apt攻擊的發(fā)現(xiàn)與防護(hù)方案的設(shè)計畢業(yè)論文

1、<p>　　本科畢業(yè)論文（設(shè)計）</p><p><b>　　論文（設(shè)計）題目：</b></p><p>　　ATP攻擊的發(fā)現(xiàn)與防護(hù)方案設(shè)計</p><p>　　學(xué) 院： </p><p>　　專 業(yè)： </p&

2、gt;<p>　　班 級： </p><p>　　學(xué) 號： </p><p>　　姓 名： </p><p><b>　　**年**月**日</b></p><p&

3、gt;　　ATP攻擊的發(fā)現(xiàn)與防護(hù)方案設(shè)計</p><p><b>　　摘要</b></p><p>　　APT即為高級持續(xù)性威脅，是近年來才出現(xiàn)的一種網(wǎng)絡(luò)攻擊手段，其特點是他的攻擊的前期準(zhǔn)備需要很長的時間，攻擊的手段十分隱蔽, 變化多端、效果非常顯著，不易被發(fā)現(xiàn)，APT攻擊已經(jīng)漸漸成為網(wǎng)絡(luò)滲透和系統(tǒng)攻擊的演進(jìn)趨勢。目前，國內(nèi)外對 APT 攻擊防護(hù)的研究尚處于初級階段，

4、防御方案是基于已知的知識和規(guī)則，基于信任,缺乏對未知威脅的感知能力,針對未知的感知能力非常薄弱,對抗點滯后,缺乏關(guān)聯(lián)分析能力，并沒有對 APT 攻擊機(jī)理、產(chǎn)生背景等進(jìn)行整體而細(xì)致的剖析。</p><p>　　為了有效的應(yīng)對現(xiàn)今愈演愈烈的APT攻擊，通過閱讀大量的文獻(xiàn)，和借鑒國內(nèi)外的經(jīng)驗，從APT的規(guī)范定義及特征入手,對APT攻擊產(chǎn)生的背景、攻擊的原理及步驟進(jìn)行了一個較為詳盡的總結(jié)，在理解的基礎(chǔ)上，利用兩臺Quid

5、way S2008型號交換機(jī)和路由器 Quidway 2600型號的路由器還有若干臺計算機(jī)，模擬內(nèi)網(wǎng)和外網(wǎng)，利用搭建環(huán)境模擬幾種典型的APT攻擊，提出沙箱檢測、異常檢測、威脅檢測、記憶檢測等具體的方案來檢測APT攻擊。這些方案和傳統(tǒng)的防護(hù)方案相比更加有效地檢測 APT 網(wǎng)絡(luò)攻擊。通過檢測來往的數(shù)據(jù)及信息是否含有APT特征，查詢流量，分析日志，從而在APT還沒發(fā)起攻擊前發(fā)現(xiàn)APT攻擊。并針對APT攻擊提出了具體的防范方案</p>

6、;<p>　　關(guān)鍵詞：APT 攻擊，檢測方案，防范策略</p><p>　　ATP attack and protection scheme design</p><p><b>　　Abstract</b></p><p>　　APT is the advanced persistent threat, which is a k

7、ind of network attack occurred in recent years, its characteristic is that preparing his attack requires a long period of time, the attack is very subtle and the most changeful, the effect is very significant, not easy t

8、o be found APT attacks have gradually become the evolution trend of network penetration and system attack. At present, the domestic and foreign research on APT attack protection is still in the primary stage, the defense

9、 scheme i</p><p>　　In order to effectively respond to the growing APT attack, by reading a lot of literature, and drawing lessons from domestic and international experience, from the APT standard definition

10、and characteristic, conducted a more detailed summary on APT attacks generated background, principles and procedures of attacks。On the basis of understanding, using two Quidway S2008 types of switches and routers Quidway

11、 2600 router models and some computer to simulate internal network and external network, and</p><p>　　Key： APT attack , detection scheme, prevention strategies</p><p><b>　　目錄</b><

12、/p><p><b>　　摘要II</b></p><p>　　AbstractIII</p><p><b>　　第一章 概述1</b></p><p>　　1.1 目的與意義1</p><p>　　1.3現(xiàn)狀及發(fā)展趨勢1</p><p>　　

13、1.3 主要設(shè)計內(nèi)容3</p><p>　　第二章 相關(guān)的基礎(chǔ)知識4</p><p>　　2.1 ATP的概念4</p><p>　　2.2 APT攻擊的原理4</p><p>　　2.3 APT的危害5</p><p>　　第三章 APT攻擊的發(fā)現(xiàn)6</p><p>　　3.1 A

14、TP攻擊的途徑6</p><p>　　3.2 ATP攻擊的過程剖析6</p><p>　　3.3 ATP的檢測8</p><p>　　3.3.1沙箱方案9</p><p>　　3.3.2 異常檢測模式10</p><p>　　3.3.3 威脅檢測技術(shù)11</p><p>　　3.3.

15、4 基于記憶的檢測13</p><p>　　第四章 APT防護(hù)方案設(shè)計15</p><p>　　4.1 網(wǎng)絡(luò)拓?fù)鋱D15</p><p>　　4.2 存在的威脅15</p><p>　　4.3 內(nèi)網(wǎng)的安全的防護(hù)16</p><p>　　4.4 應(yīng)用程序的安全的防護(hù)17</p><p>

16、　　4.5 服務(wù)器安全的防護(hù)18</p><p>　　4.6 漏洞的防護(hù)18</p><p>　　4.7 社會工程學(xué)20</p><p>　　4.8 針對SQL注入的防護(hù)21</p><p>　　4.9 防護(hù)方案后的拓?fù)鋱D23</p><p>　　第五章 ATP攻防實驗25</p><p

17、>　　5.1 實驗平臺的搭建25</p><p>　　5.1.1 平臺拓?fù)鋱D25</p><p>　　5.1.2 web的搭建25</p><p>　　5.1.3 FTP服務(wù)器的搭建29</p><p>　　5.2 弱密碼攻擊33</p><p>　　5.2.1 攻擊33</p><

18、;p>　　5.2.3 防護(hù)38</p><p>　　5.2.3. 測試44</p><p>　　5.3 操作系統(tǒng)IPC$ 漏洞攻擊46</p><p>　　5.3.1 攻擊46</p><p>　　5.3.2 防護(hù)51</p><p>　　5.3.3 測試55</p><p>

