【正文】 web的搭建 25 FTP服務(wù)器的搭建 29 弱密碼攻擊 33 攻擊 33 防護(hù) 38. 測試 44 操作系統(tǒng)IPC$ 漏洞攻擊 46 攻擊 46 防護(hù) 51 測試 55 SQL注入攻擊 57第六章 總結(jié) 65 總結(jié) 65 展望 65參考文獻(xiàn) 67致謝 68 學(xué)習(xí)參考. . . .第一章 概述 目的與意義近年來，隨著信息技術(shù)的高速發(fā)展，信息化技術(shù)在給人們帶來種種物質(zhì)和文化生活享受的同時，各種安全問題也隨之而來，諸如網(wǎng)絡(luò)的數(shù)據(jù)竊賊、黑客對主機(jī)的侵襲從而導(dǎo)致系統(tǒng)內(nèi)部的泄密者。近年來，APT高級持續(xù)性威脅便成為信息安全圈子人人皆知的時髦名詞[1]。所以要設(shè)計一套能有效防護(hù)APT攻擊的方案顯得及其重要。從震網(wǎng)到火焰各種的攻擊，到媒體關(guān)的關(guān)注，全都認(rèn)可一件事情，那就APT攻擊是防不住。目前仍有很多人對APT這個名詞感到陌生，APT到底是什么，關(guān)于APT的定義非?；靵y，APT攻擊并不是具體限定于某一種唯一的方法和步驟,他攻擊的手段多種多樣，廣泛的用到了社會工程學(xué)的手段。所以關(guān)注點(diǎn)較為分散，不成體系，無法對 APT 攻擊形成較為全面的認(rèn)知和理解。外對APT攻擊的檢測主要還都處于探索狀態(tài)。在國外先進(jìn)國家研究APT攻擊已經(jīng)成為國家網(wǎng)絡(luò)安全防御戰(zhàn)略的重要環(huán)節(jié)。根據(jù)許多APT行為特征的蠕蟲病毒分析報告來看，我國信息化建設(shè)和重要信息系統(tǒng)也可能受到來自某些國家和組織實(shí)施的前所未有的 APT 安全威脅，然而我國當(dāng)前面向重要網(wǎng)絡(luò)信息系統(tǒng)的專業(yè)防護(hù)服務(wù)能力和產(chǎn)業(yè)化程度相對較低，尚難以有效應(yīng)對高級持續(xù)性威脅攻擊，形勢相當(dāng)嚴(yán)峻，另一方面，由于APT攻擊的高度復(fù)合性和復(fù)雜性，目前尚缺乏對 APT 成因和檢測的完善方法的研究。APT攻擊時代的來臨預(yù)示著定向攻擊將成為惡意軟件發(fā)展的新趨勢[4]。以后，這類攻擊將會具備更大的破壞能力，使得我們更難進(jìn)行屬性分析。在此類攻擊中，除非目標(biāo)在語言設(shè)定、網(wǎng)段等條件上符合一定的標(biāo)準(zhǔn)，否則惡意軟件不會運(yùn)行。（2）APT攻擊將更有破壞性：在以后，APT攻擊將帶有更多的破壞性質(zhì)，無論這是它的主要目的，或是作為清理攻擊者總計的手段，都很有可能成為時間性攻擊的一部分，被運(yùn)用在明確的目標(biāo)上。但是到了以后，我們將需要綜合社會、政治、經(jīng)濟(jì)、技術(shù)等多重指標(biāo)進(jìn)行判斷，以充分評估和分析目標(biāo)攻擊。 主要設(shè)計內(nèi)容運(yùn)用已學(xué)過的信息安全原理與技術(shù)、現(xiàn)代密碼學(xué)、計算機(jī)網(wǎng)絡(luò)和網(wǎng)絡(luò)攻防等專業(yè)知識，對高級持續(xù)性威脅(AdvancedThreat，APT)產(chǎn)生的背景、攻擊方法與原理進(jìn)行分析，發(fā)現(xiàn)其攻擊規(guī)律，提出檢測方法，搭建一個簡單、實(shí)用的APT攻擊防護(hù)平臺，設(shè)計出一套完整的防范APT攻擊的解決方案，并通過自己搭建的實(shí)驗(yàn)平臺對該方案的可行性進(jìn)行驗(yàn)證。