【正文】 定義的規(guī)則，主動的發(fā)現(xiàn)可能發(fā)生的安全威脅虛擬分析技術(shù)。如果該文件是一個正常文件，隔離后，用戶需要額外的操作才能得到該文件；如果該文件是一個惡意文件，放過的話，就會對會對用戶的系統(tǒng)造成影響。用戶通常不具備足夠的知識來判斷文件是否是惡意的。一份統(tǒng)一的威脅名單：根據(jù)威脅檢測技術(shù)和虛擬分析技術(shù)的結(jié)果，模擬APT攻擊，可以產(chǎn)生一個可疑的威脅名單或則一份APT攻擊記錄報表，并將其可以名單和記錄的APT攻擊報表及時的地反饋給安全人員報表系統(tǒng)：該系統(tǒng)根據(jù)不同的目的，提供不同的報表供 IT 安全管理人員查看。通過進行人工整合的工作，對不同的情況采取不同的措施?；谟洃浀臋z測可以有效緩解上述問題。APT 攻擊發(fā)生的時間很長， 對APT攻擊的檢測是建立一個有效的時間窗， 所以可以對長時間內(nèi)的數(shù)據(jù)流量進行更為深入、 細致的分析。該記憶的檢測方案主要分成如下幾個步驟: （1）擴大檢測范圍該方案對數(shù)據(jù)流量的檢測領(lǐng)域進行拓展， 并將全流量數(shù)據(jù)進行有效的存儲，對存儲的流量數(shù)據(jù)會進行深入分析。還可以在發(fā)現(xiàn)異常情況后，利用原先的全流量的存儲， 將異常行為返回到與之相關(guān)的時間點。往往這些不受重視的報警常常是攻擊者掩藏蓄謀已久的攻擊意圖的好地方（2）濃縮數(shù)據(jù)量對輸入的數(shù)據(jù)量進行壓縮， 在全流量中的數(shù)據(jù)進行篩選，將有用的信息刪選出來，并將與攻擊不相關(guān)聯(lián)的數(shù)據(jù)及時刪除，并保留與APT攻擊有關(guān)的數(shù)據(jù)流量， 將其有用數(shù)據(jù)弄成一個集合，壓縮對數(shù)據(jù)量，從而為檢測系統(tǒng)騰出更大的空間。分析人員與分析儀器相互配合， 利用多維數(shù)據(jù)進行可視化分析， 對可疑會話做好定位， 利用細粒度解析與應(yīng)用還原數(shù)據(jù)， 有效識別出異常的行為，如果有異常，報警模塊及時做出精確報警。（4）模擬攻擊安全管理員將識別出的報警數(shù)據(jù)進行關(guān)聯(lián)性分析， 明確這些報警數(shù)據(jù)與APT攻擊之間存在的語義關(guān)系，并將孤立的攻擊報警從海量的報警中提取出來，根據(jù)關(guān)聯(lián)特征組建攻擊場景相關(guān)的知識庫，對識別出的報警與之相匹配、對照，構(gòu)建 APT攻擊，如果構(gòu)建成功，則APT攻擊被發(fā)現(xiàn)，并將其記錄。其中內(nèi)網(wǎng)包括PC機和服務(wù)器，外網(wǎng)就只有PC機。這些威脅也許會通過U盤、移動硬盤等移動存儲介質(zhì)進行傳播。還有隨著手機、平板電腦的流行而帶來的移動設(shè)備管理等問題。（2）內(nèi)網(wǎng)帶來的威脅內(nèi)部成員之間重要文檔在傳輸過程中帶來的安全問題，當(dāng)某個不具備某文檔閱讀權(quán)限的內(nèi)部員工可能會接觸、打開、復(fù)制、打印該文檔，這樣就有可能造成文件的泄露。員工的U盤、移動硬盤、光盤也有可能在外部感染木馬，從而攻擊內(nèi)網(wǎng)中的主機、服務(wù)器，然后將數(shù)據(jù)傳到外部。主機、應(yīng)用系統(tǒng)登錄安全問題。管理員可直接接觸到核心數(shù)據(jù)庫，容易產(chǎn)生誤操作，或惡意操作。 