19、　　5.4 SQL注入攻擊57</p><p><b>　　第六章 總結(jié)65</b></p><p><b>　　6.1 總結(jié)65</b></p><p><b>　　6.2 展望65</b></p><p><b>　　參考文獻(xiàn)67</b>&l

20、t;/p><p><b>　　致謝68</b></p><p><b>　　第一章 概述</b></p><p><b>　　1.1 目的與意義</b></p><p>　　近年來，隨著信息技術(shù)的高速發(fā)展，信息化技術(shù)在給人們帶來種種物質(zhì)和文化生活享受的同時，各種安全問題也隨之而來

21、，諸如網(wǎng)絡(luò)的數(shù)據(jù)竊賊、黑客對主機(jī)的侵襲從而導(dǎo)致系統(tǒng)內(nèi)部的泄密者。盡管我們正在廣泛地使用各種復(fù)雜的軟件技術(shù)，如防火墻、代理服務(wù)器、侵襲探測器、通道控制機(jī)制等，但是，無論在發(fā)達(dá)國家，還是在發(fā)展中國家，黑客活動越來越猖狂，他們無孔不入，對社會造成了嚴(yán)重的危害，如何消除安全隱患，確保網(wǎng)絡(luò)信息的安全，尤其是網(wǎng)絡(luò)上重要的數(shù)據(jù)的安全，已成為當(dāng)今世界越來越關(guān)心的話題。近年來，APT高級持續(xù)性威脅便成為信息安全圈子人人皆知的"時髦名詞"

22、;[1]。APT變化多端、效果顯著且難于防范,因此,漸漸成為網(wǎng)絡(luò)滲透和系統(tǒng)攻擊的演進(jìn)趨勢。所以要設(shè)計一套能有效防護(hù)APT攻擊的方案顯得及其重要。設(shè)計的目的主要是從APT的規(guī)范定義及特征入手,對攻擊發(fā)起的背景、步驟等進(jìn)行較詳盡的描述, 在分析APT攻擊的一般過程基礎(chǔ)上,針對攻擊不同階段,從技術(shù)措施和防護(hù)方法等方面給出具體的建議，并給出具體、完善的檢測、響應(yīng)和防范APT攻擊的可行性方案。</p><p>　　1.3現(xiàn)

23、狀及發(fā)展趨勢</p><p>　　從震網(wǎng)到火焰各種的攻擊，到媒體關(guān)的關(guān)注，全都認(rèn)可一件事情，那就APT攻擊是防不住。國內(nèi)防不住，國外其實也防不住[2]。目前仍有很多人對APT這個名詞感到陌生，APT到底是什么，關(guān)于APT的定義非常混亂，APT攻擊并不是具體限定于某一種唯一的方法和步驟,他攻擊的手段多種多樣，廣泛的用到了社會工程學(xué)的手段。</p><p>　　目前國內(nèi)外對APT（高級持續(xù)威脅

24、)攻擊行動的組成要素、主要任務(wù)、重要活動以及交互關(guān)系等問題已有清晰的認(rèn)識 ,可是對APT攻擊的研究主要還是由安全廠商進(jìn)行,其側(cè)重點在于通過安全事件、威脅的分析導(dǎo)出企業(yè)的安全理念, 以網(wǎng)絡(luò)安全企業(yè)的宣傳、分析資料為主，忽視了對APT攻擊機(jī)理、產(chǎn)生背景等進(jìn)行整體而細(xì)致的剖析。所以關(guān)注點較為分散，不成體系，無法對 APT 攻擊形成較為全面的認(rèn)知和理解。缺乏統(tǒng)一的形式化描述,不能全面系統(tǒng)地表達(dá)APT攻擊的全過程。外對APT攻擊的檢測主要還都處于

25、探索狀態(tài)。大致主要分為兩種方式:靜態(tài)檢測方式和動態(tài)檢測方式[3]。</p><p>　　在國外先進(jìn)國家研究APT攻擊已經(jīng)成為國家網(wǎng)絡(luò)安全防御戰(zhàn)略的重要環(huán)節(jié)。例如，美國國防部的 High Level 網(wǎng)絡(luò)作戰(zhàn)原則中，明確指出針對 APT 攻擊行為的檢測與防御是整個風(fēng)險管理鏈條中至關(guān)重要也是基礎(chǔ)的組成部分，西方先進(jìn)國家已將APT防御議題提升到國家安全層級，這絕不僅僅造成數(shù)據(jù)泄露。根據(jù)許多APT行為特征的蠕蟲病毒分析報

26、告來看，我國信息化建設(shè)和重要信息系統(tǒng)也可能受到來自某些國家和組織實施的前所未有的 APT 安全威脅，然而我國當(dāng)前面向重要網(wǎng)絡(luò)信息系統(tǒng)的專業(yè)防護(hù)服務(wù)能力和產(chǎn)業(yè)化程度相對較低，尚難以有效應(yīng)對高級持續(xù)性威脅攻擊，形勢相當(dāng)嚴(yán)峻，另一方面，由于APT攻擊的高度復(fù)合性和復(fù)雜性，目前尚缺乏對 APT 成因和檢測的完善方法的研究。隨著我國3G網(wǎng)絡(luò)的推廣普及,移動終端的市場在不斷擴(kuò)大，APT攻擊也在關(guān)注移動互聯(lián)網(wǎng)終端，這也是ATP攻擊的一個發(fā)展趨勢。AP

27、T攻擊時代的來臨預(yù)示著定向攻擊將成為惡意軟件發(fā)展的新趨勢[4]。</p><p>　　APT攻擊是一個在時間上具備連續(xù)性的行為，在以后信息技術(shù)快速的發(fā)展中，APT攻擊將會變得越來越復(fù)雜，這并不僅僅表示攻擊技術(shù)越來越強(qiáng)大，也意味著部署攻擊的方式越來越靈活。以后，這類攻擊將會具備更大的破壞能力，使得我們更難進(jìn)行屬性分析。</p><p>　?。?）攻擊將會更有針對性：越來越多的APT攻擊將會針

