【正文】 定義的規(guī)則，主動(dòng)的發(fā)現(xiàn)可能發(fā)生的安全威脅虛擬分析技術(shù)。如果該文件是一個(gè)正常文件，隔離后，用戶(hù)需要額外的操作才能得到該文件；如果該文件是一個(gè)惡意文件，放過(guò)的話(huà)，就會(huì)對(duì)會(huì)對(duì)用戶(hù)的系統(tǒng)造成影響。用戶(hù)通常不具備足夠的知識(shí)來(lái)判斷文件是否是惡意的。一份統(tǒng)一的威脅名單：根據(jù)威脅檢測(cè)技術(shù)和虛擬分析技術(shù)的結(jié)果，模擬APT攻擊，可以產(chǎn)生一個(gè)可疑的威脅名單或則一份APT攻擊記錄報(bào)表，并將其可以名單和記錄的APT攻擊報(bào)表及時(shí)的地反饋給安全人員報(bào)表系統(tǒng)：該系統(tǒng)根據(jù)不同的目的，提供不同的報(bào)表供 IT 安全管理人員查看。通過(guò)進(jìn)行人工整合的工作，對(duì)不同的情況采取不同的措施?；谟洃浀臋z測(cè)可以有效緩解上述問(wèn)題。APT 攻擊發(fā)生的時(shí)間很長(zhǎng)， 對(duì)APT攻擊的檢測(cè)是建立一個(gè)有效的時(shí)間窗， 所以可以對(duì)長(zhǎng)時(shí)間內(nèi)的數(shù)據(jù)流量進(jìn)行更為深入、 細(xì)致的分析。該記憶的檢測(cè)方案主要分成如下幾個(gè)步驟: （1）擴(kuò)大檢測(cè)范圍該方案對(duì)數(shù)據(jù)流量的檢測(cè)領(lǐng)域進(jìn)行拓展， 并將全流量數(shù)據(jù)進(jìn)行有效的存儲(chǔ)，對(duì)存儲(chǔ)的流量數(shù)據(jù)會(huì)進(jìn)行深入分析。還可以在發(fā)現(xiàn)異常情況后，利用原先的全流量的存儲(chǔ)， 將異常行為返回到與之相關(guān)的時(shí)間點(diǎn)。往往這些不受重視的報(bào)警常常是攻擊者掩藏蓄謀已久的攻擊意圖的好地方（2）濃縮數(shù)據(jù)量對(duì)輸入的數(shù)據(jù)量進(jìn)行壓縮， 在全流量中的數(shù)據(jù)進(jìn)行篩選，將有用的信息刪選出來(lái)，并將與攻擊不相關(guān)聯(lián)的數(shù)據(jù)及時(shí)刪除，并保留與APT攻擊有關(guān)的數(shù)據(jù)流量， 將其有用數(shù)據(jù)弄成一個(gè)集合，壓縮對(duì)數(shù)據(jù)量，從而為檢測(cè)系統(tǒng)騰出更大的空間。分析人員與分析儀器相互配合， 利用多維數(shù)據(jù)進(jìn)行可視化分析， 對(duì)可疑會(huì)話(huà)做好定位， 利用細(xì)粒度解析與應(yīng)用還原數(shù)據(jù)， 有效識(shí)別出異常的行為，如果有異常，報(bào)警模塊及時(shí)做出精確報(bào)警。（4）模擬攻擊安全管理員將識(shí)別出的報(bào)警數(shù)據(jù)進(jìn)行關(guān)聯(lián)性分析， 明確這些報(bào)警數(shù)據(jù)與APT攻擊之間存在的語(yǔ)義關(guān)系，并將孤立的攻擊報(bào)警從海量的報(bào)警中提取出來(lái)，根據(jù)關(guān)聯(lián)特征組建攻擊場(chǎng)景相關(guān)的知識(shí)庫(kù)，對(duì)識(shí)別出的報(bào)警與之相匹配、對(duì)照，構(gòu)建 APT攻擊，如果構(gòu)建成功，則APT攻擊被發(fā)現(xiàn)，并將其記錄。其中內(nèi)網(wǎng)包括PC機(jī)和服務(wù)器，外網(wǎng)就只有PC機(jī)。