【正文】 EB的運(yùn)行情況，發(fā)現(xiàn)進(jìn)出口的流量是否存在異常。定期對(duì)服務(wù)器的賬戶、密碼進(jìn)行檢查，看看是否存在異常情況。（3）日志管理及漏洞檢查對(duì)服務(wù)器日志進(jìn)行統(tǒng)一管理，管理員需定期的歲服務(wù)器進(jìn)行日志分析。并定期對(duì)服務(wù)器進(jìn)行評(píng)估和審計(jì)。 漏洞的防護(hù)（1）內(nèi)部主機(jī)的設(shè)置關(guān)閉“文件和打印共享” 文件和打印共享可以實(shí)現(xiàn)內(nèi)網(wǎng)中同一網(wǎng)段中的各個(gè)成員之間的文件的傳輸，使用起來很方便，所以很多時(shí)候企業(yè)都會(huì)采用這樣的方式進(jìn)行文件的傳輸，但在不需要它的時(shí)候，文件和打印共享就成了攻擊者入侵內(nèi)部網(wǎng)絡(luò)的很好的安全漏洞。 禁止建立空連接 將內(nèi)網(wǎng)的所有計(jì)算機(jī)上禁止建立空連接。 隱藏IP地址 使用代理服務(wù)器將內(nèi)網(wǎng)中的IP地址進(jìn)行隱藏，在內(nèi)網(wǎng)中的主機(jī)上和遠(yuǎn)程服務(wù)器之間架設(shè)一個(gè)“中轉(zhuǎn)站”，當(dāng)內(nèi)網(wǎng)中的主機(jī)向遠(yuǎn)程服務(wù)器提出服務(wù)后，代理服務(wù)器首先截取內(nèi)網(wǎng)主機(jī)的請(qǐng)求，然后代理服務(wù)器將服務(wù)請(qǐng)求轉(zhuǎn)交遠(yuǎn)程服務(wù)器，從而實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的主機(jī)和遠(yuǎn)程服務(wù)器之間的聯(lián)系。因?yàn)镮P和計(jì)算機(jī)的關(guān)系就好比身份證上的身份證號(hào)和人的關(guān)系，當(dāng)一個(gè)攻擊則通過掃描工具確定了一臺(tái)主機(jī)的IP地址后，相當(dāng)于他已經(jīng)找到了攻擊的目標(biāo)，并通過IP向目標(biāo)主機(jī)發(fā)動(dòng)各種進(jìn)攻，所以隱藏內(nèi)網(wǎng)中的IP地址至關(guān)重要。并用工具軟件關(guān)閉用不到的端口，進(jìn)一步提高系統(tǒng)的安全新。因?yàn)?Adminstrator賬戶擁有最高的系統(tǒng)權(quán)限，一旦攻擊者獲得Adminstrator賬戶權(quán)限，就可以對(duì)系統(tǒng)進(jìn)行任何操作，后果不堪設(shè)想， 安裝必要的安全軟件 為內(nèi)網(wǎng)中的各個(gè)主機(jī)安裝必要的防黑軟件、殺毒軟件和防火墻，在一定的程度上保證計(jì)算機(jī)安全。社會(huì)工程學(xué)，在普遍的網(wǎng)絡(luò)攻擊和的APT攻擊中、扮演著非常重要的角色。我們?cè)诰W(wǎng)絡(luò)防御中，人也是防御中的一個(gè)重要環(huán)節(jié)。（1）防范來內(nèi)網(wǎng)的主動(dòng)/被動(dòng)的社會(huì)工程學(xué)攻擊“主動(dòng)的社會(huì)工程學(xué)攻擊”指來內(nèi)網(wǎng)中不安分人員的攻擊。絕大部分社工攻擊是通過電子郵件或即時(shí)消息進(jìn)行的。（2）防范郵件中的社會(huì)工程學(xué)攻擊許多攻擊者會(huì)采用“郵件”作為主要的攻擊手段，攻擊者通過篡改DNS服務(wù)器上的解析記錄，將對(duì)正常U RL的訪問引導(dǎo)到掛有木馬的網(wǎng)頁上。所以，對(duì)這方面，應(yīng)該要特別注意。所以內(nèi)網(wǎng)人員不要隨便回陌生人的郵件。*UsersUsername=39。ANDpassword’可能會(huì)帶來SQL注入攻擊，因?yàn)楫?dāng)我們?cè)谟脩裘兔艽a地址欄中輸入username139。139。1和password=139。139。1，SQL語句就變成了：SELECTFROMWHERE139。OR139。139。Password=39。OR139。139。攻擊語句正則表示說明。?and\(select\s+count\(\*\)\s+from\s)+[^ )]+\)\s*=?