【正文】 web的搭建 25 FTP服務(wù)器的搭建 29 弱密碼攻擊 33 攻擊 33 防護(hù) 38. 測(cè)試 44 操作系統(tǒng)IPC$ 漏洞攻擊 46 攻擊 46 防護(hù) 51 測(cè)試 55 SQL注入攻擊 57第六章 總結(jié) 65 總結(jié) 65 展望 65參考文獻(xiàn) 67致謝 68 學(xué)習(xí)參考. . . .第一章 概述 目的與意義近年來(lái)，隨著信息技術(shù)的高速發(fā)展，信息化技術(shù)在給人們帶來(lái)種種物質(zhì)和文化生活享受的同時(shí)，各種安全問(wèn)題也隨之而來(lái)，諸如網(wǎng)絡(luò)的數(shù)據(jù)竊賊、黑客對(duì)主機(jī)的侵襲從而導(dǎo)致系統(tǒng)內(nèi)部的泄密者。近年來(lái)，APT高級(jí)持續(xù)性威脅便成為信息安全圈子人人皆知的時(shí)髦名詞[1]。所以要設(shè)計(jì)一套能有效防護(hù)APT攻擊的方案顯得及其重要。從震網(wǎng)到火焰各種的攻擊，到媒體關(guān)的關(guān)注，全都認(rèn)可一件事情，那就APT攻擊是防不住。目前仍有很多人對(duì)APT這個(gè)名詞感到陌生，APT到底是什么，關(guān)于APT的定義非?；靵y，APT攻擊并不是具體限定于某一種唯一的方法和步驟,他攻擊的手段多種多樣，廣泛的用到了社會(huì)工程學(xué)的手段。所以關(guān)注點(diǎn)較為分散，不成體系，無(wú)法對(duì) APT 攻擊形成較為全面的認(rèn)知和理解。外對(duì)APT攻擊的檢測(cè)主要還都處于探索狀態(tài)。在國(guó)外先進(jìn)國(guó)家研究APT攻擊已經(jīng)成為國(guó)家網(wǎng)絡(luò)安全防御戰(zhàn)略的重要環(huán)節(jié)。根據(jù)許多APT行為特征的蠕蟲(chóng)病毒分析報(bào)告來(lái)看，我國(guó)信息化建設(shè)和重要信息系統(tǒng)也可能受到來(lái)自某些國(guó)家和組織實(shí)施的前所未有的 APT 安全威脅，然而我國(guó)當(dāng)前面向重要網(wǎng)絡(luò)信息系統(tǒng)的專(zhuān)業(yè)防護(hù)服務(wù)能力和產(chǎn)業(yè)化程度相對(duì)較低，尚難以有效應(yīng)對(duì)高級(jí)持續(xù)性威脅攻擊，形勢(shì)相當(dāng)嚴(yán)峻，另一方面，由于APT攻擊的高度復(fù)合性和復(fù)雜性，目前尚缺乏對(duì) APT 成因和檢測(cè)的完善方法的研究。APT攻擊時(shí)代的來(lái)臨預(yù)示著定向攻擊將成為惡意軟件發(fā)展的新趨勢(shì)[4]。以后，這類(lèi)攻擊將會(huì)具備更大的破壞能力，使得我們更難進(jìn)行屬性分析。在此類(lèi)攻擊中，除非目標(biāo)在語(yǔ)言設(shè)定、網(wǎng)段等條件上符合一定的標(biāo)準(zhǔn)，否則惡意軟件不會(huì)運(yùn)行。（2）APT攻擊將更有破壞性：在以后，APT攻擊將帶有更多的破壞性質(zhì)，無(wú)論這是它的主要目的，或是作為清理攻擊者總計(jì)的手段，都很有可能成為時(shí)間性攻擊的一部分，被運(yùn)用在明確的目標(biāo)上。但是到了以后，我們將需要綜合社會(huì)、政治、經(jīng)濟(jì)、技術(shù)等多重指標(biāo)進(jìn)行判斷，以充分評(píng)估和分析目標(biāo)攻擊。 