這些威脅也許會(huì)通過(guò)U盤(pán)、移動(dòng)硬盤(pán)等移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行傳播。還有隨著手機(jī)、平板電腦的流行而帶來(lái)的移動(dòng)設(shè)備管理等問(wèn)題。（2）內(nèi)網(wǎng)帶來(lái)的威脅內(nèi)部成員之間重要文檔在傳輸過(guò)程中帶來(lái)的安全問(wèn)題，當(dāng)某個(gè)不具備某文檔閱讀權(quán)限的內(nèi)部員工可能會(huì)接觸、打開(kāi)、復(fù)制、打印該文檔，這樣就有可能造成文件的泄露。員工的U盤(pán)、移動(dòng)硬盤(pán)、光盤(pán)也有可能在外部感染木馬，從而攻擊內(nèi)網(wǎng)中的主機(jī)、服務(wù)器，然后將數(shù)據(jù)傳到外部。主機(jī)、應(yīng)用系統(tǒng)登錄安全問(wèn)題。管理員可直接接觸到核心數(shù)據(jù)庫(kù)，容易產(chǎn)生誤操作，或惡意操作。 內(nèi)網(wǎng)的安全的防護(hù)（1）訪(fǎng)問(wèn)控制配置訪(fǎng)問(wèn)控制策略，對(duì)網(wǎng)絡(luò)進(jìn)行訪(fǎng)問(wèn)控制，并且在內(nèi)網(wǎng)中應(yīng)該不要使用無(wú)線(xiàn)網(wǎng)，無(wú)線(xiàn)網(wǎng)絡(luò)存在諸多安全隱患，而且不方便集中管理上網(wǎng)用戶(hù)，為了避免攻擊者通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò)滲透進(jìn)內(nèi)網(wǎng)或者機(jī)密資料被竊取，所以應(yīng)避免使用無(wú)線(xiàn)網(wǎng)絡(luò)。（3）PC補(bǔ)丁管理服務(wù)器WSUS支持微軟的全部產(chǎn)品的更新，以及補(bǔ)丁程序。（4）病毒防御系統(tǒng)統(tǒng)一為網(wǎng)內(nèi)中的所有主機(jī)和服務(wù)器安裝殺毒軟件。消除郵件中的安全隱患。（6）日志管理對(duì)日志進(jìn)行統(tǒng)一管理，安全管理員應(yīng)該定期進(jìn)行日志分析。確保每個(gè)員工的主機(jī)都能安全地運(yùn)行（8）培養(yǎng)員工的安全意管理員應(yīng)該定期對(duì)員工進(jìn)行網(wǎng)絡(luò)安全方面知識(shí)的普及和培訓(xùn)，規(guī)范員工的上網(wǎng)，引導(dǎo)員工去安全地上網(wǎng)，從而確保內(nèi)網(wǎng)環(huán)境安全和穩(wěn)定。并對(duì)員工的主機(jī)實(shí)行mac雙向綁定，從而預(yù)防ARP攻擊 應(yīng)用程序的安全的防護(hù)WEB應(yīng)用程序是整個(gè)網(wǎng)絡(luò)中的第一道防線(xiàn)，同時(shí)也是整個(gè)網(wǎng)絡(luò)中最容易被攻擊者攻擊的一個(gè)環(huán)節(jié)，從而導(dǎo)致了WEB應(yīng)用程序的安全變得很重要。WEB應(yīng)用程序的安全，需要注意以下幾點(diǎn)：（1）開(kāi)發(fā)環(huán)節(jié)WEB應(yīng)用的開(kāi)發(fā)環(huán)節(jié)直接影響WEB應(yīng)用的安全。所以在應(yīng)用上線(xiàn)之前，要嚴(yán)格地進(jìn)行各種安全測(cè)試和加固。（2）安裝WEB應(yīng)用防火墻安裝防火墻，一定程度上也可以提高WEB的安全系數(shù)。