APT攻擊和其他的網(wǎng)絡(luò)攻擊相比，他們有著本質(zhì)的區(qū)別，病毒擁有3個基本屬性，APT攻擊在擁有那些基本屬性的同時，也擁有了屬于自己特有的屬性。應(yīng)對新的威脅，需要有新的思路。因?yàn)閱我坏墓羰侄稳菀妆话l(fā)現(xiàn)，很難達(dá)到APT攻擊所想要的結(jié)果，所以通常會使用自己設(shè)計、具有極強(qiáng)針對性和破壞性的惡意程序[5]，主動挖掘被攻擊對象受信系統(tǒng)和應(yīng)用程序的漏洞，對目標(biāo)系統(tǒng)實(shí)施毀滅性的打擊,APT攻擊的方式可以根據(jù)實(shí)際情況進(jìn)行動態(tài)的調(diào)整，從整體上掌控攻擊進(jìn)程，APT攻擊還具備快速編寫所需滲透代碼的能力。 APT的危害，APT攻擊的出現(xiàn)，對全球的信息安全的防護(hù)是一個極大的挑戰(zhàn)，因?yàn)锳PT攻擊的目標(biāo)通常會是一個國家的安全設(shè)施，例如：航空航天，或者是重要的金融系統(tǒng)。傳統(tǒng)安全事故經(jīng)常是可見的、危害即刻發(fā)生，造成的威脅很??；可是APT攻擊則是不可見，危害在幕后發(fā)生，因?yàn)锳PT攻擊具有很強(qiáng)的隱蔽性，所以悄然間便可竊取被攻擊目標(biāo)的核心數(shù)據(jù)，當(dāng)一個企業(yè)或一個國家知道被攻擊成功時，則造成的危害已經(jīng)不可挽回，他的破壞力是非常強(qiáng)的，在國與國之間沒有真正較量沒有發(fā)生之前時發(fā)作，一旦發(fā)作也許會導(dǎo)致系統(tǒng)不運(yùn)行，包括金融系統(tǒng)，攻擊的目標(biāo)大多數(shù)是針對國家的要害部門，所以它的危害是非常嚴(yán)重，威脅到國家的信息安全。(2)社交工程的惡意郵件是許多APT攻擊成功的關(guān)鍵因素之一，隨著社交工程攻擊手法的日益成熟，郵件幾乎真假難辨。黑客一開始，就是針對某些特定員工發(fā)送的釣魚郵件，以此作為使用APT手法進(jìn)行攻擊的所有源頭。所以通過對目標(biāo)公網(wǎng)網(wǎng)站的SQL注入方式實(shí)現(xiàn)APT攻擊。通過對數(shù)據(jù)進(jìn)行壓縮、加密的方式導(dǎo)致現(xiàn)有絕大部分基于特征庫匹配的檢測系統(tǒng)失效，實(shí)現(xiàn)數(shù)據(jù)的傳輸總之，高級持續(xù)性威脅(APT)正在通過一切方式，繞過基于代碼的傳統(tǒng)安全方案如防病毒軟件、防火墻、IPS等)，并更長時間的潛伏在系統(tǒng)中，讓傳統(tǒng)防御體系難以偵測[6]。攻擊者對鎖定的目標(biāo)和資源采用針對性APT攻擊，使用技術(shù)和社會工程學(xué)手段針對性地進(jìn)行信息收集，目標(biāo)網(wǎng)絡(luò)環(huán)境探測，線上服務(wù)器分布情況，應(yīng)用程序的弱點(diǎn)分析，了解業(yè)務(wù)狀況，員工信息，收集大量關(guān)于系統(tǒng)業(yè)務(wù)流程和使用情況等關(guān)鍵信息，通過網(wǎng)絡(luò)流量、軟件版本、開放端口、員工資料、管理策略等因素的整理和分析[7]，得出系統(tǒng)可能存在的安全弱點(diǎn)。第二階段：進(jìn)入點(diǎn)。