【正文】 圾電子郵件并捆綁染毒附件，以遠(yuǎn)程協(xié)助為名在后臺(tái)運(yùn)行惡意程序，或者直接向目標(biāo)網(wǎng)站進(jìn)行 SQL 注入攻擊等。另外，攻擊者在探測(cè)期中也需要收集各類(lèi)零日漏洞、編制木馬程序、制訂攻擊計(jì)劃等，用于在下一階段實(shí)施精確攻擊，當(dāng)攻擊者收集到足夠的信息時(shí)，就會(huì)對(duì)目標(biāo)網(wǎng)絡(luò)發(fā)起攻擊。 ATP攻擊的過(guò)程剖析 APT攻擊流程圖第一階段：情報(bào)收集。(5)攻擊者在持續(xù)不斷獲取受害企業(yè)和組織網(wǎng)絡(luò)中的重要數(shù)據(jù)的時(shí)候，一定會(huì)向外部傳輸數(shù)據(jù)。(3)利用防火墻、服務(wù)器等系統(tǒng)漏洞繼而獲取訪(fǎng)問(wèn)企業(yè)網(wǎng)絡(luò)的有效憑證信息(4)很多企業(yè)和組織的網(wǎng)站在防范SQL注入攻擊方面缺乏防范。從一些受到APT攻擊的大型企業(yè)可以發(fā)現(xiàn)，這些企業(yè)受到威脅的關(guān)鍵因素都與普通員工遭遇社交工程的惡意郵件有關(guān)。 近年發(fā)生的APT事件第三章 APT攻擊的發(fā)現(xiàn) ATP攻擊的途徑APT入侵客戶(hù)的途徑多種多樣，主要包括：(1)以智能手機(jī)、平板電腦和USB等移動(dòng)設(shè)備為目標(biāo)和攻擊對(duì)象繼而入侵企業(yè)信息系統(tǒng)的方式。APT攻擊在沒(méi)有挖掘到目標(biāo)的有用信息之前，它可以悄悄潛伏在被攻擊的目標(biāo)的主機(jī)中。與傳統(tǒng)攻擊手段和入侵方式相比，APT 攻擊體現(xiàn)的技術(shù)性更強(qiáng)，過(guò)程也更為復(fù)雜，他的攻擊行為沒(méi)有采取任何可能觸發(fā)警報(bào)或者引起懷疑的行動(dòng)，所以更接近于融入被攻擊者的系統(tǒng)或程序。 APT攻擊的原理APT攻擊的原理和其他網(wǎng)絡(luò)攻擊的區(qū)別主要在于他攻擊形式更為高級(jí)和先進(jìn)，其高級(jí)性體現(xiàn)在APT在發(fā)動(dòng)攻擊之前，需要對(duì)攻擊目標(biāo)信息進(jìn)行精確的收集，在此收集的過(guò)程中，有可能結(jié)合當(dāng)前IT行業(yè)所有可用的攻擊入侵手段和技術(shù)，他們不會(huì)采取單一的攻擊手段，病毒傳播、SQL 注入等 。從技術(shù)的角度來(lái)說(shuō)，APT是一種不同性質(zhì)的攻擊，從某些程來(lái)說(shuō)，APT攻擊是必然的，也是最近出現(xiàn)的一種新的篇章，這個(gè)新的篇章和過(guò)去的網(wǎng)絡(luò)攻擊不一樣，其主要表現(xiàn)為APT的采點(diǎn)是很漫長(zhǎng)的，需要一段很長(zhǎng)的時(shí)間，APT運(yùn)用的攻擊手段很隱蔽，因此很多網(wǎng)絡(luò)安全維護(hù)人員不會(huì)輕易的發(fā)現(xiàn)這種攻擊，因?yàn)樗麄兯\(yùn)用的攻擊手段都是看起來(lái)正常的，進(jìn)攻漫長(zhǎng)的信息采集過(guò)程，最終確定攻擊的目標(biāo)，當(dāng)攻擊的目標(biāo)被確定后，這個(gè)目標(biāo)一定是有比較高的價(jià)值，因?yàn)锳PT前期的攻擊準(zhǔn)備的成本比起一般的網(wǎng)絡(luò)攻擊要高很多，APT不是一種單一的攻擊手段，而是多種攻擊手段的組合，它是由一個(gè)團(tuán)體所組成，因此無(wú)法通過(guò)單一的防護(hù)手段進(jìn)行阻止和防御，APT攻擊目前已成為熱點(diǎn)，其特征不同于傳統(tǒng)的網(wǎng)絡(luò)攻擊，對(duì)已有的安全防范思路和能力，帶來(lái)極大挑戰(zhàn)。第二章 相關(guān)的基礎(chǔ)知識(shí) ATP的概念A(yù)PT攻擊是一種非常有目標(biāo)的攻擊。