并定期對(duì)WEB系統(tǒng)進(jìn)行漏洞掃描和弱點(diǎn)分析，同時(shí)，也要進(jìn)行人工的漏洞挖掘。防止攻擊者對(duì)網(wǎng)絡(luò)實(shí)行流量攻擊 服務(wù)器安全的防護(hù)（1）賬戶(hù)、密碼管理對(duì)服務(wù)器的賬戶(hù)、密碼進(jìn)行嚴(yán)格管理，修改密碼策略，賬戶(hù)添加/刪除審批，用戶(hù)賬戶(hù)的權(quán)限管理/審批等。（2）配置安全策略歲服務(wù)器制定相應(yīng)的安全部署策略和安全加固策略，以及訪(fǎng)問(wèn)策略等，為服務(wù)器及時(shí)安裝漏洞補(bǔ)丁，并定期對(duì)安全策略、補(bǔ)丁等情況進(jìn)行檢查。發(fā)現(xiàn)異常，應(yīng)及時(shí)的做相應(yīng)的處理，為服務(wù)器進(jìn)行定期的漏洞掃描安全人員也應(yīng)該進(jìn)行相應(yīng)的手工漏洞挖掘工作。做出相應(yīng)的加固，加固必須要嚴(yán)格按照服務(wù)器安全配置方案，加固方案，管理方案進(jìn)行。所以在沒(méi)有必要“文件和打印共享”的情況下，可以這個(gè)功能關(guān)閉。默認(rèn)的情況下，所有的用戶(hù)都可以通過(guò)空連接連上服務(wù)器，所以這樣就會(huì)對(duì)我們的服務(wù)器帶來(lái)很大的安全隱患，導(dǎo)致服務(wù)器上的信息泄露。使用代理服務(wù)器后，攻擊者只能探測(cè)到道理服務(wù)器的IP地址而不是內(nèi)網(wǎng)中主機(jī)的IP地址，這就實(shí)現(xiàn)了隱藏用戶(hù)IP地址的目的，從而保障了內(nèi)網(wǎng)的安全。關(guān)閉不必要的端口 攻擊者在入侵時(shí)常常會(huì)對(duì)目標(biāo)主機(jī)的端口進(jìn)行掃描，安裝了端口監(jiān)視程序，當(dāng)監(jiān)視程序檢測(cè)到有人掃描是就會(huì)有警告提示。 更換管理員賬戶(hù)為Adminstrator賬戶(hù)設(shè)置一個(gè)強(qiáng)大復(fù)雜的密碼，然后重命名Adminstrator賬戶(hù)，再創(chuàng)建一個(gè)沒(méi)有管理員權(quán)限的Adminstrator賬戶(hù)漆面入侵者，以此來(lái)防止攻擊者知道管理員賬戶(hù)，從而在一定的程度上保證計(jì)算機(jī)安全。 社會(huì)工程學(xué)通過(guò)培訓(xùn)，使內(nèi)網(wǎng)的工作人員對(duì)社工有個(gè)比較全面的認(rèn)識(shí)，學(xué)會(huì)理智地分辨他們身邊存在或可能存在的“社工行為”以及“社工因素”，避免內(nèi)網(wǎng)被社工。社會(huì)工程學(xué)的攻擊主要是從“人”開(kāi)始的。0day漏洞很可怕，可是在網(wǎng)絡(luò)攻擊中的社會(huì)工程學(xué)同樣很可怕，社會(huì)工程學(xué)是一個(gè)很廣泛的攻擊手段，跟技術(shù)性的防范不同，它包含很多的不確定因素，所以要想防范社會(huì)工程學(xué)攻擊還是很有難度的。而“被動(dòng)社會(huì)工程學(xué)攻擊”是指內(nèi)網(wǎng)中的人員因?yàn)樾畔⑿孤兜纫蛩兀煌饩W(wǎng)的攻擊者所利用而引發(fā)的攻擊。上網(wǎng)行為管理設(shè)備應(yīng)該做到阻止內(nèi)部主機(jī)對(duì)惡意U R L的訪(fǎng)問(wèn)。