盡管攻擊手段各不相同，但絕大部分目的是盡量在避免用戶覺察的條件下取得服務(wù)器、網(wǎng)絡(luò)設(shè)備的控制權(quán)第三階段：命令與控制C攻擊者成功入侵目標(biāo)網(wǎng)絡(luò)后，通常并不急于獲取敏感信息和數(shù)據(jù)，而是在隱藏自身的前提下找出放有敏感信息的重要計算機(jī)。C服務(wù)器通信，并確認(rèn)入侵成功的計算機(jī)和Camp。開始尋找實(shí)施進(jìn)一步行動的最佳時機(jī)。第四階段：橫向擴(kuò)展。第五階段：資料發(fā)掘。這是APT長期潛伏不容易被發(fā)現(xiàn)的特點(diǎn)，來挖掘出最多的資料，而且在這個過程當(dāng)中，通常不會是重復(fù)自動化的過程，而是會有人工的介入對數(shù)據(jù)作分析，以做最大化利用。APT是一種高級的、狡猾的伎倆，利用APT入侵網(wǎng)絡(luò)、逃避“追捕”、悄無聲息不被發(fā)現(xiàn)、隨心所欲對泄露數(shù)據(jù)進(jìn)行長期訪問，最終挖掘到攻擊者想要的資料信息。APT 根據(jù)入侵之前采集的系統(tǒng)信息，將滯留過的主機(jī)進(jìn)行狀態(tài)還原，并恢復(fù)網(wǎng)絡(luò)配置參數(shù)，清除系統(tǒng)日志數(shù)據(jù)，使事后電子取證分析和責(zé)任認(rèn)定難以進(jìn)行。傳統(tǒng)基于攻擊特征的入侵檢測和防御方法在檢測和防御apt方面效果已經(jīng)變得很不理想了。對于傳統(tǒng)的攻擊行為，安全專家僅需關(guān)注惡意程序的樣本提取并做分析，便可以掌握攻擊者的動機(jī)及傳播渠道，可是對于APT攻擊以點(diǎn)概面的安全檢測手段已顯得不合時宜，所以要想在APT攻擊還沒發(fā)生之前，事先檢測到APT攻擊是很困難的，面對APT攻擊威脅，我們應(yīng)當(dāng)有一套更完善更主動更智能的安全防御方案，必須承認(rèn)APT攻擊的發(fā)起者有著超群的智慧和豐富的經(jīng)驗(yàn)，因此檢測APT攻擊就必須密切關(guān)注攻擊者所釋放的惡意代碼的每一個細(xì)節(jié)。無論攻擊者的實(shí)施的計劃多么縝密，還是會留下點(diǎn)攻擊過程中的痕跡，通常就是我們所說的刑事調(diào)查中的痕跡證據(jù)，這種證據(jù)并不明顯，甚至可能是肉眼看不見的。可是安全人員可以快速定位攻擊源頭，并做出對應(yīng)的安全防御策略，但是這些卻無法準(zhǔn)確提取APT攻擊屬性與特征。因?yàn)锳PT是在很長時間內(nèi)才發(fā)生，也許一年，兩年，甚至五年，才可能發(fā)生，所以我們要在一段時間內(nèi)發(fā)現(xiàn)APT，還是很有難度的，需要對長時間、全流量數(shù)據(jù)進(jìn)行深度分析，針對APT攻擊行為的檢測，需要構(gòu)建一個多維度的安全模型，還可以通過手動檢查文件來識別一些微小的不易發(fā)現(xiàn)的標(biāo)記，并將這些標(biāo)記作為潛在惡意活動的指示?？墒侵灰覀兞粜挠^察，是可以識別文件名的細(xì)微區(qū)別的，例如使用大寫I代替小寫L。一共分成五大模塊，沙箱檢測，異常檢測，威脅檢測，記憶檢測還有響應(yīng)。攻擊者與防護(hù)者的信息不對稱， 因?yàn)锳PT攻擊具有極強(qiáng)的隱蔽性，所以要想發(fā)現(xiàn)APT攻擊如同大海撈針。 并且沙箱檢測與整個網(wǎng)絡(luò)運(yùn)行環(huán)境相關(guān)， 操作系統(tǒng)的類型、 瀏覽器的版本、 安裝的插件版本等都對沙箱檢測的結(jié)果起著影響。該模型通過匹配已知異常特征相的模式來檢測異常。