【正文】 檢測方法，搭建一個(gè)簡單、實(shí)用的APT攻擊防護(hù)平臺(tái)，設(shè)計(jì)出一套完整的防范APT攻擊的解決方案，并通過自己搭建的實(shí)驗(yàn)平臺(tái)對(duì)該方案的可行性進(jìn)行驗(yàn)證。 主要設(shè)計(jì)內(nèi)容運(yùn)用已學(xué)過的信息安全原理與技術(shù)、現(xiàn)代密碼學(xué)、計(jì)算機(jī)網(wǎng)絡(luò)和網(wǎng)絡(luò)攻防等專業(yè)知識(shí)，對(duì)高級(jí)持續(xù)性威脅(Advanced但是到了以后，我們將需要綜合社會(huì)、政治、經(jīng)濟(jì)、技術(shù)等多重指標(biāo)進(jìn)行判斷，以充分評(píng)估和分析目標(biāo)攻擊。（2）APT攻擊將更有破壞性：在以后，APT攻擊將帶有更多的破壞性質(zhì)，無論這是它的主要目的，或是作為清理攻擊者總計(jì)的手段，都很有可能成為時(shí)間性攻擊的一部分，被運(yùn)用在明確的目標(biāo)上。在此類攻擊中，除非目標(biāo)在語言設(shè)定、網(wǎng)段等條件上符合一定的標(biāo)準(zhǔn)，否則惡意軟件不會(huì)運(yùn)行。以后，這類攻擊將會(huì)具備更大的破壞能力，使得我們更難進(jìn)行屬性分析。APT攻擊時(shí)代的來臨預(yù)示著定向攻擊將成為惡意軟件發(fā)展的新趨勢(shì)[4]。根據(jù)許多APT行為特征的蠕蟲病毒分析報(bào)告來看，我國信息化建設(shè)和重要信息系統(tǒng)也可能受到來自某些國家和組織實(shí)施的前所未有的 APT 安全威脅，然而我國當(dāng)前面向重要網(wǎng)絡(luò)信息系統(tǒng)的專業(yè)防護(hù)服務(wù)能力和產(chǎn)業(yè)化程度相對(duì)較低，尚難以有效應(yīng)對(duì)高級(jí)持續(xù)性威脅攻擊，形勢(shì)相當(dāng)嚴(yán)峻，另一方面，由于APT攻擊的高度復(fù)合性和復(fù)雜性，目前尚缺乏對(duì) APT 成因和檢測的完善方法的研究。在國外先進(jìn)國家研究APT攻擊已經(jīng)成為國家網(wǎng)絡(luò)安全防御戰(zhàn)略的重要環(huán)節(jié)。外對(duì)APT攻擊的檢測主要還都處于探索狀態(tài)。所以關(guān)注點(diǎn)較為分散，不成體系，無法對(duì) APT 攻擊形成較為全面的認(rèn)知和理解。目前仍有很多人對(duì)APT這個(gè)名詞感到陌生，APT到底是什么，關(guān)于APT的定義非常混亂，APT攻擊并不是具體限定于某一種唯一的方法和步驟,他攻擊的手段多種多樣，廣泛的用到了社會(huì)工程學(xué)的手段。從震網(wǎng)到火焰各種的攻擊，到媒體關(guān)的關(guān)注，全都認(rèn)可一件事情，那就APT攻擊是防不住。所以要設(shè)計(jì)一套能有效防護(hù)APT攻擊的方案顯得及其重要。近年來，APT高級(jí)持續(xù)性威脅便成為信息安全圈子人人皆知的時(shí)髦名詞[1]。