主要設(shè)計(jì)內(nèi)容運(yùn)用已學(xué)過(guò)的信息安全原理與技術(shù)、現(xiàn)代密碼學(xué)、計(jì)算機(jī)網(wǎng)絡(luò)和網(wǎng)絡(luò)攻防等專(zhuān)業(yè)知識(shí)，對(duì)高級(jí)持續(xù)性威脅(AdvancedThreat，APT)產(chǎn)生的背景、攻擊方法與原理進(jìn)行分析，發(fā)現(xiàn)其攻擊規(guī)律，提出檢測(cè)方法，搭建一個(gè)簡(jiǎn)單、實(shí)用的APT攻擊防護(hù)平臺(tái)，設(shè)計(jì)出一套完整的防范APT攻擊的解決方案，并通過(guò)自己搭建的實(shí)驗(yàn)平臺(tái)對(duì)該方案的可行性進(jìn)行驗(yàn)證。APT攻擊和其他的網(wǎng)絡(luò)攻擊相比，他們有著本質(zhì)的區(qū)別，病毒擁有3個(gè)基本屬性，APT攻擊在擁有那些基本屬性的同時(shí)，也擁有了屬于自己特有的屬性。應(yīng)對(duì)新的威脅，需要有新的思路。因?yàn)閱我坏墓羰侄稳菀妆话l(fā)現(xiàn)，很難達(dá)到APT攻擊所想要的結(jié)果，所以通常會(huì)使用自己設(shè)計(jì)、具有極強(qiáng)針對(duì)性和破壞性的惡意程序[5]，主動(dòng)挖掘被攻擊對(duì)象受信系統(tǒng)和應(yīng)用程序的漏洞，對(duì)目標(biāo)系統(tǒng)實(shí)施毀滅性的打擊,APT攻擊的方式可以根據(jù)實(shí)際情況進(jìn)行動(dòng)態(tài)的調(diào)整，從整體上掌控攻擊進(jìn)程，APT攻擊還具備快速編寫(xiě)所需滲透代碼的能力。 APT的危害，APT攻擊的出現(xiàn)，對(duì)全球的信息安全的防護(hù)是一個(gè)極大的挑戰(zhàn)，因?yàn)锳PT攻擊的目標(biāo)通常會(huì)是一個(gè)國(guó)家的安全設(shè)施，例如：航空航天，或者是重要的金融系統(tǒng)。傳統(tǒng)安全事故經(jīng)常是可見(jiàn)的、危害即刻發(fā)生，造成的威脅很小；可是APT攻擊則是不可見(jiàn)，危害在幕后發(fā)生，因?yàn)锳PT攻擊具有很強(qiáng)的隱蔽性，所以悄然間便可竊取被攻擊目標(biāo)的核心數(shù)據(jù)，當(dāng)一個(gè)企業(yè)或一個(gè)國(guó)家知道被攻擊成功時(shí)，則造成的危害已經(jīng)不可挽回，他的破壞力是非常強(qiáng)的，在國(guó)與國(guó)之間沒(méi)有真正較量沒(méi)有發(fā)生之前時(shí)發(fā)作，一旦發(fā)作也許會(huì)導(dǎo)致系統(tǒng)不運(yùn)行，包括金融系統(tǒng)，攻擊的目標(biāo)大多數(shù)是針對(duì)國(guó)家的要害部門(mén)，所以它的危害是非常嚴(yán)重，威脅到國(guó)家的信息安全。(2)社交工程的惡意郵件是許多APT攻擊成功的關(guān)鍵因素之一，隨著社交工程攻擊手法的日益成熟，郵件幾乎真假難辨。黑客一開(kāi)始，就是針對(duì)某些特定員工發(fā)送的釣魚(yú)郵件，以此作為使用APT手法進(jìn)行攻擊的所有源頭。所以通過(guò)對(duì)目標(biāo)公網(wǎng)網(wǎng)站的SQL注入方式實(shí)現(xiàn)APT攻擊。