該方案的設(shè)計思維就好比現(xiàn)實(shí)生活中警察抓壞人的思維方式， 在沒有明確壞人的基本特征的情況下，那就對好人進(jìn)行行為模式的建構(gòu)， 當(dāng)一個人的行為模式偏離好人的正常范圍， 那么這個人就有可能是壞人，然后再對這個有可能是壞人的人進(jìn)行具體的檢測。通過對該主機(jī)流量進(jìn)行特征抽取，與其正常的流量模型比較，從而得到流量異常情況的概率值。對于員工賬號訪問審計，并進(jìn)一步用于員工賬號訪問異常檢測。 威脅檢測技術(shù)： 威脅檢測流程圖該方案提供了一個統(tǒng)一的接口，可以在不同位置把相關(guān)的日志信息上傳，例如已發(fā)現(xiàn)的病毒或者木馬，可疑的網(wǎng)絡(luò)訪問行為，異常的網(wǎng)絡(luò)流量等。傳統(tǒng)的檢測方案對某些附件或則可執(zhí)行文件對系統(tǒng)可能造成的影響沒有一個準(zhǔn)確的分析，往往會把一些文件隔離起來或者直接放過[20]。因此，無論隔離還是放過，都會對用戶造成困擾。所以該方案是將文件放在沙盒中執(zhí)行，檢測該文件對系統(tǒng)的所有更改是否是有害的，如果對該系統(tǒng)沒有造成影響，就允許通過，如果有影響，或則會危害到系統(tǒng)的秘密信息，就該文件攔截。攔截病毒數(shù)量、本地病毒庫的更新狀態(tài)、已發(fā)現(xiàn)的潛在威脅、 病毒來源，或已知的攻擊等都屬于。 基于記憶的檢測： 記憶檢測流程圖在檢測中APT 攻擊過程中，APT攻擊遺留下來的暴露點(diǎn)包括攻擊過程中的攻擊路徑和時序，APT 攻擊一般不會對系統(tǒng)的安全防御系統(tǒng)進(jìn)行暴力破解，攻擊過程的大部分貌似正常操作；不是所有的異常操作都能立即被檢測；被檢測到的異常也許是在APT攻擊過后才檢測到，因?yàn)锳PT具有很強(qiáng)的隱蔽性?；谟洃浀臋z測系統(tǒng)， 是由全流量審計與日志審計相結(jié)合形成的， 它對抗 APT 的關(guān)鍵方法就是以時間對抗時間[10]。 全流量審計組要是對全過程流量施以應(yīng)用上的識別與還原， 從而檢測出異常的可能會對系統(tǒng)造成危害的行為。 該方案采取擴(kuò)大檢測領(lǐng)域不但提高發(fā)現(xiàn)可疑行為的概率。還可以為已經(jīng)發(fā)生的，但在分析時沒有受到安全管理員的重視，偶爾會出現(xiàn)可疑情況的數(shù)據(jù)流量進(jìn)行關(guān)聯(lián)性的技術(shù)分析，從而實(shí)現(xiàn)有效識別。 依靠數(shù)據(jù)流量的異常檢測模塊，篩選、 刪除一些無用的數(shù)據(jù)流量，從而進(jìn)一步提高檢測的性能（3）報警將原先保存下來的與APT攻擊行為有關(guān)的數(shù)據(jù)進(jìn)行一個后續(xù)的詳細(xì)分析，制定相關(guān)的匹配規(guī)則。從而識別出攻擊者將攻擊行為包裝成成正常行為的行為。接下來就是做出進(jìn)一步的防護(hù)第四章 APT防護(hù)方案設(shè)計 網(wǎng)絡(luò)拓?fù)鋱D： 沒加防護(hù)設(shè)備的網(wǎng)絡(luò)拓?fù)鋱D，主要劃分兩個網(wǎng)段，是主要的攻擊目標(biāo)。 存在的威脅（1）外網(wǎng)帶來的威脅外網(wǎng)的威脅可能有木馬、病毒、蠕蟲，他們會正常的隱藏在word，等正常的軟件中。主機(jī)IP地址和MAC地的威脅，因?yàn)樗鼈兒苋菀妆淮鄹模斐蛇\(yùn)行與維護(hù)上的不安全，刻錄機(jī)帶來的安全風(fēng)險。最常見的還有遠(yuǎn)程辦公帶來的安全威脅。