ATP攻擊的發(fā)現(xiàn)與防護(hù)方案設(shè)計(jì)目錄摘要 IIAbstract III第一章 概述 1 目的與意義 1 1 主要設(shè)計(jì)內(nèi)容 3第二章 相關(guān)的基礎(chǔ)知識(shí) 4 ATP的概念 4 APT攻擊的原理 4 APT的危害 5第三章 APT攻擊的發(fā)現(xiàn) 6 ATP攻擊的途徑 6 ATP攻擊的過程剖析 6 ATP的檢測 8 9 異常檢測模式 10 威脅檢測技術(shù) 11 基于記憶的檢測 13第四章 APT防護(hù)方案設(shè)計(jì) 15 網(wǎng)絡(luò)拓?fù)鋱D 15 存在的威脅 15 內(nèi)網(wǎng)的安全的防護(hù) 16 應(yīng)用程序的安全的防護(hù) 17 服務(wù)器安全的防護(hù) 18 漏洞的防護(hù) 18 社會(huì)工程學(xué) 20 針對(duì)SQL注入的防護(hù) 21 防護(hù)方案后的拓?fù)鋱D 23第五章 ATP攻防實(shí)驗(yàn) 25 實(shí)驗(yàn)平臺(tái)的搭建 25 平臺(tái)拓?fù)鋱D 25 web的搭建 25 FTP服務(wù)器的搭建 29 弱密碼攻擊 33 攻擊 33 防護(hù) 38. 測試 44 操作系統(tǒng)IPC$ 漏洞攻擊 46 攻擊 46 防護(hù) 51 測試 55 SQL注入攻擊 57第六章 總結(jié) 65 總結(jié) 65 展望 65參考文獻(xiàn) 67致謝 68 II第一章 概述 目的與意義近年來，隨著信息技術(shù)的高速發(fā)展，信息化技術(shù)在給人們帶來種種物質(zhì)和文化生活享受的同時(shí)，各種安全問題也隨之而來，諸如網(wǎng)絡(luò)的數(shù)據(jù)竊賊、黑客對(duì)主機(jī)的侵襲從而導(dǎo)致系統(tǒng)內(nèi)部的泄密者。盡管我們正在廣泛地使用各種復(fù)雜的軟件技術(shù)，如防火墻、代理服務(wù)器、侵襲探測器、通道控制機(jī)制等，但是，無論在發(fā)達(dá)國家，還是在發(fā)展中國家，黑客活動(dòng)越來越猖狂，他們無孔不入，對(duì)社會(huì)造成了嚴(yán)重的危害，如何消除安全隱患，確保網(wǎng)絡(luò)信息的安全，尤其是網(wǎng)絡(luò)上重要的數(shù)據(jù)的安全，已成為當(dāng)今世界越來越關(guān)心的話題。APT變化多端、效果顯著且難于防范,因此,漸漸成為網(wǎng)絡(luò)滲透和系統(tǒng)攻擊的演進(jìn)趨勢(shì)。設(shè)計(jì)的目的主要是從APT的規(guī)范定義及特征入手,對(duì)攻擊發(fā)起的背景、步驟等進(jìn)行較詳盡的描述, 在分析APT攻擊的一般過程基礎(chǔ)上,針對(duì)攻擊不同階段,從技術(shù)措施和防護(hù)方法等方面給出具體的建議，并給出具體、完善的檢測、響應(yīng)和防范APT攻擊的可行性方案。國內(nèi)防不住，國外其實(shí)也防不住[2]。目前國內(nèi)外對(duì)APT（高級(jí)持續(xù)威脅)攻擊行動(dòng)的組成要素、主要任務(wù)、重要活動(dòng)以及交互關(guān)系等問題已有清晰的認(rèn)識(shí) ,可是對(duì)APT攻擊的研究主要還是由安全廠商進(jìn)行,其側(cè)重點(diǎn)在于通過安全事件、威脅的分析導(dǎo)出企業(yè)的安全理念, 以網(wǎng)絡(luò)安全企業(yè)的宣傳、分析資料為主，忽視了對(duì)APT攻擊機(jī)理、產(chǎn)生背景等進(jìn)行整體而細(xì)致的剖析。