通過(guò)對(duì)數(shù)據(jù)進(jìn)行壓縮、加密的方式導(dǎo)致現(xiàn)有絕大部分基于特征庫(kù)匹配的檢測(cè)系統(tǒng)失效，實(shí)現(xiàn)數(shù)據(jù)的傳輸總之，高級(jí)持續(xù)性威脅(APT)正在通過(guò)一切方式，繞過(guò)基于代碼的傳統(tǒng)安全方案如防病毒軟件、防火墻、IPS等)，并更長(zhǎng)時(shí)間的潛伏在系統(tǒng)中，讓傳統(tǒng)防御體系難以偵測(cè)[6]。攻擊者對(duì)鎖定的目標(biāo)和資源采用針對(duì)性APT攻擊，使用技術(shù)和社會(huì)工程學(xué)手段針對(duì)性地進(jìn)行信息收集，目標(biāo)網(wǎng)絡(luò)環(huán)境探測(cè)，線(xiàn)上服務(wù)器分布情況，應(yīng)用程序的弱點(diǎn)分析，了解業(yè)務(wù)狀況，員工信息，收集大量關(guān)于系統(tǒng)業(yè)務(wù)流程和使用情況等關(guān)鍵信息，通過(guò)網(wǎng)絡(luò)流量、軟件版本、開(kāi)放端口、員工資料、管理策略等因素的整理和分析[7]，得出系統(tǒng)可能存在的安全弱點(diǎn)。第二階段：進(jìn)入點(diǎn)。盡管攻擊手段各不相同，但絕大部分目的是盡量在避免用戶(hù)覺(jué)察的條件下取得服務(wù)器、網(wǎng)絡(luò)設(shè)備的控制權(quán)第三階段：命令與控制C攻擊者成功入侵目標(biāo)網(wǎng)絡(luò)后，通常并不急于獲取敏感信息和數(shù)據(jù)，而是在隱藏自身的前提下找出放有敏感信息的重要計(jì)算機(jī)。C服務(wù)器通信，并確認(rèn)入侵成功的計(jì)算機(jī)和Camp。開(kāi)始尋找實(shí)施進(jìn)一步行動(dòng)的最佳時(shí)機(jī)。第四階段：橫向擴(kuò)展。第五階段：資料發(fā)掘。這是APT長(zhǎng)期潛伏不容易被發(fā)現(xiàn)的特點(diǎn)，來(lái)挖掘出最多的資料，而且在這個(gè)過(guò)程當(dāng)中，通常不會(huì)是重復(fù)自動(dòng)化的過(guò)程，而是會(huì)有人工的介入對(duì)數(shù)據(jù)作分析，以做最大化利用。APT是一種高級(jí)的、狡猾的伎倆，利用APT入侵網(wǎng)絡(luò)、逃避“追捕”、悄無(wú)聲息不被發(fā)現(xiàn)、隨心所欲對(duì)泄露數(shù)據(jù)進(jìn)行長(zhǎng)期訪(fǎng)問(wèn)，最終挖掘到攻擊者想要的資料信息。APT 根據(jù)入侵之前采集的系統(tǒng)信息，將滯留過(guò)的主機(jī)進(jìn)行狀態(tài)還原，并恢復(fù)網(wǎng)絡(luò)配置參數(shù)，清除系統(tǒng)日志數(shù)據(jù)，使事后電子取證分析和責(zé)任認(rèn)定難以進(jìn)行。傳統(tǒng)基于攻擊特征的入侵檢測(cè)和防御方法在檢測(cè)和防御apt方面效果已經(jīng)變得很不理想了。對(duì)于傳統(tǒng)的攻擊行為，安全專(zhuān)家僅需關(guān)注惡意程序的樣本提取并做分析，便可以掌握攻擊者的動(dòng)機(jī)及傳播渠道，可是對(duì)于APT攻擊以點(diǎn)概面的安全檢測(cè)手段已顯得不合時(shí)宜，所以要想在APT攻擊還沒(méi)發(fā)生之前，事先檢測(cè)到APT攻擊是很困難的，面對(duì)APT攻擊威脅，我們應(yīng)當(dāng)有一套更完善更主動(dòng)更智能的安全防御方案，必須承認(rèn)APT攻擊的發(fā)起者有著超群的智慧和豐富的經(jīng)驗(yàn)，因此檢測(cè)APT攻擊就必須密切關(guān)注攻擊者所釋放的惡意代碼的每一個(gè)細(xì)節(jié)。