\s*\d+猜測(cè)數(shù)據(jù)庫表名Admin’:drop table accounts ([^’]*’\s*)?。almun。alnum。： 匹配流圖當(dāng)攔截到Http請(qǐng)求后首先對(duì)請(qǐng)求內(nèi)容進(jìn)行URL解碼，其主要目的是防止攻擊者以URL編碼方式構(gòu)造SQL注入語句。如果含有則提示登錄信息錯(cuò)誤，并將輸入的數(shù)據(jù)提交至詳細(xì)的規(guī)則檢測(cè)，又返回來處理正常請(qǐng)求，并盡可能快地將正常請(qǐng)求提交至系統(tǒng)模塊處理，避免正常客戶對(duì)網(wǎng)站訪問的延遲影響。如果匹配成功，則攔截請(qǐng)求、向客戶端發(fā)送警告。如果發(fā)現(xiàn)同一源IP地址短時(shí)間內(nèi)多次攻擊，過濾模塊就會(huì)將該IP地址加入黑名單，禁止其在一定時(shí)間內(nèi)訪問，從而防止攻擊者采用窮舉法,最終攻破系統(tǒng)。將用戶名和密碼輸入框中輸入的信息進(jìn)行一個(gè)驗(yàn)證處理，例如只能輸入數(shù)值或字符，那么要登陸后臺(tái)，則必須滿足通過驗(yàn)證的條件后，才來也正該用戶名和密碼是否正確，確保用戶輸入的都是數(shù)字。確保你的應(yīng)用程序要檢查以下字符：分號(hào)，等號(hào)，破折號(hào)，括號(hào)以及SQL關(guān)鍵字。所以驗(yàn)證用戶輸入的信息是一個(gè)防止SQL注射攻擊的好方法，從而避免入侵者利用WEB的開放性對(duì)應(yīng)用程序進(jìn)行SQL注射攻擊。不同的用戶賬戶擁有不同的權(quán)限，執(zhí)行查詢插入更新刪除等操作的用戶可以是不同的用戶，這樣可以防止原本用于執(zhí)行查詢操作的地方卻被用于執(zhí)行插入、更新或刪除等操作[8]。為服務(wù)器部署數(shù)據(jù)庫審計(jì)系統(tǒng)。在員工辦公的區(qū)域架設(shè)行為管理系統(tǒng)。其中內(nèi)網(wǎng)包括PC機(jī)和服務(wù)器，外網(wǎng)就只有PC機(jī)。 環(huán)境設(shè)備開發(fā)環(huán)境Visual Studio 2012數(shù)據(jù)庫SQL Server2008系統(tǒng)框架Frame 由于需要搭建到Server 2003上，需要對(duì)Server 2003做如下工作：安裝IIS， ，搭建WEB系統(tǒng)等。直到IIS安裝完成。安裝步驟如下：。按其默認(rèn)設(shè)置單擊“下一步”即可完成安裝。 Frame （3）發(fā)布WEB系統(tǒng)搭建好所需要的環(huán)境后，就可以進(jìn)行以發(fā)布網(wǎng)站了。輸入網(wǎng)站系統(tǒng)的描述，在這里輸入“myweb”。設(shè)置訪問權(quán)限，為WEB系統(tǒng)設(shè)置“默認(rèn)內(nèi)容文檔”。至此WEB系統(tǒng)搭建完成，在瀏覽器中輸入:8080可訪問系統(tǒng)主頁。(FTP)單擊“下一步”按鈕。信息服務(wù)管理器”，右鍵新建站點(diǎn)，點(diǎn)擊下一步，填寫FTP 站點(diǎn)描述，： FTP站點(diǎn)描述配置IP和端口，也可以選擇默認(rèn)的設(shè)置，點(diǎn)擊下一步。并選擇FTP的根目錄，我在此d盤下新建了一個(gè)temp目錄，用它來做ftp的根目錄。 建立成功界面下載一個(gè)ftp客戶端，Cute FTP ，新建一個(gè)鏈接，點(diǎn)擊鏈接后，如果連接成功，就可以實(shí)現(xiàn)文件的上傳和下載了。 具體設(shè)置制定虛擬目錄，在c:\hack目錄下，創(chuàng)建一個(gè)用戶名文件(),文件內(nèi)容就是administrator，： 建立的文件 ： 命令界面 結(jié)果沒有破解成功，所以防護(hù)策略是可行的。 設(shè)置界面更具掃描信息 “探測(cè)所有IPC$用戶列表” 存在漏洞的主機(jī)檢測(cè)到的信息，知道哪些端口是打開的，： 檢測(cè)信息。其中，用戶名是用administrator，密碼空。這樣通過IPC$ 的遠(yuǎn)程登錄就成功了。