還有將自帶設(shè)備帶入內(nèi)部網(wǎng)絡(luò)，并自動攻擊內(nèi)部主機(jī)、服務(wù)器，并將重要資料復(fù)制到自帶的設(shè)備中，并通過外網(wǎng)回傳到黑客指定地址。對服務(wù)器、應(yīng)用系統(tǒng)的資源占用、響應(yīng)無實(shí)時監(jiān)控手段。管理員權(quán)限過大，可通過在交換機(jī)鏡像或ARP欺騙的方式捕獲內(nèi)部人員的賬號和密碼，管理員可直接在服務(wù)器上讀取OA、EMail等的敏感信息。蠕蟲、病毒，往往會掃描服務(wù)器，從而造成信息泄漏，低權(quán)限管理員有可能利用此權(quán)限，進(jìn)行越權(quán)、高危操作。（2）架設(shè)入侵檢測系統(tǒng)利用入侵檢測系統(tǒng)對網(wǎng)絡(luò)的安全情況進(jìn)行全天的監(jiān)測，網(wǎng)絡(luò)安全管理員應(yīng)該定期對網(wǎng)絡(luò)進(jìn)行模擬滲透，即使發(fā)現(xiàn)系統(tǒng)漏洞，然后針對漏洞做出相應(yīng)的加固方案。部署WSUS服務(wù)器，幫助內(nèi)部網(wǎng)絡(luò)的用戶機(jī)及時、快速地更新/升級windows，能防止網(wǎng)內(nèi)用戶不打漏洞補(bǔ)丁的問題，提高了辦公網(wǎng)絡(luò)的PC安全系數(shù)。（5）Mail安全在信息技術(shù)高度發(fā)展的今天，Email已成為我們生活和工作中必不可少的一部分了，很多人不懂安全的人事，很難想象一封Email中所隱藏的安全隱患，到底有多大，所以應(yīng)當(dāng)對郵件進(jìn)行過濾。同時制定一些制度，規(guī)定員工發(fā)郵件時不帶鏈接、附件等。若發(fā)現(xiàn)異常，立即向主管領(lǐng)導(dǎo)反映，并分析被攻擊因素，及時修復(fù)漏洞，并根據(jù)異常日志，追蹤攻擊源(7）員工主機(jī)安全制定相應(yīng)的主機(jī)加固和管理方案。禁止員工使用自帶的便攜設(shè)備，如U盤，移動硬盤，手機(jī)等，應(yīng)該使用統(tǒng)一的移動設(shè)備，因?yàn)樽詭У谋銛y設(shè)備很有可能會把病毒帶到內(nèi)網(wǎng)中 ，在內(nèi)網(wǎng)進(jìn)行文件傳輸、共享的時候，應(yīng)該按照文件的安全等級要求，進(jìn)行加密傳輸（9）劃分VLAN為各個部門劃分VLAN，保證網(wǎng)絡(luò)能夠高效，穩(wěn)定，安全地運(yùn)行。所以我們在路由器上安裝了防火墻，實(shí)現(xiàn)了對服務(wù)器的安全控制和監(jiān)測。所以在開發(fā)WEB應(yīng)用程序時，應(yīng)該要有嚴(yán)格的安全編碼規(guī)范標(biāo)準(zhǔn)，避免注入、上傳、文件包含、遠(yuǎn)程、本地代碼執(zhí)行、XSS等漏洞安全問題的產(chǎn)生。合理地選擇相對穩(wěn)定，安全的WEB框架，以及web服務(wù)器軟件，為選擇好WEB運(yùn)行程序制定安全的配置方案和加固方案，以及維護(hù)方案，確保系統(tǒng)能夠安全、穩(wěn)定地運(yùn)行。制定一個統(tǒng)一的賬戶、密碼管理體系，對后臺的訪問做一些控制，防止惡意攻擊者進(jìn)行暴力猜解。從而發(fā)現(xiàn)系統(tǒng)存在和可能存在的漏洞，因?yàn)檫\(yùn)用軟件掃描有時有可能會出現(xiàn)誤差（3）流量監(jiān)測定期對網(wǎng)絡(luò)進(jìn)行流量監(jiān)測，因?yàn)橥ㄟ^檢測出進(jìn)或者出口的流量情況，有助于網(wǎng)絡(luò)安全管理員分析W