無(wú)論攻擊者的實(shí)施的計(jì)劃多么縝密，還是會(huì)留下點(diǎn)攻擊過(guò)程中的痕跡，通常就是我們所說(shuō)的刑事調(diào)查中的痕跡證據(jù)，這種證據(jù)并不明顯，甚至可能是肉眼看不見(jiàn)的?？墒前踩藛T可以快速定位攻擊源頭，并做出對(duì)應(yīng)的安全防御策略，但是這些卻無(wú)法準(zhǔn)確提取APT攻擊屬性與特征。因?yàn)锳PT是在很長(zhǎng)時(shí)間內(nèi)才發(fā)生，也許一年，兩年，甚至五年，才可能發(fā)生，所以我們要在一段時(shí)間內(nèi)發(fā)現(xiàn)APT，還是很有難度的，需要對(duì)長(zhǎng)時(shí)間、全流量數(shù)據(jù)進(jìn)行深度分析，針對(duì)APT攻擊行為的檢測(cè)，需要構(gòu)建一個(gè)多維度的安全模型，還可以通過(guò)手動(dòng)檢查文件來(lái)識(shí)別一些微小的不易發(fā)現(xiàn)的標(biāo)記，并將這些標(biāo)記作為潛在惡意活動(dòng)的指示。可是只要我們留心觀察，是可以識(shí)別文件名的細(xì)微區(qū)別的，例如使用大寫(xiě)I代替小寫(xiě)L。一共分成五大模塊，沙箱檢測(cè)，異常檢測(cè)，威脅檢測(cè)，記憶檢測(cè)還有響應(yīng)。攻擊者與防護(hù)者的信息不對(duì)稱(chēng)， 因?yàn)锳PT攻擊具有極強(qiáng)的隱蔽性，所以要想發(fā)現(xiàn)APT攻擊如同大海撈針。 并且沙箱檢測(cè)與整個(gè)網(wǎng)絡(luò)運(yùn)行環(huán)境相關(guān)， 操作系統(tǒng)的類(lèi)型、 瀏覽器的版本、 安裝的插件版本等都對(duì)沙箱檢測(cè)的結(jié)果起著影響。該模型通過(guò)匹配已知異常特征相的模式來(lái)檢測(cè)異常。該方案的設(shè)計(jì)思維就好比現(xiàn)實(shí)生活中警察抓壞人的思維方式， 在沒(méi)有明確壞人的基本特征的情況下，那就對(duì)好人進(jìn)行行為模式的建構(gòu)， 當(dāng)一個(gè)人的行為模式偏離好人的正常范圍， 那么這個(gè)人就有可能是壞人，然后再對(duì)這個(gè)有可能是壞人的人進(jìn)行具體的檢測(cè)。通過(guò)對(duì)該主機(jī)流量進(jìn)行特征抽取，與其正常的流量模型比較，從而得到流量異常情況的概率值。對(duì)于員工賬號(hào)訪(fǎng)問(wèn)審計(jì)，并進(jìn)一步用于員工賬號(hào)訪(fǎng)問(wèn)異常檢測(cè)。 威脅檢測(cè)技術(shù)： 威脅檢測(cè)流程圖該方案提供了一個(gè)統(tǒng)一的接口，可以在不同位置把相關(guān)的日志信息上傳，例如已發(fā)現(xiàn)的病毒或者木馬，可疑的網(wǎng)絡(luò)訪(fǎng)問(wèn)行為，異常的網(wǎng)絡(luò)流量等。傳統(tǒng)的檢測(cè)方案對(duì)某些附件或則可執(zhí)行文件對(duì)系統(tǒng)可能造成的影響沒(méi)有一個(gè)準(zhǔn)確的分析，往往會(huì)把一些文件隔離起來(lái)或者直接放過(guò)[20]。因此，無(wú)論隔離還是放過(guò)，都會(huì)對(duì)用戶(hù)造成困擾。所以該方案是將文件放在沙盒中執(zhí)行，檢測(cè)該文件對(duì)系統(tǒng)的所有更改是否是有害的，如果對(duì)該系統(tǒng)沒(méi)有造成影響，就允許通過(guò)，如果有影響，或則會(huì)危害到系統(tǒng)的秘密信息，就該文件攔截。