28、對特定的地區(qū)、特定的用戶群體進(jìn)行攻擊。在此類攻擊中，除非目標(biāo)在語言設(shè)定、網(wǎng)段等條件上符合一定的標(biāo)準(zhǔn)，否則惡意軟件不會運行。因此，我們將會看到越來越多的本地化攻擊。</p><p>　　（2）APT攻擊將更有破壞性：在以后，APT攻擊將帶有更多的破壞性質(zhì)，無論這是它的主要目的，或是作為清理攻擊者總計的手段，都很有可能成為時間性攻擊的一部分，被運用在明確的目標(biāo)上。</p><p>　?。?）對

29、攻擊的判斷將越來越困難：在APT攻擊防范中，我們通常用簡單的技術(shù)指標(biāo)來判斷攻擊的動機(jī)和地理位置。但是到了以后，我們將需要綜合社會、政治、經(jīng)濟(jì)、技術(shù)等多重指標(biāo)進(jìn)行判斷，以充分評估和分析目標(biāo)攻擊。但是，多重指標(biāo)很容易導(dǎo)致判斷出現(xiàn)失誤，而且，攻擊者還可能利用偽造技術(shù)指標(biāo)來將懷疑對象轉(zhuǎn)嫁到別人身上，大大提升了判斷的難度。</p><p>　　1.3 主要設(shè)計內(nèi)容</p><p>　　運用已學(xué)過的信

30、息安全原理與技術(shù)、現(xiàn)代密碼學(xué)、計算機(jī)網(wǎng)絡(luò)和網(wǎng)絡(luò)攻防等專業(yè)知識，對高級持續(xù)性威脅(Advanced Persistent Threat，APT)產(chǎn)生的背景、攻擊方法與原理進(jìn)行分析，發(fā)現(xiàn)其攻擊規(guī)律，提出檢測方法，搭建一個簡單、實用的APT攻擊防護(hù)平臺，設(shè)計出一套完整的防范APT攻擊的解決方案，并通過自己搭建的實驗平臺對該方案的可行性進(jìn)行驗證。</p><p>　　第二章 相關(guān)的基礎(chǔ)知識</p

31、><p>　　2.1 ATP的概念</p><p>　　APT攻擊是一種非常有目標(biāo)的攻擊。APT攻擊和其他的網(wǎng)絡(luò)攻擊相比，他們有著本質(zhì)的區(qū)別，病毒擁有3個基本屬性，APT攻擊在擁有那些基本屬性的同時，也擁有了屬于自己特有的屬性。從技術(shù)的角度來說，APT是一種不同性質(zhì)的攻擊，從某些程來說，APT攻擊是必然的，也是最近出現(xiàn)的一種新的篇章，這個新的篇章和過去的網(wǎng)絡(luò)攻擊不一樣，其主要表現(xiàn)為APT的采點

32、是很漫長的，需要一段很長的時間，APT運用的攻擊手段很隱蔽，因此很多網(wǎng)絡(luò)安全維護(hù)人員不會輕易的發(fā)現(xiàn)這種攻擊，因為他們所運用的攻擊手段都是看起來正常的，進(jìn)攻漫長的信息采集過程，最終確定攻擊的目標(biāo)，當(dāng)攻擊的目標(biāo)被確定后，這個目標(biāo)一定是有比較高的價值，因為APT前期的攻擊準(zhǔn)備的成本比起一般的網(wǎng)絡(luò)攻擊要高很多，APT不是一種單一的攻擊手段，而是多種攻擊手段的組合，它是由一個團(tuán)體所組成，因此無法通過單一的防護(hù)手段進(jìn)行阻止和防御，APT攻擊目前已成

33、為熱點，其特征不同于傳統(tǒng)的網(wǎng)絡(luò)攻擊，對已有的安全防范思路和能力，帶來極大挑戰(zhàn)。應(yīng)對新的威脅，需要有新的思路。</p><p>　　2.2 APT攻擊的原理</p><p>　　APT攻擊的原理和其他網(wǎng)絡(luò)攻擊的區(qū)別主要在于他攻擊形式更為高級和先進(jìn)，其高級性體現(xiàn)在APT在發(fā)動攻擊之前，需要對攻擊目標(biāo)信息進(jìn)行精確的收集，在此收集的過程中，有可能結(jié)合當(dāng)前IT行業(yè)所有可用的攻擊入侵手段和技術(shù)，他們不

34、會采取單一的攻擊手段，病毒傳播、SQL 注入等 。因為單一的攻擊手段容易被發(fā)現(xiàn)，很難達(dá)到APT攻擊所想要的結(jié)果，所以通常會使用自己設(shè)計、具有極強(qiáng)針對性和破壞性的惡意程序[5]，主動挖掘被攻擊對象受信系統(tǒng)和應(yīng)用程序的漏洞，對目標(biāo)系統(tǒng)實施毀滅性的打擊,APT攻擊的方式可以根據(jù)實際情況進(jìn)行動態(tài)的調(diào)整，從整體上掌控攻擊進(jìn)程，APT攻擊還具備快速編寫所需滲透代碼的能力。與傳統(tǒng)攻擊手段和入侵方式相比，APT 攻擊體現(xiàn)的技術(shù)性更強(qiáng)，過程也更為復(fù)雜，他

35、的攻擊行為沒有采取任何可能觸發(fā)警報或者引起懷疑的行動，所以更接近于融入被攻擊者的系統(tǒng)或程序。</p><p>　　2.3 APT的危害</p><p>　　如下圖2.1所示一系列的APT攻擊事件震驚業(yè)界，APT攻擊的出現(xiàn)，對全球的信息安全的防護(hù)是一個極大的挑戰(zhàn)，因為APT攻擊的目標(biāo)通常會是一個國家的安全設(shè)施，例如：航空航天，或者是重要的金融系統(tǒng)。APT攻擊在沒有挖掘到目標(biāo)的有用信息之前，它

36、可以悄悄潛伏在被攻擊的目標(biāo)的主機(jī)中。傳統(tǒng)安全事故經(jīng)常是可見的、危害即刻發(fā)生，造成的威脅很?。豢墒茿PT攻擊則是不可見，危害在幕后發(fā)生，因為APT攻擊具有很強(qiáng)的隱蔽性，所以悄然間便可竊取被攻擊目標(biāo)的核心數(shù)據(jù)，當(dāng)一個企業(yè)或一個國家知道被攻擊成功時，則造成的危害已經(jīng)不可挽回，他的破壞力是非常強(qiáng)的，在國與國之間沒有真正較量沒有發(fā)生之前時發(fā)作，一旦發(fā)作也許會導(dǎo)致系統(tǒng)不運行，包括金融系統(tǒng)，攻擊的目標(biāo)大多數(shù)是針對國家的要害部門，所以它的危害是非常嚴(yán)重