DNS服務(wù)器，可能是內(nèi)部的緩存服務(wù)器,也可能是外部的DNS服務(wù)器,由于只能對(duì)內(nèi)部DNS服務(wù)器監(jiān)控而無(wú)法監(jiān)控外部DNS服務(wù)器的情況，因此不能完全避免這種類(lèi)型的攻擊[13]。有些攻擊者可能會(huì)冒充某些正規(guī)網(wǎng)站的名義，然后編個(gè)冠冕堂皇的理由寄一封信給內(nèi)部人員，并要求輸入用戶(hù)名稱(chēng)與密碼，當(dāng)內(nèi)部成員輸入后，如果按下“確定”，那時(shí)用戶(hù)名和密碼就會(huì)返回到攻擊者的郵箱。 針對(duì)SQL注入的防護(hù)（1）應(yīng)用程序設(shè)計(jì)該SQL語(yǔ)句ELECTFROMWHEREusername39。Password=39。=or39。=39。or39。=39。*UsersUsername=39。39。=39。AND139。39。=39。該語(yǔ)句恒為真，所以就會(huì)登陸后臺(tái)界面，這樣就會(huì)構(gòu)成SQL注入攻擊，所以我們應(yīng)該對(duì)SQL注入的字符串進(jìn)行有效的過(guò)濾[]。and(select count(*) from account)0。\s*drop\s+table\s+|_az09]+()?刪除數(shù)據(jù)’or 1=1 (’\s+)?or\s+[[。||+\s*=\s*|[。]]+\s*()?構(gòu)造永遠(yuǎn)為真的條件語(yǔ)句： 防御流程圖當(dāng)發(fā)現(xiàn)SQL攻擊時(shí)，則攔截請(qǐng)求并產(chǎn)生警告信息作為應(yīng)答；如果未發(fā)現(xiàn)攻擊，則提交至系統(tǒng)模塊。然后檢測(cè)請(qǐng)求數(shù)據(jù)中是否含有SQL注入攻擊常用的關(guān)鍵字以及分隔符，如and、or、1=’、等，如果不含有，則可以排除注入攻擊的可能。對(duì)于包含注入關(guān)鍵字的Web請(qǐng)求，可以遍歷規(guī)則庫(kù)對(duì)請(qǐng)求內(nèi)容進(jìn)行詳細(xì)的正則匹配。如果匹配失敗，則將請(qǐng)求字符串記錄入可疑攻擊代碼庫(kù)，提交網(wǎng)站管理員分析。（2）驗(yàn)證所有的輸入信息如果可以接受字母，那就要檢查是不是存在不可接受的字符。使用正則表達(dá)式來(lái)進(jìn)行復(fù)雜的模式匹配，限制用戶(hù)輸入的字符的長(zhǎng)度[21]。（3）用戶(hù)權(quán)限在應(yīng)用程序中使用的連接數(shù)據(jù)庫(kù)的賬戶(hù)應(yīng)該是擁有必要的特權(quán)，這樣可以有效地保護(hù)整個(gè)系統(tǒng)盡可能少地受到入侵者的危害通過(guò)限制用戶(hù)權(quán)限，隔離了不同賬戶(hù)可執(zhí)行的操作。 防護(hù)方案后的拓?fù)鋱D： 加了防護(hù)方案的拓?fù)鋱D在路由出口架設(shè)大流量吞吐量的防火墻，可以有效地防御外部攻擊者對(duì)外部路由進(jìn)行DDoS攻擊，做訪(fǎng)問(wèn)控制策略，保證內(nèi)網(wǎng)的安全控制，在二層交換機(jī)上部署上網(wǎng)行為管理系統(tǒng)，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，日志審計(jì)管理系統(tǒng)，運(yùn)行與維護(hù)安全審計(jì)系統(tǒng)。以保證數(shù)據(jù)和機(jī)密文件的安全。第五章 ATP攻防實(shí)驗(yàn) 實(shí)驗(yàn)平臺(tái)的搭建 平臺(tái)拓?fù)鋱D： 環(huán)境網(wǎng)絡(luò)拓?fù)鋱D，主要?jiǎng)澐謨蓚€(gè)網(wǎng)段，是主要的攻擊目標(biāo)。 