攔截病毒數(shù)量、本地病毒庫(kù)的更新?tīng)顟B(tài)、已發(fā)現(xiàn)的潛在威脅、 病毒來(lái)源，或已知的攻擊等都屬于。 基于記憶的檢測(cè)： 記憶檢測(cè)流程圖在檢測(cè)中APT 攻擊過(guò)程中，APT攻擊遺留下來(lái)的暴露點(diǎn)包括攻擊過(guò)程中的攻擊路徑和時(shí)序，APT 攻擊一般不會(huì)對(duì)系統(tǒng)的安全防御系統(tǒng)進(jìn)行暴力破解，攻擊過(guò)程的大部分貌似正常操作；不是所有的異常操作都能立即被檢測(cè)；被檢測(cè)到的異常也許是在APT攻擊過(guò)后才檢測(cè)到，因?yàn)锳PT具有很強(qiáng)的隱蔽性?；谟洃浀臋z測(cè)系統(tǒng)， 是由全流量審計(jì)與日志審計(jì)相結(jié)合形成的， 它對(duì)抗 APT 的關(guān)鍵方法就是以時(shí)間對(duì)抗時(shí)間[10]。 全流量審計(jì)組要是對(duì)全過(guò)程流量施以應(yīng)用上的識(shí)別與還原， 從而檢測(cè)出異常的可能會(huì)對(duì)系統(tǒng)造成危害的行為。 該方案采取擴(kuò)大檢測(cè)領(lǐng)域不但提高發(fā)現(xiàn)可疑行為的概率。還可以為已經(jīng)發(fā)生的，但在分析時(shí)沒(méi)有受到安全管理員的重視，偶爾會(huì)出現(xiàn)可疑情況的數(shù)據(jù)流量進(jìn)行關(guān)聯(lián)性的技術(shù)分析，從而實(shí)現(xiàn)有效識(shí)別。 依靠數(shù)據(jù)流量的異常檢測(cè)模塊，篩選、 刪除一些無(wú)用的數(shù)據(jù)流量，從而進(jìn)一步提高檢測(cè)的性能（3）報(bào)警將原先保存下來(lái)的與APT攻擊行為有關(guān)的數(shù)據(jù)進(jìn)行一個(gè)后續(xù)的詳細(xì)分析，制定相關(guān)的匹配規(guī)則。從而識(shí)別出攻擊者將攻擊行為包裝成成正常行為的行為。接下來(lái)就是做出進(jìn)一步的防護(hù)第四章 APT防護(hù)方案設(shè)計(jì) 網(wǎng)絡(luò)拓?fù)鋱D： 沒(méi)加防護(hù)設(shè)備的網(wǎng)絡(luò)拓?fù)鋱D，主要?jiǎng)澐謨蓚€(gè)網(wǎng)段，是主要的攻擊目標(biāo)。 存在的威脅（1）外網(wǎng)帶來(lái)的威脅外網(wǎng)的威脅可能有木馬、病毒、蠕蟲(chóng)，他們會(huì)正常的隱藏在word，等正常的軟件中。主機(jī)IP地址和MAC地的威脅，因?yàn)樗鼈兒苋菀妆淮鄹?，造成運(yùn)行與維護(hù)上的不安全，刻錄機(jī)帶來(lái)的安全風(fēng)險(xiǎn)。最常見(jiàn)的還有遠(yuǎn)程辦公帶來(lái)的安全威脅。還有將自帶設(shè)備帶入內(nèi)部網(wǎng)絡(luò)，并自動(dòng)攻擊內(nèi)部主機(jī)、服務(wù)器，并將重要資料復(fù)制到自帶的設(shè)備中，并通過(guò)外網(wǎng)回傳到黑客指定地址。對(duì)服務(wù)器、應(yīng)用系統(tǒng)的資源占用、響應(yīng)無(wú)實(shí)時(shí)監(jiān)控手段。管理員權(quán)限過(guò)大，可通過(guò)在交換機(jī)鏡像或ARP欺騙的方式捕獲內(nèi)部人員的賬號(hào)和密碼，管理員可直接在服務(wù)器上讀取OA、EMail等的敏感信息。