缺乏統(tǒng)一的形式化描述,不能全面系統(tǒng)地表達(dá)APT攻擊的全過程。大致主要分為兩種方式:靜態(tài)檢測方式和動(dòng)態(tài)檢測方式[3]。例如，美國國防部的 High Level 網(wǎng)絡(luò)作戰(zhàn)原則中，明確指出針對(duì) APT 攻擊行為的檢測與防御是整個(gè)風(fēng)險(xiǎn)管理鏈條中至關(guān)重要也是基礎(chǔ)的組成部分，西方先進(jìn)國家已將APT防御議題提升到國家安全層級(jí)，這絕不僅僅造成數(shù)據(jù)泄露。隨著我國3G網(wǎng)絡(luò)的推廣普及,移動(dòng)終端的市場在不斷擴(kuò)大，APT攻擊也在關(guān)注移動(dòng)互聯(lián)網(wǎng)終端，這也是ATP攻擊的一個(gè)發(fā)展趨勢(shì)。APT攻擊是一個(gè)在時(shí)間上具備連續(xù)性的行為，在以后信息技術(shù)快速的發(fā)展中，APT攻擊將會(huì)變得越來越復(fù)雜，這并不僅僅表示攻擊技術(shù)越來越強(qiáng)大，也意味著部署攻擊的方式越來越靈活。（1）攻擊將會(huì)更有針對(duì)性：越來越多的APT攻擊將會(huì)針對(duì)特定的地區(qū)、特定的用戶群體進(jìn)行攻擊。因此，我們將會(huì)看到越來越多的本地化攻擊。（3）對(duì)攻擊的判斷將越來越困難：在APT攻擊防范中，我們通常用簡單的技術(shù)指標(biāo)來判斷攻擊的動(dòng)機(jī)和地理位置。但是，多重指標(biāo)很容易導(dǎo)致判斷出現(xiàn)失誤，而且，攻擊者還可能利用偽造技術(shù)指標(biāo)來將懷疑對(duì)象轉(zhuǎn)嫁到別人身上，大大提升了判斷的難度。Persistent第二章 相關(guān)的基礎(chǔ)知識(shí) ATP的概念A(yù)PT攻擊是一種非常有目標(biāo)的攻擊。從技術(shù)的角度來說，APT是一種不同性質(zhì)的攻擊，從某些程來說，APT攻擊是必然的，也是最近出現(xiàn)的一種新的篇章，這個(gè)新的篇章和過去的網(wǎng)絡(luò)攻擊不一樣，其主要表現(xiàn)為APT的采點(diǎn)是很漫長的，需要一段很長的時(shí)間，APT運(yùn)用的攻擊手段很隱蔽，因此很多網(wǎng)絡(luò)安全維護(hù)人員不會(huì)輕易的發(fā)現(xiàn)這種攻擊，因?yàn)樗麄兯\(yùn)用的攻擊手段都是看起來正常的，進(jìn)攻漫長的信息采集過程，最終確定攻擊的目標(biāo)，當(dāng)攻擊的目標(biāo)被確定后，這個(gè)目標(biāo)一定是有比較高的價(jià)值，因?yàn)锳PT前期的攻擊準(zhǔn)備的成本比起一般的網(wǎng)絡(luò)攻擊要高很多，APT不是一種單一的攻擊手段，而是多種攻擊手段的組合，它是由一個(gè)團(tuán)體所組成，因此無法通過單一的防護(hù)手段進(jìn)行阻止和防御，APT攻擊目前已成為熱點(diǎn)，其特征不同于傳統(tǒng)的網(wǎng)絡(luò)攻擊，對(duì)已有的安全防范思路和能力，帶來極大挑戰(zhàn)。 