Persistent但是，多重指標(biāo)很容易導(dǎo)致判斷出現(xiàn)失誤，而且，攻擊者還可能利用偽造技術(shù)指標(biāo)來(lái)將懷疑對(duì)象轉(zhuǎn)嫁到別人身上，大大提升了判斷的難度。（3）對(duì)攻擊的判斷將越來(lái)越困難：在APT攻擊防范中，我們通常用簡(jiǎn)單的技術(shù)指標(biāo)來(lái)判斷攻擊的動(dòng)機(jī)和地理位置。因此，我們將會(huì)看到越來(lái)越多的本地化攻擊。（1）攻擊將會(huì)更有針對(duì)性：越來(lái)越多的APT攻擊將會(huì)針對(duì)特定的地區(qū)、特定的用戶(hù)群體進(jìn)行攻擊。APT攻擊是一個(gè)在時(shí)間上具備連續(xù)性的行為，在以后信息技術(shù)快速的發(fā)展中，APT攻擊將會(huì)變得越來(lái)越復(fù)雜，這并不僅僅表示攻擊技術(shù)越來(lái)越強(qiáng)大，也意味著部署攻擊的方式越來(lái)越靈活。隨著我國(guó)3G網(wǎng)絡(luò)的推廣普及,移動(dòng)終端的市場(chǎng)在不斷擴(kuò)大，APT攻擊也在關(guān)注移動(dòng)互聯(lián)網(wǎng)終端，這也是ATP攻擊的一個(gè)發(fā)展趨勢(shì)。例如，美國(guó)國(guó)防部的 High Level 網(wǎng)絡(luò)作戰(zhàn)原則中，明確指出針對(duì) APT 攻擊行為的檢測(cè)與防御是整個(gè)風(fēng)險(xiǎn)管理鏈條中至關(guān)重要也是基礎(chǔ)的組成部分，西方先進(jìn)國(guó)家已將APT防御議題提升到國(guó)家安全層級(jí)，這絕不僅僅造成數(shù)據(jù)泄露。大致主要分為兩種方式:靜態(tài)檢測(cè)方式和動(dòng)態(tài)檢測(cè)方式[3]。缺乏統(tǒng)一的形式化描述,不能全面系統(tǒng)地表達(dá)APT攻擊的全過(guò)程。目前國(guó)內(nèi)外對(duì)APT（高級(jí)持續(xù)威脅)攻擊行動(dòng)的組成要素、主要任務(wù)、重要活動(dòng)以及交互關(guān)系等問(wèn)題已有清晰的認(rèn)識(shí) ,可是對(duì)APT攻擊的研究主要還是由安全廠(chǎng)商進(jìn)行,其側(cè)重點(diǎn)在于通過(guò)安全事件、威脅的分析導(dǎo)出企業(yè)的安全理念, 以網(wǎng)絡(luò)安全企業(yè)的宣傳、分析資料為主，忽視了對(duì)APT攻擊機(jī)理、產(chǎn)生背景等進(jìn)行整體而細(xì)致的剖析。國(guó)內(nèi)防不住，國(guó)外其實(shí)也防不住[2]。設(shè)計(jì)的目的主要是從APT的規(guī)范定義及特征入手,對(duì)攻擊發(fā)起的背景、步驟等進(jìn)行較詳盡的描述, 在分析APT攻擊的一般過(guò)程基礎(chǔ)上,針對(duì)攻擊不同階段,從技術(shù)措施和防護(hù)方法等方面給出具體的建議，并給出具體、完善的檢測(cè)、響應(yīng)和防范APT攻擊的可行性方案。APT變化多端、效果顯著且難于防范,因此,漸漸成為網(wǎng)絡(luò)滲透和系統(tǒng)攻擊的演進(jìn)趨勢(shì)。盡管我們正在廣泛地使用各種復(fù)雜的軟件技術(shù)，如防火墻、代理服務(wù)器、侵襲探測(cè)器、通道控制機(jī)制等，但是，無(wú)論在發(fā)達(dá)國(guó)家，還是在發(fā)展中國(guó)家，黑客活動(dòng)越來(lái)越猖狂，他們無(wú)孔不入，對(duì)社會(huì)造成了嚴(yán)重的危害，如何消除安全隱患，確保網(wǎng)絡(luò)信息的安全，尤其是網(wǎng)絡(luò)上重要的數(shù)據(jù)的安全，已成為當(dāng)今世界越來(lái)越關(guān)心的話(huà)題。