37、，威脅到國家的信息安全。</p><p>　　圖2.1 近年發(fā)生的APT事件</p><p>　　第三章 APT攻擊的發(fā)現(xiàn)</p><p>　　3.1 ATP攻擊的途徑</p><p>　　APT入侵客戶的途徑多種多樣，主要包括：</p><p>　　(1)以智能手機(jī)、平板電腦和USB等移動設(shè)備為目標(biāo)和攻擊對象繼而入侵

38、企業(yè)信息系統(tǒng)的方式。</p><p>　　(2)社交工程的惡意郵件是許多APT攻擊成功的關(guān)鍵因素之一，隨著社交工程攻擊手法的日益成熟，郵件幾乎真假難辨。從一些受到APT攻擊的大型企業(yè)可以發(fā)現(xiàn)，這些企業(yè)受到威脅的關(guān)鍵因素都與普通員工遭遇社交工程的惡意郵件有關(guān)。黑客一開始，就是針對某些特定員工發(fā)送的釣魚郵件，以此作為使用APT手法進(jìn)行攻擊的所有源頭。</p><p>　　(3)利用防火墻、服務(wù)

39、器等系統(tǒng)漏洞繼而獲取訪問企業(yè)網(wǎng)絡(luò)的有效憑證信息</p><p>　　(4)很多企業(yè)和組織的網(wǎng)站在防范SQL注入攻擊方面缺乏防范。所以通過對目標(biāo)公網(wǎng)網(wǎng)站的SQL注入方式實現(xiàn)APT攻擊。</p><p>　　(5)攻擊者在持續(xù)不斷獲取受害企業(yè)和組織網(wǎng)絡(luò)中的重要數(shù)據(jù)的時候，一定會向外部傳輸數(shù)據(jù)。通過對數(shù)據(jù)進(jìn)行壓縮、加密的方式導(dǎo)致現(xiàn)有絕大部分基于特征庫匹配的檢測系統(tǒng)失效，實現(xiàn)數(shù)據(jù)的傳輸</p

40、><p>　　總之，高級持續(xù)性威脅(APT)正在通過一切方式，繞過基于代碼的傳統(tǒng)安全方案如防病毒軟件、防火墻、IPS等)，并更長時間的潛伏在系統(tǒng)中，讓傳統(tǒng)防御體系難以偵測[6]。</p><p>　　3.2 ATP攻擊的過程剖析</p><p>　　攻擊的流程圖如圖3.1所示</p><p>　　圖3.1 APT攻擊流程圖</p>

41、<p>　　第一階段：情報收集。攻擊者對鎖定的目標(biāo)和資源采用針對性APT攻擊，使用技術(shù)和社會工程學(xué)手段針對性地進(jìn)行信息收集，目標(biāo)網(wǎng)絡(luò)環(huán)境探測，線上服務(wù)器分布情況，應(yīng)用程序的弱點分析，了解業(yè)務(wù)狀況，員工信息，收集大量關(guān)于系統(tǒng)業(yè)務(wù)流程和使用情況等關(guān)鍵信息，通過網(wǎng)絡(luò)流量、軟件版本、開放端口、員工資料、管理策略等因素的整理和分析[7]，得出系統(tǒng)可能存在的安全弱點。另外，攻擊者在探測期中也需要收集各類零日漏洞、編制木馬程序、制訂攻擊計劃

42、等，用于在下一階段實施精確攻擊，當(dāng)攻擊者收集到足夠的信息時，就會對目標(biāo)網(wǎng)絡(luò)發(fā)起攻擊。</p><p>　　第二階段：進(jìn)入點。采用誘騙手段將正常網(wǎng)址請求重定向至惡意站點，發(fā)送垃圾電子郵件并捆綁染毒附件，以遠(yuǎn)程協(xié)助為名在后臺運行惡意程序，或者直接向目標(biāo)網(wǎng)站進(jìn)行 SQL 注入攻擊等。盡管攻擊手段各不相同，但絕大部分目的是盡量在避免用戶覺察的條件下取得服務(wù)器、網(wǎng)絡(luò)設(shè)備的控制權(quán)</p><p>　　

43、第三階段：命令與控制 （C&C 通信）。攻擊者成功入侵目標(biāo)網(wǎng)絡(luò)后，通常并不急于獲取敏感信息和數(shù)據(jù)，而是在隱藏自身的前提下找出放有敏感信息的重要計算機(jī)。然后，APT攻擊活動利用網(wǎng)絡(luò)通信協(xié)議來與C&C服務(wù)器通信，并確認(rèn)入侵成功的計算機(jī)和C&C服務(wù)器間保持通信[]。開始尋找實施進(jìn)一步行動的最佳時機(jī)。當(dāng)接收到特定指令，或者檢測到環(huán)境參數(shù)滿足一定條件時，惡意程序開始執(zhí)行預(yù)期的動作。</p>

44、<p>　　第四階段：橫向擴(kuò)展。在目標(biāo)網(wǎng)絡(luò)中找出放有敏感信息的重要計算機(jī),使用包括傳遞哈希值算法的技巧和工具，將攻擊者權(quán)限提升到跟管理者一樣，讓他可以輕松地訪問和控制關(guān)鍵目標(biāo)。</p><p>　　第五階段：資料發(fā)掘。為確保以后的數(shù)據(jù)竊取行動中會得到最有價值的數(shù)據(jù)，APT會長期低調(diào)地潛伏。這是APT長期潛伏不容易被發(fā)現(xiàn)的特點，來挖掘出最多的資料，而且在這個過程當(dāng)中，通常不會是重復(fù)自動化的過程，而是會有

45、人工的介入對數(shù)據(jù)作分析，以做最大化利用。</p><p>　　第六階段：資料竊取。APT是一種高級的、狡猾的伎倆，利用APT入侵網(wǎng)絡(luò)、逃避“追捕”、悄無聲息不被發(fā)現(xiàn)、隨心所欲對泄露數(shù)據(jù)進(jìn)行長期訪問，最終挖掘到攻擊者想要的資料信息。為了避免受害者推斷出攻擊的來源，APT 代碼需要對其在目標(biāo)網(wǎng)絡(luò)中存留的痕跡進(jìn)行銷毀，這個過程可以稱之為 APT 的退出。APT 根據(jù)入侵之前采集的系統(tǒng)信息，將滯留過的主機(jī)進(jìn)行狀態(tài)還原，并