內(nèi)網(wǎng)的安全的防護（1）訪問控制配置訪問控制策略，對網(wǎng)絡(luò)進行訪問控制，并且在內(nèi)網(wǎng)中應(yīng)該不要使用無線網(wǎng)，無線網(wǎng)絡(luò)存在諸多安全隱患，而且不方便集中管理上網(wǎng)用戶，為了避免攻擊者通過無線網(wǎng)絡(luò)滲透進內(nèi)網(wǎng)或者機密資料被竊取，所以應(yīng)避免使用無線網(wǎng)絡(luò)。（3）PC補丁管理服務(wù)器WSUS支持微軟的全部產(chǎn)品的更新，以及補丁程序。（4）病毒防御系統(tǒng)統(tǒng)一為網(wǎng)內(nèi)中的所有主機和服務(wù)器安裝殺毒軟件。消除郵件中的安全隱患。（6）日志管理對日志進行統(tǒng)一管理，安全管理員應(yīng)該定期進行日志分析。確保每個員工的主機都能安全地運行（8）培養(yǎng)員工的安全意管理員應(yīng)該定期對員工進行網(wǎng)絡(luò)安全方面知識的普及和培訓(xùn)，規(guī)范員工的上網(wǎng)，引導(dǎo)員工去安全地上網(wǎng)，從而確保內(nèi)網(wǎng)環(huán)境安全和穩(wěn)定。并對員工的主機實行mac雙向綁定，從而預(yù)防ARP攻擊 應(yīng)用程序的安全的防護WEB應(yīng)用程序是整個網(wǎng)絡(luò)中的第一道防線，同時也是整個網(wǎng)絡(luò)中最容易被攻擊者攻擊的一個環(huán)節(jié)，從而導(dǎo)致了WEB應(yīng)用程序的安全變得很重要。WEB應(yīng)用程序的安全，需要注意以下幾點：（1）開發(fā)環(huán)節(jié)WEB應(yīng)用的開發(fā)環(huán)節(jié)直接影響WEB應(yīng)用的安全。所以在應(yīng)用上線之前，要嚴格地進行各種安全測試和加固。（2）安裝WEB應(yīng)用防火墻安裝防火墻，一定程度上也可以提高WEB的安全系數(shù)。并定期對WEB系統(tǒng)進行漏洞掃描和弱點分析，同時，也要進行人工的漏洞挖掘。防止攻擊者對網(wǎng)絡(luò)實行流量攻擊 服務(wù)器安全的防護（1）賬戶、密碼管理對服務(wù)器的賬戶、密碼進行嚴格管理，修改密碼策略，賬戶添加/刪除審批，用戶賬戶的權(quán)限管理/審批等。（2）配置安全策略歲服務(wù)器制定相應(yīng)的安全部署策略和安全加固策略，以及訪問策略等，為服務(wù)器及時安裝漏洞補丁，并定期對安全策略、補丁等情況進行檢查。發(fā)現(xiàn)異常，應(yīng)及時的做相應(yīng)的處理，為服務(wù)器進行定期的漏洞掃描安全人員也應(yīng)該進行相應(yīng)的手工漏洞挖掘工作。做出相應(yīng)的加固，加固必須要嚴格按照服務(wù)器安全配置方案，加固方案，管理方案進行。所以在沒有必要“文件和打印共享”的情況下，可以這個功能關(guān)閉。默認的情況下，所有的用戶都可以通過空連接連上服務(wù)器，所以這樣就會對我們的服務(wù)器帶來很大的安全隱患，導(dǎo)致服務(wù)器上的信息泄露。使用代理服務(wù)器后，攻擊者只能探測到道理服務(wù)器的IP地址而不是內(nèi)網(wǎng)中主機的IP地址，這就實現(xiàn)了隱藏用戶IP地址的目的，從而保障了內(nèi)網(wǎng)的安全。關(guān)閉不必要的端口 攻擊者在入侵時常常會對目標(biāo)主機的端口進行掃描，安裝了端口監(jiān)視程序，當(dāng)監(jiān)視程序檢測到有人掃描是就會有警告提示。 