(shù)性的防范不同，它包含很多的不確定因素，所以要想防范社會(huì)工程學(xué)攻擊還是很有難度的。社會(huì)工程學(xué)的攻擊主要是從“人”開始的。 社會(huì)工程學(xué)通過(guò)培訓(xùn)，使內(nèi)網(wǎng)的工作人員對(duì)社工有個(gè)比較全面的認(rèn)識(shí)，學(xué)會(huì)理智地分辨他們身邊存在或可能存在的“社工行為”以及“社工因素”，避免內(nèi)網(wǎng)被社工。 更換管理員賬戶為Adminstrator賬戶設(shè)置一個(gè)強(qiáng)大復(fù)雜的密碼，然后重命名Adminstrator賬戶，再創(chuàng)建一個(gè)沒(méi)有管理員權(quán)限的Adminstrator賬戶漆面入侵者，以此來(lái)防止攻擊者知道管理員賬戶，從而在一定的程度上保證計(jì)算機(jī)安全。關(guān)閉不必要的端口 攻擊者在入侵時(shí)常常會(huì)對(duì)目標(biāo)主機(jī)的端口進(jìn)行掃描，安裝了端口監(jiān)視程序，當(dāng)監(jiān)視程序檢測(cè)到有人掃描是就會(huì)有警告提示。使用代理服務(wù)器后，攻擊者只能探測(cè)到道理服務(wù)器的IP地址而不是內(nèi)網(wǎng)中主機(jī)的IP地址，這就實(shí)現(xiàn)了隱藏用戶IP地址的目的，從而保障了內(nèi)網(wǎng)的安全。默認(rèn)的情況下，所有的用戶都可以通過(guò)空連接連上服務(wù)器，所以這樣就會(huì)對(duì)我們的服務(wù)器帶來(lái)很大的安全隱患，導(dǎo)致服務(wù)器上的信息泄露。所以在沒(méi)有必要“文件和打印共享”的情況下，可以這個(gè)功能關(guān)閉。做出相應(yīng)的加固，加固必須要嚴(yán)格按照服務(wù)器安全配置方案，加固方案，管理方案進(jìn)行。發(fā)現(xiàn)異常，應(yīng)及時(shí)的做相應(yīng)的處理，為服務(wù)器進(jìn)行定期的漏洞掃描安全人員也應(yīng)該進(jìn)行相應(yīng)的手工漏洞挖掘工作。（2）配置安全策略歲服務(wù)器制定相應(yīng)的安全部署策略和安全加固策略，以及訪問(wèn)策略等，為服務(wù)器及時(shí)安裝漏洞補(bǔ)丁，并定期對(duì)安全策略、補(bǔ)丁等情況進(jìn)行檢查。防止攻擊者對(duì)網(wǎng)絡(luò)實(shí)行流量攻擊 服務(wù)器安全的防護(hù)（1）賬戶、密碼管理對(duì)服務(wù)器的賬戶、密碼進(jìn)行嚴(yán)格管理，修改密碼策略，賬戶添加/刪除審批，用戶賬戶的權(quán)限管理/審批等。并定期對(duì)WEB系統(tǒng)進(jìn)行漏洞掃描和弱點(diǎn)分析，同時(shí)，也要進(jìn)行人工的漏洞挖掘。（2）安裝WEB應(yīng)用防火墻安裝防火墻，一定程度上也可以提高WEB的安全系數(shù)。所以在應(yīng)用上線之前，要嚴(yán)格地進(jìn)行各種安全測(cè)試和加固。WEB應(yīng)用程序的安全，需要注意以下幾點(diǎn)：（1）開發(fā)環(huán)節(jié)WEB應(yīng)用的開發(fā)環(huán)節(jié)直接影響WEB應(yīng)用的安全。并對(duì)員工的主機(jī)實(shí)行mac雙向綁定，從而預(yù)防ARP攻擊 應(yīng)用程序的安全的防護(hù)WEB應(yīng)用程序是整個(gè)網(wǎng)絡(luò)中的第一道防線，同時(shí)也是整個(gè)網(wǎng)絡(luò)中最容易被攻擊者攻擊的一個(gè)環(huán)節(jié)，從而導(dǎo)致了WEB應(yīng)用程序的安全變得很重要。