并針對(duì)APT攻擊提出了具體的防范方案關(guān)鍵詞：APT 攻擊，檢測(cè)方案，防范策略學(xué)習(xí)參考ATP attack and protection scheme designAbstractAPT is the advanced persistent threat, which is a kind of network attack occurred in recent years, its characteristic is that preparing his attack requires a long period of time, the attack is very subtle and the most changeful, the effect is very significant, not easy to be found APT attacks have gradually bee the evolution trend of network penetration and system attack. At present, the domestic and foreign research on APT attack protection is still in the primary stage, the defense scheme is based on knowledge and rules, trust and the lack of an unknown threat perception, for the weak unknown perception ability, against lag, the lack of correlation analysis capability, instead of analyzing the background of APT attack mechanism overall and detailed .In order to effectively respond to the growing APT attack, by reading a lot of literature, and drawing lessons from domestic and international experience, from the APT standard definition and characteristic, conducted a more detailed summary on APT attacks generated background, principles and procedures of attacks。這些方案和傳統(tǒng)的防護(hù)方案相比更加有效地檢測(cè) APT 網(wǎng)絡(luò)攻擊。目前，國(guó)內(nèi)外對(duì) APT 攻擊防護(hù)的研究尚處于初級(jí)階段，防御方案是基于已知的知識(shí)和規(guī)則，基于信任,缺乏對(duì)未知威脅的感知能力,針對(duì)未知的感知能力非常薄弱,對(duì)抗點(diǎn)滯后,缺乏關(guān)聯(lián)分析能力，并沒(méi)有對(duì) APT 攻擊機(jī)理、產(chǎn)生背景等進(jìn)行整體而細(xì)致的剖析。特此聲明。. . . . 本科畢業(yè)論文（設(shè)計(jì)） 論文（設(shè)計(jì)）題目：ATP攻擊的發(fā)現(xiàn)與防護(hù)方案設(shè)計(jì)學(xué) 院： 專(zhuān) 業(yè)： 班 級(jí)： 學(xué) 號(hào)： 姓 名： **年**月**日學(xué)習(xí)參考貴州大學(xué)本科畢業(yè)論文（設(shè)計(jì)）誠(chéng)信責(zé)任書(shū)本人鄭重聲明：本人所呈交的畢業(yè)論文（設(shè)計(jì)），是在導(dǎo)師的指導(dǎo)下獨(dú)立進(jìn)行研究所完成。畢業(yè)論文（設(shè)計(jì)）中凡引用他人已經(jīng)發(fā)表或未發(fā)表的成果、數(shù)據(jù)、觀(guān)點(diǎn)等，均已明確注明出處。論文（設(shè)計(jì)）作者簽名： 日 期： ATP攻擊的發(fā)現(xiàn)與防護(hù)方案設(shè)計(jì)摘要APT即為高級(jí)持續(xù)性威脅，是近年來(lái)才出現(xiàn)的一種網(wǎng)絡(luò)攻擊手段，其特點(diǎn)是他的攻擊的前期準(zhǔn)備需要很長(zhǎng)的時(shí)間，攻擊的手段十分隱蔽, 變化多端、效果非常顯著，不易被發(fā)現(xiàn)，APT攻擊已經(jīng)漸漸成為網(wǎng)絡(luò)滲透和系統(tǒng)攻擊的演進(jìn)趨勢(shì)。