更換管理員賬戶為Adminstrator賬戶設(shè)置一個強大復(fù)雜的密碼，然后重命名Adminstrator賬戶，再創(chuàng)建一個沒有管理員權(quán)限的Adminstrator賬戶漆面入侵者，以此來防止攻擊者知道管理員賬戶，從而在一定的程度上保證計算機安全。 社會工程學(xué)通過培訓(xùn)，使內(nèi)網(wǎng)的工作人員對社工有個比較全面的認識，學(xué)會理智地分辨他們身邊存在或可能存在的“社工行為”以及“社工因素”，避免內(nèi)網(wǎng)被社工。社會工程學(xué)的攻擊主要是從“人”開始的。0day漏洞很可怕，可是在網(wǎng)絡(luò)攻擊中的社會工程學(xué)同樣很可怕，社會工程學(xué)是一個很廣泛的攻擊手段，跟技術(shù)性的防范不同，它包含很多的不確定因素，所以要想防范社會工程學(xué)攻擊還是很有難度的。而“被動社會工程學(xué)攻擊”是指內(nèi)網(wǎng)中的人員因為信息泄露等因素，被外網(wǎng)的攻擊者所利用而引發(fā)的攻擊。上網(wǎng)行為管理設(shè)備應(yīng)該做到阻止內(nèi)部主機對惡意U R L的訪問。DNS服務(wù)器，可能是內(nèi)部的緩存服務(wù)器,也可能是外部的DNS服務(wù)器,由于只能對內(nèi)部DNS服務(wù)器監(jiān)控而無法監(jiān)控外部DNS服務(wù)器的情況，因此不能完全避免這種類型的攻擊[13]。有些攻擊者可能會冒充某些正規(guī)網(wǎng)站的名義，然后編個冠冕堂皇的理由寄一封信給內(nèi)部人員，并要求輸入用戶名稱與密碼，當(dāng)內(nèi)部成員輸入后，如果按下“確定”，那時用戶名和密碼就會返回到攻擊者的郵箱。 針對SQL注入的防護（1）應(yīng)用程序設(shè)計該SQL語句ELECTFROMWHEREusername39。Password=39。=or39。=39。or39。=39。*UsersUsername=39。39。=39。AND139。39。=39。該語句恒為真，所以就會登陸后臺界面，這樣就會構(gòu)成SQL注入攻擊，所以我們應(yīng)該對SQL注入的字符串進行有效的過濾[]。and(select count(*) from account)0。\s*drop\s+table\s+|_az09]+()?刪除數(shù)據(jù)’or 1=1 (’\s+)?or\s+[[。||+\s*=\s*|[。]]+\s*()?構(gòu)造永遠為真的條件語句： 防御流程圖當(dāng)發(fā)現(xiàn)SQL攻擊時，則攔截請求并產(chǎn)生警告信息作為應(yīng)答；如果未發(fā)現(xiàn)攻擊，則提交至系統(tǒng)模塊。然后檢測請求數(shù)據(jù)中是否含有SQL注入攻擊常用的關(guān)鍵字以及分隔符，如and、or、1=’、等，如果不含有，則可以排除注入攻擊的可能。對于包含注入關(guān)鍵字的Web請求，可以遍歷規(guī)則庫對請求內(nèi)容進行詳細的正則匹配。如果匹配失敗，則將請求字符串記錄入可疑攻擊代碼庫，提交網(wǎng)站管理員分析。（2）驗證所有的輸入信息如果可以接受字母，那就要檢查是不是存在不可接受的字符。使用正則表達式來進行復(fù)雜的模式匹配，限制用戶輸入的字符的長度[21]。（3）用戶權(quán)限在應(yīng)用程序中使用的連接數(shù)據(jù)庫的賬戶應(yīng)該是擁有必要的特權(quán)，這樣可以有效地保護整個系統(tǒng)盡可能少地受到入侵者的危害通過限制用戶權(quán)限，隔離了不同賬戶可執(zhí)行的操作。 