web的搭建搭建的web系統(tǒng)為“家庭理財(cái)管理系統(tǒng)”。（1）安裝IIS進(jìn)行添加程序界面，單擊“添加/刪除Windows組件”，選中“應(yīng)用程序服務(wù)器”，單擊下一步，： 應(yīng)用程序界面安裝過(guò)程中需要插入系統(tǒng)安裝光盤(pán)，插入光盤(pán)后繼續(xù)運(yùn)行。（2） 因?yàn)椤凹彝ダ碡?cái)管理系統(tǒng)”，而Sever 。： 完成界面。安裝完成后，Sever 2003系統(tǒng)的Frame ,，通過(guò)IIS下的“Web 服務(wù)擴(kuò)展”查看支持的框架。右鍵“網(wǎng)站”，單擊“網(wǎng)站”進(jìn)入網(wǎng)站創(chuàng)建向?qū)Ы缑?。?IP設(shè)定界面輸入網(wǎng)站主目錄路徑。在彈出的提示中單擊“是”即可。 主頁(yè)界面 FTP服務(wù)器的搭建安裝ftp服務(wù)，將i386文件拷貝到服務(wù)器上或插入Windows2003安裝光盤(pán)，單擊“開(kāi)始控制面板添加或刪除程序添加/刪除Windows組件”選項(xiàng)，在“組件”列表中，雙擊“應(yīng)用程序服務(wù)器”選項(xiàng)，單擊并選中“Internet信息服務(wù)(IIS)”選項(xiàng)，然后單擊“詳細(xì)信息”按鈕，打開(kāi)“應(yīng)用程序服務(wù)器子組件”窗口。選中“文件傳輸協(xié)議服務(wù)”這個(gè)選項(xiàng)，單擊確定。出現(xiàn)提示時(shí)，如需要文件i386，則定位到剛才拷貝的i386文件，一直點(diǎn)下一步，最后點(diǎn)完成（1）配置ftp站點(diǎn)點(diǎn)擊“開(kāi)始”—“管理工具”—“Internet： IP配置界面配置FTP用戶(hù)隔離，選擇“隔離用戶(hù)”模式。設(shè)置好之后點(diǎn)擊下一步，： 目錄圖單機(jī)“下一步”，直至整個(gè)安裝過(guò)程完成，然后啟動(dòng)該服務(wù)器，并右鍵我的電腦，點(diǎn)擊管理—地用戶(hù)和組，右鍵點(diǎn)擊用戶(hù)，選擇新建用戶(hù)，： 建立用戶(hù)選中剛才創(chuàng)建的用戶(hù)名，然后右鍵，選擇屬性，在選中配置文件，定位到主文件夾本地路徑，在里面填寫(xiě)d:\tmp\LocalUser\usertmp(可根據(jù)情況換成相應(yīng)的目錄)，系統(tǒng)會(huì)在temp文件夾下自動(dòng)生成相應(yīng)的文件夾，然后點(diǎn)擊確定，： MyUser屬性圖在本地測(cè)試一下是否ftp環(huán)境已經(jīng)搭建好了，首先在d:\tmp\LocalUser\，然后在IE中輸入ftp://，看是否能夠訪(fǎng)問(wèn)到這個(gè)文件，如果能夠訪(fǎng)問(wèn)到，則說(shuō)明配置成功了。 弱密碼攻擊 攻擊： 攻擊流程用X—，對(duì)掃描器進(jìn)行相應(yīng)的設(shè)置，： 具體設(shè)置圖設(shè)置掃描的IP地址范圍，： 存活的主機(jī)根據(jù)掃面的結(jié)果對(duì)相應(yīng)的主機(jī)進(jìn)行攻擊，： 掃描結(jié)果從掃描的信息中，我們可以觀察到各個(gè)主機(jī)所存在的漏洞，： 漏洞信息根據(jù)所得的在信息登錄被攻擊的主機(jī)系統(tǒng)：通過(guò)掃描的信息已經(jīng)知道用戶(hù)名為：administrator 密碼為：123 現(xiàn)在