46、恢復(fù)網(wǎng)絡(luò)配置參數(shù)，清除系統(tǒng)日志數(shù)據(jù)，使事后電子取證分析和責(zé)任認(rèn)定難以進(jìn)行。</p><p>　　3.3 ATP的檢測</p><p>　　APT攻擊是近幾年來出現(xiàn)的一種高級網(wǎng)絡(luò)攻擊，具有難檢測、持續(xù)時間長和攻擊目標(biāo)明確等特征。傳統(tǒng)基于攻擊特征的入侵檢測和防御方法在檢測和防御apt方面效果已經(jīng)變得很不理想了。所以要檢測出APT攻擊已成為許多企業(yè)所面臨的難題，因為APT種攻擊是以“隱形模式”進(jìn)

47、行的。對于傳統(tǒng)的攻擊行為，安全專家僅需關(guān)注惡意程序的樣本提取并做分析，便可以掌握攻擊者的動機(jī)及傳播渠道，可是對于APT攻擊以點概面的安全檢測手段已顯得不合時宜，所以要想在APT攻擊還沒發(fā)生之前，事先檢測到APT攻擊是很困難的，面對APT攻擊威脅，我們應(yīng)當(dāng)有一套更完善更主動更智能的安全防御方案，必須承認(rèn)APT攻擊的發(fā)起者有著超群的智慧和豐富的經(jīng)驗，因此檢測APT攻擊就必須密切關(guān)注攻擊者所釋放的惡意代碼的每一個細(xì)節(jié)。并且該方案能夠識別和分析

48、服務(wù)器和客戶端的微妙變化和異常。無論攻擊者的實施的計劃多么縝密，還是會留下點攻擊過程中的痕跡，通常就是我們所說的刑事調(diào)查中的痕跡證據(jù)，這種證據(jù)并不明顯，甚至可能是肉眼看不見的。</p><p>　　APT攻擊者為了發(fā)動攻擊肯定會在系統(tǒng)的某處留下一些模糊的蹤跡，然而這些蹤跡在我們平時看來是正常的一些網(wǎng)絡(luò)行為，所以這就導(dǎo)致了我們很難檢測到APT攻擊?？墒前踩藛T可以快速定位攻擊源頭，并做出對應(yīng)的安全防御策略，但是這些

49、卻無法準(zhǔn)確提取APT攻擊屬性與特征。</p><p>　　我們現(xiàn)在對抗 APT 的思路是以時間對抗時間。因為APT是在很長時間內(nèi)才發(fā)生，也許一年，兩年，甚至五年，才可能發(fā)生，所以我們要在一段時間內(nèi)發(fā)現(xiàn)APT，還是很有難度的，需要對長時間、全流量數(shù)據(jù)進(jìn)行深度分析，針對APT攻擊行為的檢測，需要構(gòu)建一個多維度的安全模型，還可以通過手動檢查文件來識別一些微小的不易發(fā)現(xiàn)的標(biāo)記，并將這些標(biāo)記作為潛在惡意活動的指示。通常AP

50、T攻擊會采用一些惡意程序文件名與常見Windows文件類似，讓我們很難發(fā)現(xiàn)?？墒侵灰覀兞粜挠^察，是可以識別文件名的細(xì)微區(qū)別的，例如使用大寫I代替小寫L。根據(jù)整個apt攻擊過程，圍繞APT的攻擊步驟提出具體的檢測方案。檢測的整個具體流程圖如下圖3.2所示，一共分成五大模塊，沙箱檢測，異常檢測，威脅檢測，記憶檢測還有響應(yīng)。</p><p>　　圖3.2 檢測的整體流程圖</p><p>&l

51、t;b>　　3.3.1沙箱方案</b></p><p>　　該方案在一定程度上可以有效檢測 APT 攻擊， 對攻擊方式進(jìn)行非特征匹配。攻擊者與防護(hù)者的信息不對稱， 因為APT攻擊具有極強(qiáng)的隱蔽性，所以要想發(fā)現(xiàn)APT攻擊如同大海撈針。 該智能沙箱法案， 通過對可能存在的異常行為進(jìn)行技術(shù)性識別， 檢測出存在高級威脅的問題。 并且沙箱檢測與整個網(wǎng)絡(luò)運行環(huán)境相關(guān)， 操作系統(tǒng)的類型、 瀏覽器的版本、 安裝

52、的插件版本等都對沙箱檢測的結(jié)果起著影響。 因而導(dǎo)致沙箱檢測在這種情形下檢測不出來惡意代碼， 但是在另外一種情形下可能檢測出來</p><p>　　3.3.2 異常檢測模式</p><p>　　檢測流程圖如下圖3.3所示：</p><p>　　圖3.3 異常檢測流程圖</p><p>　　APT攻擊常使用端口跳變、應(yīng)用層加密等手段隱藏惡意流量特

53、征，只有通過一系列的數(shù)據(jù)聚類才能發(fā)現(xiàn)異常，異常檢測是利用預(yù)先設(shè)定好特征庫或規(guī)則庫和用戶通過從賬號登錄的IP地址、時間、行為操作序列等特征的統(tǒng)計可得到該賬號的正常行為產(chǎn)生的數(shù)據(jù)量建立一個有效的模型。該模型通過匹配已知異常特征相的模式來檢測異常。</p><p>　　該方案提出了在多種查詢條件下對流量數(shù)據(jù)進(jìn)行可視化分析，例如目的 IP 地址流量統(tǒng)計排序、目的端口流量統(tǒng)計排序等；并對對重要文件的操作及對應(yīng)的發(fā)生時間進(jìn)行

54、審計。該方案的設(shè)計思維就好比現(xiàn)實生活中警察抓壞人的思維方式， 在沒有明確壞人的基本特征的情況下，那就對好人進(jìn)行行為模式的建構(gòu)， 當(dāng)一個人的行為模式偏離好人的正常范圍， 那么這個人就有可能是壞人，然后再對這個有可能是壞人的人進(jìn)行具體的檢測。該方案主要注重的是對元數(shù)據(jù)的提取， 以此對整個網(wǎng)絡(luò)流量的基本情況進(jìn)行檢測， 從而發(fā)現(xiàn)異常行為。通過對該主機(jī)流量進(jìn)行特征抽取，與其正常的流量模型比較，從而得到流量異常情況的概率值。 對于被識別為“異常”概