防護方案后的拓撲圖： 加了防護方案的拓撲圖在路由出口架設(shè)大流量吞吐量的防火墻，可以有效地防御外部攻擊者對外部路由進行DDoS攻擊，做訪問控制策略，保證內(nèi)網(wǎng)的安全控制，在二層交換機上部署上網(wǎng)行為管理系統(tǒng)，網(wǎng)絡(luò)入侵檢測系統(tǒng)，日志審計管理系統(tǒng)，運行與維護安全審計系統(tǒng)。以保證數(shù)據(jù)和機密文件的安全。第五章 ATP攻防實驗 實驗平臺的搭建 平臺拓撲圖： 環(huán)境網(wǎng)絡(luò)拓撲圖，主要劃分兩個網(wǎng)段，是主要的攻擊目標(biāo)。 web的搭建搭建的web系統(tǒng)為“家庭理財管理系統(tǒng)”。（1）安裝IIS進行添加程序界面，單擊“添加/刪除Windows組件”，選中“應(yīng)用程序服務(wù)器”，單擊下一步，： 應(yīng)用程序界面安裝過程中需要插入系統(tǒng)安裝光盤，插入光盤后繼續(xù)運行。（2） 因為“家庭理財管理系統(tǒng)”，而Sever 。： 完成界面。安裝完成后，Sever 2003系統(tǒng)的Frame ,，通過IIS下的“Web 服務(wù)擴展”查看支持的框架。右鍵“網(wǎng)站”，單擊“網(wǎng)站”進入網(wǎng)站創(chuàng)建向?qū)Ы缑妗＃?IP設(shè)定界面輸入網(wǎng)站主目錄路徑。在彈出的提示中單擊“是”即可。 主頁界面 FTP服務(wù)器的搭建安裝ftp服務(wù)，將i386文件拷貝到服務(wù)器上或插入Windows2003安裝光盤，單擊“開始控制面板添加或刪除程序添加/刪除Windows組件”選項，在“組件”列表中，雙擊“應(yīng)用程序服務(wù)器”選項，單擊并選中“Internet信息服務(wù)(IIS)”選項，然后單擊“詳細信息”按鈕，打開“應(yīng)用程序服務(wù)器子組件”窗口。選中“文件傳輸協(xié)議服務(wù)”這個選項，單擊確定。出現(xiàn)提示時，如需要文件i386，則定位到剛才拷貝的i386文件，一直點下一步，最后點完成（1）配置ftp站點點擊“開始”—“管理工具”—“Internet： IP配置界面配置FTP用戶隔離，選擇“隔離用戶”模式。設(shè)置好之后點擊下一步，： 目錄圖單機“下一步”，直至整個安裝過程完成，然后啟動該服務(wù)器，并右鍵我的電腦，點擊管理—地用戶和組，右鍵點擊用戶，選擇新建用戶，： 建立用戶選中剛才創(chuàng)建的用戶名，然后右鍵，選擇屬性，在選中配置文件，定位到主文件夾本地路徑，在里面填寫d:\tmp\LocalUser\usertmp(可根據(jù)情況換成相應(yīng)的目錄)，系統(tǒng)會在temp文件夾下自動生成相應(yīng)的文件夾，然后點擊確定，： MyUser屬性圖在本地測試一下是否ftp環(huán)境已經(jīng)搭建好了，首先在d:\tmp\LocalUser\，然后在IE中輸入ftp://，看是否能夠訪問到這個文件，如果能夠訪問到，則說明配置成功了。 弱密碼攻擊 攻擊： 攻擊流程用X—，對掃描器進行相應(yīng)的設(shè)置，： 具體設(shè)置圖設(shè)置掃描的IP地址范圍，： 存活的主機根據(jù)掃面的結(jié)果對相應(yīng)的主機進行攻擊，： 掃描結(jié)果從掃描的信息中，我們可以觀察到各個主機所存在的漏洞，： 漏洞信息根據(jù)所得的在信息登錄被攻擊的主機系統(tǒng)：通過掃描的信息已經(jīng)知道用戶名為：administrator 密碼為：123 現(xiàn)在