蠕蟲(chóng)、病毒，往往會(huì)掃描服務(wù)器，從而造成信息泄漏，低權(quán)限管理員有可能利用此權(quán)限，進(jìn)行越權(quán)、高危操作。（2）架設(shè)入侵檢測(cè)系統(tǒng)利用入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)的安全情況進(jìn)行全天的監(jiān)測(cè)，網(wǎng)絡(luò)安全管理員應(yīng)該定期對(duì)網(wǎng)絡(luò)進(jìn)行模擬滲透，即使發(fā)現(xiàn)系統(tǒng)漏洞，然后針對(duì)漏洞做出相應(yīng)的加固方案。部署WSUS服務(wù)器，幫助內(nèi)部網(wǎng)絡(luò)的用戶(hù)機(jī)及時(shí)、快速地更新/升級(jí)windows，能防止網(wǎng)內(nèi)用戶(hù)不打漏洞補(bǔ)丁的問(wèn)題，提高了辦公網(wǎng)絡(luò)的PC安全系數(shù)。（5）Mail安全在信息技術(shù)高度發(fā)展的今天，Email已成為我們生活和工作中必不可少的一部分了，很多人不懂安全的人事，很難想象一封Email中所隱藏的安全隱患，到底有多大，所以應(yīng)當(dāng)對(duì)郵件進(jìn)行過(guò)濾。同時(shí)制定一些制度，規(guī)定員工發(fā)郵件時(shí)不帶鏈接、附件等。若發(fā)現(xiàn)異常，立即向主管領(lǐng)導(dǎo)反映，并分析被攻擊因素，及時(shí)修復(fù)漏洞，并根據(jù)異常日志，追蹤攻擊源(7）員工主機(jī)安全制定相應(yīng)的主機(jī)加固和管理方案。禁止員工使用自帶的便攜設(shè)備，如U盤(pán)，移動(dòng)硬盤(pán)，手機(jī)等，應(yīng)該使用統(tǒng)一的移動(dòng)設(shè)備，因?yàn)樽詭У谋銛y設(shè)備很有可能會(huì)把病毒帶到內(nèi)網(wǎng)中 ，在內(nèi)網(wǎng)進(jìn)行文件傳輸、共享的時(shí)候，應(yīng)該按照文件的安全等級(jí)要求，進(jìn)行加密傳輸（9）劃分VLAN為各個(gè)部門(mén)劃分VLAN，保證網(wǎng)絡(luò)能夠高效，穩(wěn)定，安全地運(yùn)行。所以我們?cè)诼酚善魃习惭b了防火墻，實(shí)現(xiàn)了對(duì)服務(wù)器的安全控制和監(jiān)測(cè)。所以在開(kāi)發(fā)WEB應(yīng)用程序時(shí)，應(yīng)該要有嚴(yán)格的安全編碼規(guī)范標(biāo)準(zhǔn)，避免注入、上傳、文件包含、遠(yuǎn)程、本地代碼執(zhí)行、XSS等漏洞安全問(wèn)題的產(chǎn)生。合理地選擇相對(duì)穩(wěn)定，安全的WEB框架，以及web服務(wù)器軟件，為選擇好WEB運(yùn)行程序制定安全的配置方案和加固方案，以及維護(hù)方案，確保系統(tǒng)能夠安全、穩(wěn)定地運(yùn)行。制定一個(gè)統(tǒng)一的賬戶(hù)、密碼管理體系，對(duì)后臺(tái)的訪(fǎng)問(wèn)做一些控制，防止惡意攻擊者進(jìn)行暴力猜解。從而發(fā)現(xiàn)系統(tǒng)存在和可能存在的漏洞，因?yàn)檫\(yùn)用軟件掃描有時(shí)有可能會(huì)出現(xiàn)誤差（3）流量監(jiān)測(cè)定期對(duì)網(wǎng)絡(luò)進(jìn)行流量監(jiān)測(cè)，因?yàn)橥ㄟ^(guò)檢測(cè)出進(jìn)或者出口的流量情況，有助于網(wǎng)絡(luò)安全管理員分析W