55、率值大的流量信息，將被推送到安全審計人員作進(jìn)一步分析[17]。對于員工賬號訪問審計，并進(jìn)一步用于員工賬號訪問異常檢測。 對于異常告警，安全審計人員需及時確認(rèn)原因；并對未能確認(rèn)原因的異常告警信息，尤其是異常流量警告信息，并及時聯(lián)系安全技術(shù)支持人員進(jìn)行近一步分析這種異常，從而發(fā)現(xiàn)APT攻擊，但是該檢測的缺點是不能檢測未知的異常,同時隨著異常種類越來越來多,導(dǎo)致特征庫越來越龐大,從而監(jiān)測性能也隨之下降。</p><p>

56、;　　3.3.3 威脅檢測技術(shù)</p><p>　　檢測的流程圖如下圖3.4所示：</p><p>　　圖3.4 威脅檢測流程圖</p><p>　　該方案提供了一個統(tǒng)一的接口，可以在不同位置把相關(guān)的日志信息上傳，例如已發(fā)現(xiàn)的病毒或者木馬，可疑的網(wǎng)絡(luò)訪問行為，異常的網(wǎng)絡(luò)流量等。在該模塊產(chǎn)生日志分析的基礎(chǔ)上，根據(jù)一些經(jīng)驗規(guī)則或者自定義的規(guī)則，主動的發(fā)現(xiàn)可能發(fā)生的安全威

57、脅虛擬分析技術(shù)。傳統(tǒng)的檢測方案對某些附件或則可執(zhí)行文件對系統(tǒng)可能造成的影響沒有一個準(zhǔn)確的分析，往往會把一些文件隔離起來或者直接放過[20]。如果該文件是一個正常文件，隔離后，用戶需要額外的操作才能得到該文件；如果該文件是一個惡意文件，放過的話，就會對會對用戶的系統(tǒng)造成影響。因此，無論隔離還是放過，都會對用戶造成困擾。用戶通常不具備足夠的知識來判斷文件是否是惡意的。所以該方案是將文件放在沙盒中執(zhí)行，檢測該文件對系統(tǒng)的所有更改是否是有害的，

58、如果對該系統(tǒng)沒有造成影響，就允許通過，如果有影響，或則會危害到系統(tǒng)的秘密信息，就該文件攔截。一份統(tǒng)一的威脅名單：根據(jù)威脅檢測技術(shù)和虛擬分析技術(shù)的結(jié)果，模擬APT攻擊，可以產(chǎn)生一個可疑的威脅名單或則一份APT攻擊記錄報表，并將其可以名單和記錄的APT攻擊報表及時的地反饋給安全人員報表系統(tǒng)：該系統(tǒng)根據(jù)不同的目的，提供不同的報表供 IT 安全管理</p><p>　　3.3.4 基于記憶的檢測</p>&

59、lt;p>　　檢測的流程圖如下圖3.5所示：</p><p>　　圖3.5 記憶檢測流程圖</p><p>　　在檢測中APT 攻擊過程中，APT攻擊遺留下來的暴露點包括攻擊過程中的攻擊路徑和時序，APT 攻擊一般不會對系統(tǒng)的安全防御系統(tǒng)進(jìn)行暴力破解，攻擊過程的大部分貌似正常操作；不是所有的異常操作都能立即被檢測；被檢測到的異常也許是在APT攻擊過后才檢測到，因為APT具有很強(qiáng)的隱蔽

60、性?；谟洃浀臋z測可以有效緩解上述問題?；谟洃浀臋z測系統(tǒng)， 是由全流量審計與日志審計相結(jié)合形成的， 它對抗 APT 的關(guān)鍵方法就是以時間對抗時間[10]。APT 攻擊發(fā)生的時間很長， 對APT攻擊的檢測是建立一個有效的時間窗， 所以可以對長時間內(nèi)的數(shù)據(jù)流量進(jìn)行更為深入、 細(xì)致的分析。 全流量審計組要是對全過程流量施以應(yīng)用上的識別與還原， 從而檢測出異常的可能會對系統(tǒng)造成危害的行為。該記憶的檢測方案主要分成如下幾個步驟: </p&

61、gt;<p><b>　?。?）擴(kuò)大檢測范圍</b></p><p>　　該方案對數(shù)據(jù)流量的檢測領(lǐng)域進(jìn)行拓展， 并將全流量數(shù)據(jù)進(jìn)行有效的存儲，對存儲的流量數(shù)據(jù)會進(jìn)行深入分析。 該方案采取擴(kuò)大檢測領(lǐng)域不但提高發(fā)現(xiàn)可疑行為的概率。還可以在發(fā)現(xiàn)異常情況后，利用原先的全流量的存儲， 將異常行為返回到與之相關(guān)的時間點。還可以為已經(jīng)發(fā)生的，但在分析時沒有受到安全管理員的重視，偶爾會出現(xiàn)可疑

62、情況的數(shù)據(jù)流量進(jìn)行關(guān)聯(lián)性的技術(shù)分析，從而實現(xiàn)有效識別。往往這些不受重視的報警常常是攻擊者掩藏蓄謀已久的攻擊意圖的好地方</p><p><b>　?。?）濃縮數(shù)據(jù)量</b></p><p>　　對輸入的數(shù)據(jù)量進(jìn)行壓縮， 在全流量中的數(shù)據(jù)進(jìn)行篩選，將有用的信息刪選出來，并將與攻擊不相關(guān)聯(lián)的數(shù)據(jù)及時刪除，并保留與APT攻擊有關(guān)的數(shù)據(jù)流量， 將其有用數(shù)據(jù)弄成一個集合，壓縮對

63、數(shù)據(jù)量，從而為檢測系統(tǒng)騰出更大的空間。 依靠數(shù)據(jù)流量的異常檢測模塊，篩選、 刪除一些無用的數(shù)據(jù)流量，從而進(jìn)一步提高檢測的性能</p><p><b>　?。?）報警</b></p><p>　　將原先保存下來的與APT攻擊行為有關(guān)的數(shù)據(jù)進(jìn)行一個后續(xù)的詳細(xì)分析，制定相關(guān)的匹配規(guī)則。分析人員與分析儀器相互配合， 利用多維數(shù)據(jù)進(jìn)行可視化分析， 對可疑會話做好定位， 利用細(xì)粒