確保每個(gè)員工的主機(jī)都能安全地運(yùn)行（8）培養(yǎng)員工的安全意管理員應(yīng)該定期對(duì)員工進(jìn)行網(wǎng)絡(luò)安全方面知識(shí)的普及和培訓(xùn)，規(guī)范員工的上網(wǎng)，引導(dǎo)員工去安全地上網(wǎng)，從而確保內(nèi)網(wǎng)環(huán)境安全和穩(wěn)定。（6）日志管理對(duì)日志進(jìn)行統(tǒng)一管理，安全管理員應(yīng)該定期進(jìn)行日志分析。消除郵件中的安全隱患。（4）病毒防御系統(tǒng)統(tǒng)一為網(wǎng)內(nèi)中的所有主機(jī)和服務(wù)器安裝殺毒軟件。（3）PC補(bǔ)丁管理服務(wù)器WSUS支持微軟的全部產(chǎn)品的更新，以及補(bǔ)丁程序。 內(nèi)網(wǎng)的安全的防護(hù)（1）訪問(wèn)控制配置訪問(wèn)控制策略，對(duì)網(wǎng)絡(luò)進(jìn)行訪問(wèn)控制，并且在內(nèi)網(wǎng)中應(yīng)該不要使用無(wú)線網(wǎng)，無(wú)線網(wǎng)絡(luò)存在諸多安全隱患，而且不方便集中管理上網(wǎng)用戶，為了避免攻擊者通過(guò)無(wú)線網(wǎng)絡(luò)滲透進(jìn)內(nèi)網(wǎng)或者機(jī)密資料被竊取，所以應(yīng)避免使用無(wú)線網(wǎng)絡(luò)。管理員可直接接觸到核心數(shù)據(jù)庫(kù)，容易產(chǎn)生誤操作，或惡意操作。主機(jī)、應(yīng)用系統(tǒng)登錄安全問(wèn)題。員工的U盤、移動(dòng)硬盤、光盤也有可能在外部感染木馬，從而攻擊內(nèi)網(wǎng)中的主機(jī)、服務(wù)器，然后將數(shù)據(jù)傳到外部。（2）內(nèi)網(wǎng)帶來(lái)的威脅內(nèi)部成員之間重要文檔在傳輸過(guò)程中帶來(lái)的安全問(wèn)題，當(dāng)某個(gè)不具備某文檔閱讀權(quán)限的內(nèi)部員工可能會(huì)接觸、打開、復(fù)制、打印該文檔，這樣就有可能造成文件的泄露。還有隨著手機(jī)、平板電腦的流行而帶來(lái)的移動(dòng)設(shè)備管理等問(wèn)題。這些威脅也許會(huì)通過(guò)U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行傳播。其中內(nèi)網(wǎng)包括PC機(jī)和服務(wù)器，外網(wǎng)就只有PC機(jī)。（4）模擬攻擊安全管理員將識(shí)別出的報(bào)警數(shù)據(jù)進(jìn)行關(guān)聯(lián)性分析， 明確這些報(bào)警數(shù)據(jù)與APT攻擊之間存在的語(yǔ)義關(guān)系，并將孤立的攻擊報(bào)警從海量的報(bào)警中提取出來(lái)，根據(jù)關(guān)聯(lián)特征組建攻擊場(chǎng)景相關(guān)的知識(shí)庫(kù)，對(duì)識(shí)別出的報(bào)警與之相匹配、對(duì)照，構(gòu)建 APT攻擊，如果構(gòu)建成功，則APT攻擊被發(fā)現(xiàn)，并將其記錄。分析人員與分析儀器相互配合， 利用多維數(shù)據(jù)進(jìn)行可視化分析， 對(duì)可疑會(huì)話做好定位， 利用細(xì)粒度解析與應(yīng)用還原數(shù)據(jù)， 有效識(shí)別出異常的行為，如果有異常，報(bào)警模塊及時(shí)做出精確報(bào)警。