： 限定權(quán)限（2）禁止管理共享打開注冊(cè)表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 項(xiàng)：對(duì)于服務(wù)器，添加鍵 AutoShareServer，類型為REG_DWORD，值為0 ，： 設(shè)置AutoShareServer對(duì)于客戶機(jī)，添加鍵值A(chǔ)utoShareWks，類型為REG_DWORD，值為0 ，： 設(shè)置AutoShareWks（3）關(guān)閉139和445端口打開“網(wǎng)上鄰居”—“本地連接（右擊屬性）”—“Internet協(xié)議（TCP/IP）的屬性”，進(jìn)入“高級(jí)TCP/IP設(shè)置”，在“WINS設(shè)置”里面的“禁用TCP/IP的NETBIOS”，在那里打上鉤就可以關(guān)閉139端口了，： 關(guān)閉139端口界面關(guān)閉445端口的方法：”開始“→”控制面板“→”系統(tǒng)“→”硬件“→”設(shè)備管理器”，單擊“查看”菜單下的“顯示隱藏的設(shè)備”，雙擊“非即插即用驅(qū)動(dòng)程序”，找到并雙擊“NetBios over Tcpip”，在打開的“NetBios over Tcpip屬性”窗口中，單擊選中“常規(guī)”標(biāo)簽下的“不要使用這個(gè)設(shè)備(停用)”，單擊“確定”按鈕后重新啟動(dòng)后即可。新建一個(gè)記事本，輸入如下圖所示的內(nèi)容， 文件，放到啟動(dòng)欄里，從而達(dá)到禁止所有默認(rèn)共享的目的。 測(cè)試運(yùn)行流光主程序，按“Ctrl+R”鍵彈出掃描框，在掃描范圍欄里輸入你要掃描的I P 地址范圍，在掃描主機(jī)類型里選擇NT/98 ，然后具體掃描，根據(jù)具掃描信息“探測(cè)所IPC$ 用戶列表”，并沒有存在空連接漏洞。運(yùn)行后顯示“找不到網(wǎng)絡(luò)路徑”。： 鏈接信息再看看能不能再將對(duì)方的C盤映射到本地的Z盤，結(jié)果失敗，不能將對(duì)方的C盤映射到本地的Z盤?？梢耘袛嘣撟⑷?yún)?shù)的類型為整數(shù)型，所以我們猜出SQL語句大致的格式為：Select * from 表名 where 字段=2，通過SQL語句猜登陸的管理員的表名，在地址欄中輸入：:8080/?id=2and0 (select count(*) form User)，回車，頁面顯示正常，說明該表名存在。具體的防護(hù)方案在第三章中已經(jīng)做詳細(xì)的解答所以在此沒有在此提出第六章 總結(jié) 總結(jié)通過這兩個(gè)月的努力，終于完成了APT攻擊的發(fā)現(xiàn)與防護(hù)方案的設(shè)計(jì)。所以剛開始設(shè)計(jì)的時(shí)候基本不知道該怎樣著手，可是經(jīng)過利用兩個(gè)禮拜的時(shí)間查詢了大量的資料文獻(xiàn)，對(duì)APT攻擊的定義及特征有了一個(gè)初步的認(rèn)識(shí)，并了解了檢測(cè)APT攻擊的一些方法，異常檢測(cè)，威脅檢測(cè)，記憶檢測(cè)，在這些檢測(cè)方法的基礎(chǔ)上，提出自己的一些改進(jìn)。 前期做的工作主要是學(xué)習(xí)理論，后期主要是將這些理論運(yùn)用到實(shí)踐中，通過搭建APT攻擊環(huán)境，我學(xué)會(huì)了怎樣大建一個(gè)WEB服務(wù)器和FTP服務(wù)器，然后再搭建的環(huán)境中模擬APT攻擊，模擬了弱密碼攻擊，系統(tǒng)漏洞攻擊，還有SQL注入攻擊，前兩個(gè)攻擊的防護(hù)已經(jīng)通過測(cè)試，可是在SQL注入攻擊的防護(hù)測(cè)試階段，遇到了問題，并沒有測(cè)試成功，所以理論和實(shí)踐還是有差別的，在實(shí)驗(yàn)的環(huán)節(jié)中也應(yīng)該是可以實(shí)現(xiàn)的，可是在測(cè)試時(shí)才發(fā)現(xiàn)，理論與實(shí)驗(yàn)的差距，可是基本完成通過這次設(shè)計(jì)讓我對(duì)網(wǎng)絡(luò)安全又有了一個(gè)新的認(rèn)識(shí)，平時(shí)上網(wǎng)應(yīng)養(yǎng)成一個(gè)良好的習(xí)慣 ，同時(shí)還學(xué)會(huì)了一些保護(hù)個(gè)人電腦安全的方法。