64、度解析與應(yīng)用還原數(shù)據(jù)， 有效識別出異常的行為，如果有異常，報警模塊及時做出精確報警。從而識別出攻擊者將攻擊行為包裝成成正常行為的行為。</p><p><b>　?。?）模擬攻擊</b></p><p>　　安全管理員將識別出的報警數(shù)據(jù)進(jìn)行關(guān)聯(lián)性分析， 明確這些報警數(shù)據(jù)與APT攻擊之間存在的語義關(guān)系，并將孤立的攻擊報警從海量的報警中提取出來，根據(jù)關(guān)聯(lián)特征組建攻擊場景相

65、關(guān)的知識庫，對識別出的報警與之相匹配、對照，構(gòu)建 APT攻擊，如果構(gòu)建成功，則APT攻擊被發(fā)現(xiàn)，并將其記錄。接下來就是做出進(jìn)一步的防護(hù)</p><p>　　第四章 APT防護(hù)方案設(shè)計</p><p><b>　　4.1 網(wǎng)絡(luò)拓?fù)鋱D</b></p><p>　　沒有加任何防護(hù)設(shè)備的網(wǎng)絡(luò)拓?fù)鋱D如下圖4.1所示：</p><p&g

66、t;　　圖4.1 沒加防護(hù)設(shè)備的網(wǎng)絡(luò)拓?fù)鋱D</p><p>　　圖4.1描述了沒有加任何防護(hù)設(shè)備環(huán)境大概的網(wǎng)段劃分，主要劃分兩個網(wǎng)段，其中192.168.1.0被劃分為外網(wǎng)，192.168.2.0被劃分為內(nèi)網(wǎng)，是主要的攻擊目標(biāo)。其中內(nèi)網(wǎng)包括PC機(jī)和服務(wù)器，外網(wǎng)就只有PC機(jī)。</p><p><b>　　4.2 存在的威脅</b></p><p>

67、;　?。?）外網(wǎng)帶來的威脅</p><p>　　外網(wǎng)的威脅可能有木馬、病毒、蠕蟲，他們會正常的隱藏在word，QQ等正常的軟件中。這些威脅也許會通過U盤、移動硬盤等移動存儲介質(zhì)進(jìn)行傳播。主機(jī)IP地址和MAC地的威脅，因為它們很容易被篡改，造成運行與維護(hù)上的不安全，刻錄機(jī)帶來的安全風(fēng)險。還有隨著手機(jī)、平板電腦的流行而帶來的移動設(shè)備管理等問題。最常見的還有遠(yuǎn)程辦公帶來的安全威脅。</p><p&g

68、t;　?。?）內(nèi)網(wǎng)帶來的威脅</p><p>　　內(nèi)部成員之間重要文檔在傳輸過程中帶來的安全問題，當(dāng)某個不具備某文檔閱讀權(quán)限的內(nèi)部員工可能會接觸、打開、復(fù)制、打印該文檔，這樣就有可能造成文件的泄露。還有將自帶設(shè)備帶入內(nèi)部網(wǎng)絡(luò)，并自動攻擊內(nèi)部主機(jī)、服務(wù)器，并將重要資料復(fù)制到自帶的設(shè)備中，并通過外網(wǎng)回傳到黑客指定地址。員工的U盤、移動硬盤、光盤也有可能在外部感染木馬，從而攻擊內(nèi)網(wǎng)中的主機(jī)、服務(wù)器，然后將數(shù)據(jù)傳到外部。

69、對服務(wù)器、應(yīng)用系統(tǒng)的資源占用、響應(yīng)無實時監(jiān)控手段。主機(jī)、應(yīng)用系統(tǒng)登錄安全問題。管理員權(quán)限過大，可通過在交換機(jī)鏡像或ARP欺騙的方式捕獲內(nèi)部人員的賬號和密碼，管理員可直接在服務(wù)器上讀取OA、E-Mail等的敏感信息。管理員可直接接觸到核心數(shù)據(jù)庫，容易產(chǎn)生誤操作，或惡意操作。蠕蟲、病毒，往往會掃描服務(wù)器，從而造成信息泄漏，低權(quán)限管理員有可能利用此權(quán)限，進(jìn)行越權(quán)、高危操作。</p><p>　　4.3 內(nèi)網(wǎng)的安全的防護(hù)

70、</p><p><b>　?。?）訪問控制</b></p><p>　　配置訪問控制策略，對網(wǎng)絡(luò)進(jìn)行訪問控制，并且在內(nèi)網(wǎng)中應(yīng)該不要使用無線網(wǎng)，無線網(wǎng)絡(luò)存在諸多安全隱患，而且不方便集中管理上網(wǎng)用戶，為了避免攻擊者通過無線網(wǎng)絡(luò)滲透進(jìn)內(nèi)網(wǎng)或者機(jī)密資料被竊取，所以應(yīng)避免使用無線網(wǎng)絡(luò)。</p><p>　　（2）架設(shè)入侵檢測系統(tǒng)</p>

71、<p>　　利用入侵檢測系統(tǒng)對網(wǎng)絡(luò)的安全情況進(jìn)行全天的監(jiān)測，網(wǎng)絡(luò)安全管理員應(yīng)該定期對網(wǎng)絡(luò)進(jìn)行模擬滲透，即使發(fā)現(xiàn)系統(tǒng)漏洞，然后針對漏洞做出相應(yīng)的加固方案。</p><p>　?。?）PC補丁管理服務(wù)器</p><p>　　WSUS支持微軟的全部產(chǎn)品的更新，以及補丁程序。部署WSUS服務(wù)器，幫助內(nèi)部網(wǎng)絡(luò)的用戶機(jī)及時、快速地更新/升級windows，能防止網(wǎng)內(nèi)用戶不打漏洞補丁的問題，提