往往這些不受重視的報(bào)警常常是攻擊者掩藏蓄謀已久的攻擊意圖的好地方（2）濃縮數(shù)據(jù)量對(duì)輸入的數(shù)據(jù)量進(jìn)行壓縮， 在全流量中的數(shù)據(jù)進(jìn)行篩選，將有用的信息刪選出來(lái)，并將與攻擊不相關(guān)聯(lián)的數(shù)據(jù)及時(shí)刪除，并保留與APT攻擊有關(guān)的數(shù)據(jù)流量， 將其有用數(shù)據(jù)弄成一個(gè)集合，壓縮對(duì)數(shù)據(jù)量，從而為檢測(cè)系統(tǒng)騰出更大的空間。還可以在發(fā)現(xiàn)異常情況后，利用原先的全流量的存儲(chǔ)， 將異常行為返回到與之相關(guān)的時(shí)間點(diǎn)。該記憶的檢測(cè)方案主要分成如下幾個(gè)步驟: （1）擴(kuò)大檢測(cè)范圍該方案對(duì)數(shù)據(jù)流量的檢測(cè)領(lǐng)域進(jìn)行拓展， 并將全流量數(shù)據(jù)進(jìn)行有效的存儲(chǔ)，對(duì)存儲(chǔ)的流量數(shù)據(jù)會(huì)進(jìn)行深入分析。APT 攻擊發(fā)生的時(shí)間很長(zhǎng)， 對(duì)APT攻擊的檢測(cè)是建立一個(gè)有效的時(shí)間窗， 所以可以對(duì)長(zhǎng)時(shí)間內(nèi)的數(shù)據(jù)流量進(jìn)行更為深入、 細(xì)致的分析?；谟洃浀臋z測(cè)可以有效緩解上述問(wèn)題。通過(guò)進(jìn)行人工整合的工作，對(duì)不同的情況采取不同的措施。一份統(tǒng)一的威脅名單：根據(jù)威脅檢測(cè)技術(shù)和虛擬分析技術(shù)的結(jié)果，模擬APT攻擊，可以產(chǎn)生一個(gè)可疑的威脅名單或則一份APT攻擊記錄報(bào)表，并將其可以名單和記錄的APT攻擊報(bào)表及時(shí)的地反饋給安全人員報(bào)表系統(tǒng)：該系統(tǒng)根據(jù)不同的目的，提供不同的報(bào)表供 IT 安全管理人員查看。用戶通常不具備足夠的知識(shí)來(lái)判斷文件是否是惡意的。如果該文件是一個(gè)正常文件，隔離后，用戶需要額外的操作才能得到該文件；如果該文件是一個(gè)惡意文件，放過(guò)的話，就會(huì)對(duì)會(huì)對(duì)用戶的系統(tǒng)造成影響。在該模塊產(chǎn)生日志分析的基礎(chǔ)上，根據(jù)一些經(jīng)驗(yàn)規(guī)則或者自定義的規(guī)則，主動(dòng)的發(fā)現(xiàn)可能發(fā)生的安全威脅虛擬分析技術(shù)。 對(duì)于異常告警，安全審計(jì)人員需及時(shí)確認(rèn)原因；并對(duì)未能確認(rèn)原因的異常告警信息，尤其是異常流量警告信息，并及時(shí)聯(lián)系安全技術(shù)支持人員進(jìn)行近一步分析這種異常，從而發(fā)現(xiàn)APT攻擊，但是該檢測(cè)的缺點(diǎn)是不能檢測(cè)未知的異常,同時(shí)隨著異常種類越來(lái)越來(lái)多,導(dǎo)致特征庫(kù)越來(lái)越龐大,從而監(jiān)測(cè)性能也隨之下降。 對(duì)于被識(shí)別為“異?！备怕手荡蟮牧髁啃畔?，將被推送到安全審計(jì)人員作進(jìn)一步分析[17]。該方案主要注重的是對(duì)元數(shù)據(jù)的提取， 以此對(duì)整個(gè)網(wǎng)絡(luò)流量的基本情況進(jìn)行檢測(cè)， 從而發(fā)現(xiàn)異常行為。