本設(shè)計(jì)已經(jīng)針對(duì)APT的幾種攻擊手段進(jìn)行了防護(hù)，可是APT的攻擊手段還有很多，所以APT攻擊的發(fā)現(xiàn)與防范的研究并沒有結(jié)束,這是一個(gè)漫長(zhǎng)的博弈過程，不能在此就停下了腳步，希望在未來能有人提出更完善的設(shè)計(jì)方案參考文獻(xiàn)[1]江原. APT攻擊的那些事[J]. 信息安全與通信保密,2011(11):2223[2]杜躍進(jìn),方緖鵬,翟立東. APT的本質(zhì)探討[J]. 電信網(wǎng)技術(shù),2013(11):14.[3]張之碩. 郵箱服務(wù)器APT攻擊檢測(cè)與防御工具的設(shè)計(jì)及實(shí)現(xiàn)[D].南京大學(xué),2013[4]李青山. APT發(fā)展趨勢(shì)研究漫談[J]. 信息安全與通信保密,2012(7):1621.[5][J].信息安全與通信保密，2012(3):3940[6]張帥. 對(duì)APT攻擊的檢測(cè)與防御[J]. 信息安全與技術(shù),2011(9):125127[7]陳劍鋒,王強(qiáng),[J].信息安全與通信保密,2012(7):2427[8]陳陽. 中小企業(yè)如何應(yīng)對(duì)APT攻擊[J]. 硅谷,2012(8):182183.[9]方興. APT攻防[J]. 信息安全與通信保密,2012（7）:2227[10]周濤. 大數(shù)據(jù)與APT攻擊檢測(cè)[J]. 信息安全與通信保密,2012（7）:2329.[11]劉東鑫,劉國(guó)榮,王帥,沈軍,金華敏. 面向企業(yè)網(wǎng)的APT攻擊特征分析及防御技術(shù)探討[J]. 電信科學(xué),2013（12）:158163[12]宗波. APT攻擊防護(hù)淺析[J]. 軟件工程師,2012（12）:3940[13]王哲,[J].計(jì)算機(jī)光盤軟件應(yīng)用,2013（24）:169171.[14]卜娜. APT攻擊：陰險(xiǎn)潛伏,一心竊取企業(yè)機(jī)密[N].中國(guó)計(jì)算機(jī)報(bào),20120213028[15] 高春燕. 應(yīng)對(duì)新型 APT 攻擊重在監(jiān)測(cè)[N].中國(guó)計(jì)算機(jī)報(bào),20130415028.[16][J].信息安全與通信密,2013(6):6567.[17]俞研,郭山清,黃皓. 基于數(shù)據(jù)流的異常入侵檢測(cè)[J].計(jì)算機(jī)科學(xué),2007（5）6671[18]劉昕. 大數(shù)據(jù)背景下的APT攻擊檢測(cè)與防御[J]. 電子測(cè)試,2014（2）:8081.[19]王在富. 淺析APT攻擊檢測(cè)與防護(hù)策略[J]. 無線互聯(lián)科技,2014（3）:120121.[20]權(quán)樂,高姝,徐松. APT攻擊行動(dòng)研究[J]. 信息網(wǎng)絡(luò)安全,2013（4）:47.[21]肖麗. APT攻擊“步步為營(yíng)”防范重在“事無巨細(xì)”[N].人民郵電,20130813006.致謝謝謝老師這三個(gè)月來的耐心指導(dǎo)，在寫畢業(yè)論文的這三個(gè)月里，每個(gè)星期老師都會(huì)抽出時(shí)間組織大家開一個(gè)周會(huì)，其周會(huì)的主要目的和內(nèi)容就是看看我們做的進(jìn)度，并通過和我們交談了解我們?cè)谧稣撐脑O(shè)計(jì)的過程中遇到了哪些問題，針對(duì)問題提出了一些解決的思路。在設(shè)計(jì)的過程中，出現(xiàn)了很多錯(cuò)誤，可是老師都會(huì)細(xì)心地為我的設(shè)計(jì)糾正錯(cuò)誤，避免我將該方案設(shè)計(jì)偏離主題，這次設(shè)計(jì)的完成，很大一部分功勞是老師的，因?yàn)樽龅倪^程中都是他一步一步的指導(dǎo)，這次設(shè)計(jì)，讓我看到了老師治學(xué)嚴(yán)謹(jǐn)和認(rèn)真負(fù)責(zé)的工作態(tài)度，這樣的態(tài)度將積極影響我今后的學(xué)習(xí)和工作。使我自身的修養(yǎng)有了一定的提高。寧可累死在路上，也不能閑死在家里！寧可去碰壁，也不能面壁。什么是奮斗？奮斗就是每天很難，可一年一年卻越來越容易。能干的人，不在情緒上計(jì)較，只在做事上認(rèn)真；無能的人！不在做事上認(rèn)真，只在情緒上計(jì)較