APT攻擊的原理APT攻擊的原理和其他網(wǎng)絡(luò)攻擊的區(qū)別主要在于他攻擊形式更為高級(jí)和先進(jìn)，其高級(jí)性體現(xiàn)在APT在發(fā)動(dòng)攻擊之前，需要對(duì)攻擊目標(biāo)信息進(jìn)行精確的收集，在此收集的過程中，有可能結(jié)合當(dāng)前IT行業(yè)所有可用的攻擊入侵手段和技術(shù)，他們不會(huì)采取單一的攻擊手段，病毒傳播、SQL 注入等 。與傳統(tǒng)攻擊手段和入侵方式相比，APT 攻擊體現(xiàn)的技術(shù)性更強(qiáng)，過程也更為復(fù)雜，他的攻擊行為沒有采取任何可能觸發(fā)警報(bào)或者引起懷疑的行動(dòng)，所以更接近于融入被攻擊者的系統(tǒng)或程序。APT攻擊在沒有挖掘到目標(biāo)的有用信息之前，它可以悄悄潛伏在被攻擊的目標(biāo)的主機(jī)中。 近年發(fā)生的APT事件第三章 APT攻擊的發(fā)現(xiàn) ATP攻擊的途徑APT入侵客戶的途徑多種多樣，主要包括：(1)以智能手機(jī)、平板電腦和USB等移動(dòng)設(shè)備為目標(biāo)和攻擊對(duì)象繼而入侵企業(yè)信息系統(tǒng)的方式。從一些受到APT攻擊的大型企業(yè)可以發(fā)現(xiàn)，這些企業(yè)受到威脅的關(guān)鍵因素都與普通員工遭遇社交工程的惡意郵件有關(guān)。(3)利用防火墻、服務(wù)器等系統(tǒng)漏洞繼而獲取訪問企業(yè)網(wǎng)絡(luò)的有效憑證信息(4)很多企業(yè)和組織的網(wǎng)站在防范SQL注入攻擊方面缺乏防范。(5)攻擊者在持續(xù)不斷獲取受害企業(yè)和組織網(wǎng)絡(luò)中的重要數(shù)據(jù)的時(shí)候，一定會(huì)向外部傳輸數(shù)據(jù)。 ATP攻擊的過程剖析 APT攻擊流程圖第一階段：情報(bào)收集。另外，攻擊者在探測期中也需要收集各類零日漏洞、編制木馬程序、制訂攻擊計(jì)劃等，用于在下一階段實(shí)施精確攻擊，當(dāng)攻擊者收集到足夠的信息時(shí)，就會(huì)對(duì)目標(biāo)網(wǎng)絡(luò)發(fā)起攻擊。采用誘騙手段將正常網(wǎng)址請(qǐng)求重定向至惡意站點(diǎn)，發(fā)送垃圾電子郵件并捆綁染毒附件，以遠(yuǎn)程協(xié)助為名在后臺(tái)運(yùn)行惡意程序，或者直接向目標(biāo)網(wǎng)站進(jìn)行 SQL 注入攻擊等。（Camp。通信）。然后，APT攻擊活動(dòng)利用網(wǎng)絡(luò)通信協(xié)議來與Camp。C服務(wù)器間保持通信[]。當(dāng)接收到特定指令，或者檢測到環(huán)境參數(shù)滿足一定條件時(shí)，惡意程序開始執(zhí)行預(yù)期的動(dòng)作。在目標(biāo)網(wǎng)絡(luò)中找出放有敏感信息的重要計(jì)算機(jī),使用包括傳遞哈希值算法的技巧和工具，將攻擊者權(quán)限提升到跟管理者一樣，讓他可以輕松地訪問和控制關(guān)鍵目標(biāo)。為確保以后的數(shù)據(jù)竊取行動(dòng)中會(huì)得到最有價(jià)值的數(shù)據(jù)，APT會(huì)長期低調(diào)地潛伏。第六階段：資料竊取。