該方案提出了在多種查詢條件下對(duì)流量數(shù)據(jù)進(jìn)行可視化分析，例如目的 IP 地址流量統(tǒng)計(jì)排序、目的端口流量統(tǒng)計(jì)排序等；并對(duì)對(duì)重要文件的操作及對(duì)應(yīng)的發(fā)生時(shí)間進(jìn)行審計(jì)。 因而導(dǎo)致沙箱檢測(cè)在這種情形下檢測(cè)不出來(lái)惡意代碼， 但是在另外一種情形下可能檢測(cè)出來(lái) 異常檢測(cè)模式： 異常檢測(cè)流程圖APT攻擊常使用端口跳變、應(yīng)用層加密等手段隱藏惡意流量特征，只有通過(guò)一系列的數(shù)據(jù)聚類才能發(fā)現(xiàn)異常，異常檢測(cè)是利用預(yù)先設(shè)定好特征庫(kù)或規(guī)則庫(kù)和用戶通過(guò)從賬號(hào)登錄的IP地址、時(shí)間、行為操作序列等特征的統(tǒng)計(jì)可得到該賬號(hào)的正常行為產(chǎn)生的數(shù)據(jù)量建立一個(gè)有效的模型。 該智能沙箱法案， 通過(guò)對(duì)可能存在的異常行為進(jìn)行技術(shù)性識(shí)別， 檢測(cè)出存在高級(jí)威脅的問(wèn)題。 檢測(cè)的整體流程圖該方案在一定程度上可以有效檢測(cè) APT 攻擊， 對(duì)攻擊方式進(jìn)行非特征匹配。根據(jù)整個(gè)apt攻擊過(guò)程，圍繞APT的攻擊步驟提出具體的檢測(cè)方案。通常APT攻擊會(huì)采用一些惡意程序文件名與常見Windows文件類似，讓我們很難發(fā)現(xiàn)。我們現(xiàn)在對(duì)抗 APT 的思路是以時(shí)間對(duì)抗時(shí)間。APT攻擊者為了發(fā)動(dòng)攻擊肯定會(huì)在系統(tǒng)的某處留下一些模糊的蹤跡，然而這些蹤跡在我們平時(shí)看來(lái)是正常的一些網(wǎng)絡(luò)行為，所以這就導(dǎo)致了我們很難檢測(cè)到APT攻擊。并且該方案能夠識(shí)別和分析服務(wù)器和客戶端的微妙變化和異常。所以要檢測(cè)出APT攻擊已成為許多企業(yè)所面臨的難題，因?yàn)锳PT種攻擊是以“隱形模式”進(jìn)行的。 ATP的檢測(cè)APT攻擊是近幾年來(lái)出現(xiàn)的一種高級(jí)網(wǎng)絡(luò)攻擊，具有難檢測(cè)、持續(xù)時(shí)間長(zhǎng)和攻擊目標(biāo)明確等特征。為了避免受害者推斷出攻擊的來(lái)源，APT 代碼需要對(duì)其在目標(biāo)網(wǎng)絡(luò)中存留的痕跡進(jìn)行銷毀，這個(gè)過(guò)程可以稱之為 APT 的退出。第六階段：資料竊取。為確保以后的數(shù)據(jù)竊取行動(dòng)中會(huì)得到最有價(jià)值的數(shù)據(jù)，APT會(huì)長(zhǎng)期低調(diào)地潛伏。在目標(biāo)網(wǎng)絡(luò)中找出放有敏感信息的重要計(jì)算機(jī),使用包括傳遞哈希值算法的技巧和工具，將攻擊者權(quán)限提升到跟管理者一樣，讓他可以輕松地訪問(wèn)和控制關(guān)鍵目標(biāo)。當(dāng)接收到特定指令，或者檢測(cè)到環(huán)境參數(shù)滿足一定條件時(shí)，惡意程序開始執(zhí)行預(yù)期的動(dòng)作。C服務(wù)器間保持通信[]。然后，APT攻擊活動(dòng)利用網(wǎng)絡(luò)通信協(xié)議來(lái)與Camp。通信）。（Camp。采用誘騙手段將正常網(wǎng)址請(qǐng)求重定向至惡意站點(diǎn)，發(fā)送垃