為了有效的應(yīng)對(duì)現(xiàn)今愈演愈烈的APT攻擊，通過(guò)閱讀大量的文獻(xiàn)，和借鑒國(guó)內(nèi)外的經(jīng)驗(yàn)，從APT的規(guī)范定義及特征入手,對(duì)APT攻擊產(chǎn)生的背景、攻擊的原理及步驟進(jìn)行了一個(gè)較為詳盡的總結(jié)，在理解的基礎(chǔ)上，利用兩臺(tái)Quidway S2008型號(hào)交換機(jī)和路由器 Quidway 2600型號(hào)的路由器還有若干臺(tái)計(jì)算機(jī)，模擬內(nèi)網(wǎng)和外網(wǎng)，利用搭建環(huán)境模擬幾種典型的APT攻擊，提出沙箱檢測(cè)、異常檢測(cè)、威脅檢測(cè)、記憶檢測(cè)等具體的方案來(lái)檢測(cè)APT攻擊。通過(guò)檢測(cè)來(lái)往的數(shù)據(jù)及信息是否含有APT特征，查詢(xún)流量，分析日志，從而在APT還沒(méi)發(fā)起攻擊前發(fā)現(xiàn)APT攻擊。On the basis of understanding, using two Quidway S2008 types of switches and routers Quidway 2600 router models and some puter to simulate internal network and external network, and using building environment to simulate several typical APT attack, propose specific programs including the scheme sandbox detection, anomaly detection, threat detection, memory tests to detect APT attacks. These programs more effectively detect APT attacks pared with traditional protection schemes. By detecting whether the data and information contains APT features, querying flow, analysing log to find the APT attack before the APT attacks and proposed the specific prevention program for APT attack Key： APT attack , detection scheme, prevention strategies目錄摘要 IIAbstract III第一章 概述 1 目的與意義 1 1 主要設(shè)計(jì)內(nèi)容 3第二章 相關(guān)的基礎(chǔ)知識(shí) 4 ATP的概念 4 APT攻擊的原理 4 APT的危害 5第三章 APT攻擊的發(fā)現(xiàn) 6 ATP攻擊的途徑 6 ATP攻擊的過(guò)程剖析 6 ATP的檢測(cè) 8 9 異常檢測(cè)模式 10 威脅檢測(cè)技術(shù) 11 基于記憶的檢測(cè) 13第四章 APT防護(hù)方案設(shè)計(jì) 15 網(wǎng)絡(luò)拓?fù)鋱D 15 存在的威脅 15 內(nèi)網(wǎng)的安全的防護(hù) 16 應(yīng)用程序的安全的防護(hù) 17 服務(wù)器安全的防護(hù) 18 漏洞的防護(hù) 18 社會(huì)工程學(xué) 20 針對(duì)SQL注入的防護(hù) 21 防護(hù)方案后的拓?fù)鋱D 23第五章 ATP攻防實(shí)驗(yàn) 25 實(shí)驗(yàn)平臺(tái)的搭建 25 平臺(tái)拓?fù)鋱D 25