為了避免受害者推斷出攻擊的來源，APT 代碼需要對(duì)其在目標(biāo)網(wǎng)絡(luò)中存留的痕跡進(jìn)行銷毀，這個(gè)過程可以稱之為 APT 的退出。 ATP的檢測APT攻擊是近幾年來出現(xiàn)的一種高級(jí)網(wǎng)絡(luò)攻擊，具有難檢測、持續(xù)時(shí)間長和攻擊目標(biāo)明確等特征。所以要檢測出APT攻擊已成為許多企業(yè)所面臨的難題，因?yàn)锳PT種攻擊是以“隱形模式”進(jìn)行的。并且該方案能夠識(shí)別和分析服務(wù)器和客戶端的微妙變化和異常。APT攻擊者為了發(fā)動(dòng)攻擊肯定會(huì)在系統(tǒng)的某處留下一些模糊的蹤跡，然而這些蹤跡在我們平時(shí)看來是正常的一些網(wǎng)絡(luò)行為，所以這就導(dǎo)致了我們很難檢測到APT攻擊。我們現(xiàn)在對(duì)抗 APT 的思路是以時(shí)間對(duì)抗時(shí)間。通常APT攻擊會(huì)采用一些惡意程序文件名與常見Windows文件類似，讓我們很難發(fā)現(xiàn)。根據(jù)整個(gè)apt攻擊過程，圍繞APT的攻擊步驟提出具體的檢測方案。 檢測的整體流程圖該方案在一定程度上可以有效檢測 APT 攻擊， 對(duì)攻擊方式進(jìn)行非特征匹配。 該智能沙箱法案， 通過對(duì)可能存在的異常行為進(jìn)行技術(shù)性識(shí)別， 檢測出存在高級(jí)威脅的問題。 因而導(dǎo)致沙箱檢測在這種情形下檢測不出來惡意代碼， 但是在另外一種情形下可能檢測出來 異常檢測模式： 異常檢測流程圖APT攻擊常使用端口跳變、應(yīng)用層加密等手段隱藏惡意流量特征，只有通過一系列的數(shù)據(jù)聚類才能發(fā)現(xiàn)異常，異常檢測是利用預(yù)先設(shè)定好特征庫或規(guī)則庫和用戶通過從賬號(hào)登錄的IP地址、時(shí)間、行為操作序列等特征的統(tǒng)計(jì)可得到該賬號(hào)的正常行為產(chǎn)生的數(shù)據(jù)量建立一個(gè)有效的模型。該方案提出了在多種查詢條件下對(duì)流量數(shù)據(jù)進(jìn)行可視化分析，例如目的 IP 地址流量統(tǒng)計(jì)排序、目的端口流量統(tǒng)計(jì)排序等；并對(duì)對(duì)重要文件的操作及對(duì)應(yīng)的發(fā)生時(shí)間進(jìn)行審計(jì)。該方案主要注重的是對(duì)元數(shù)據(jù)的提取， 以此對(duì)整個(gè)網(wǎng)絡(luò)流量的基本情況進(jìn)行檢測， 從而發(fā)現(xiàn)異常行為。 對(duì)于被識(shí)別為“異?！备怕手荡蟮牧髁啃畔ⅲ瑢⒈煌扑偷桨踩珜徲?jì)人員作進(jìn)一步分析[17]。 對(duì)于異常告警，安全審計(jì)人員需及時(shí)確認(rèn)原因；并對(duì)未能確認(rèn)原因的異常告警信息，尤其是異常流量警告信息，并及時(shí)聯(lián)系安全技術(shù)支持人員進(jìn)行近一步分析這種異常，從而發(fā)現(xiàn)APT攻擊，但是該檢測的缺點(diǎn)是不能檢測未知的異常,同時(shí)隨著異常種類越來越來多,導(dǎo)致特征庫越來越龐大,從而監(jiān)測性能也隨之下降。在該模塊產(chǎn)生日志分析的基礎(chǔ)上，根據(jù)一些經(jīng)驗(yàn)規(guī)則或者自