72、高了辦公網(wǎng)絡(luò)的PC安全系數(shù)。</p><p><b>　?。?）病毒防御系統(tǒng)</b></p><p>　　統(tǒng)一為網(wǎng)內(nèi)中的所有主機(jī)和服務(wù)器安裝殺毒軟件。</p><p><b>　?。?）Mail安全</b></p><p>　　在信息技術(shù)高度發(fā)展的今天，E-mail已成為我們生活和工作中必不可少的一

73、部分了，很多人不懂安全的人事，很難想象一封E-mail中所隱藏的安全隱患，到底有多大，所以應(yīng)當(dāng)對郵件進(jìn)行過濾。消除郵件中的安全隱患。同時制定一些制度，規(guī)定員工發(fā)郵件時不帶鏈接、附件等。</p><p><b>　?。?）日志管理</b></p><p>　　對日志進(jìn)行統(tǒng)一管理，安全管理員應(yīng)該定期進(jìn)行日志分析。若發(fā)現(xiàn)異常，立即向主管領(lǐng)導(dǎo)反映，并分析被攻擊因素，及時修復(fù)漏

74、洞，并根據(jù)異常日志，追蹤攻擊源</p><p><b>　　(7）員工主機(jī)安全</b></p><p>　　制定相應(yīng)的主機(jī)加固和管理方案。確保每個員工的主機(jī)都能安全地運行</p><p>　?。?）培養(yǎng)員工的安全意</p><p>　　管理員應(yīng)該定期對員工進(jìn)行網(wǎng)絡(luò)安全方面知識的普及和培訓(xùn)，規(guī)范員工的上網(wǎng)，引導(dǎo)員工去安全地

75、上網(wǎng)，從而確保內(nèi)網(wǎng)環(huán)境安全和穩(wěn)定。禁止員工使用自帶的便攜設(shè)備，如U盤，移動硬盤，手機(jī)等，應(yīng)該使用統(tǒng)一的移動設(shè)備，因為自帶的便攜設(shè)備很有可能會把病毒帶到內(nèi)網(wǎng)中 ，在內(nèi)網(wǎng)進(jìn)行文件傳輸、共享的時候，應(yīng)該按照文件的安全等級要求，進(jìn)行加密傳輸</p><p><b>　?。?）劃分VLAN</b></p><p>　　為各個部門劃分VLAN，保證網(wǎng)絡(luò)能夠高效，穩(wěn)定，安全地運行。

76、并對員工的主機(jī)實行mac雙向綁定，從而預(yù)防ARP攻擊</p><p>　　4.4 應(yīng)用程序的安全的防護(hù)</p><p>　　WEB應(yīng)用程序是整個網(wǎng)絡(luò)中的第一道防線，同時也是整個網(wǎng)絡(luò)中最容易被攻擊者攻擊的一個環(huán)節(jié)，從而導(dǎo)致了WEB應(yīng)用程序的安全變得很重要。所以我們在路由器上安裝了防火墻，實現(xiàn)了對服務(wù)器的安全控制和監(jiān)測。WEB應(yīng)用程序的安全，需要注意以下幾點：</p><p

77、><b>　?。?）開發(fā)環(huán)節(jié)</b></p><p>　　WEB應(yīng)用的開發(fā)環(huán)節(jié)直接影響WEB應(yīng)用的安全。所以在開發(fā)WEB應(yīng)用程序時，應(yīng)該要有嚴(yán)格的安全編碼規(guī)范標(biāo)準(zhǔn)，避免注入、上傳、文件包含、遠(yuǎn)程、本地代碼執(zhí)行、XSS等漏洞安全問題的產(chǎn)生。所以在應(yīng)用上線之前，要嚴(yán)格地進(jìn)行各種安全測試和加固。合理地選擇相對穩(wěn)定，安全的WEB框架，以及web服務(wù)器軟件，為選擇好WEB運行程序制定安全的配置方

78、案和加固方案，以及維護(hù)方案，確保系統(tǒng)能夠安全、穩(wěn)定地運行。</p><p>　　（2）安裝WEB應(yīng)用防火墻</p><p>　　安裝防火墻，一定程度上也可以提高WEB的安全系數(shù)。制定一個統(tǒng)一的賬戶、密碼管理體系，對后臺的訪問做一些控制，防止惡意攻擊者進(jìn)行暴力猜解。并定期對WEB系統(tǒng)進(jìn)行漏洞掃描和弱點分析，同時，也要進(jìn)行人工的漏洞挖掘。從而發(fā)現(xiàn)系統(tǒng)存在和可能存在的漏洞，因為運用軟件掃描有時有

79、可能會出現(xiàn)誤差</p><p><b>　?。?）流量監(jiān)測</b></p><p>　　定期對網(wǎng)絡(luò)進(jìn)行流量監(jiān)測，因為通過檢測出進(jìn)或者出口的流量情況，有助于網(wǎng)絡(luò)安全管理員分析WEB的運行情況，發(fā)現(xiàn)進(jìn)出口的流量是否存在異常。防止攻擊者對網(wǎng)絡(luò)實行流量攻擊</p><p>　　4.5 服務(wù)器安全的防護(hù)</p><p>　?。?）

80、賬戶、密碼管理</p><p>　　對服務(wù)器的賬戶、密碼進(jìn)行嚴(yán)格管理，修改密碼策略，賬戶添加/刪除審批，用戶賬戶的權(quán)限管理/審批等。定期對服務(wù)器的賬戶、密碼進(jìn)行檢查，看看是否存在異常情況。</p><p><b>　?。?）配置安全策略</b></p><p>　　歲服務(wù)器制定相應(yīng)的安全部署策略和安全加固策略，以及訪問策略等，為服務(wù)器及時安裝漏

81、洞補丁，并定期對安全策略、補丁等情況進(jìn)行檢查。</p><p>　?。?）日志管理及漏洞檢查</p><p>　　對服務(wù)器日志進(jìn)行統(tǒng)一管理，管理員需定期的歲服務(wù)器進(jìn)行日志分析。發(fā)現(xiàn)異常，應(yīng)及時的做相應(yīng)的處理，為服務(wù)器進(jìn)行定期的漏洞掃描安全人員也應(yīng)該進(jìn)行相應(yīng)的手工漏洞挖掘工作。并定期對服務(wù)器進(jìn)行評估和審計。做出相應(yīng)的加固，加固必須要嚴(yán)格按照服務(wù)器安全配置方案，加固方案，管理方案進(jìn)行。<

82、/p><p><b>　　4.6 漏洞的防護(hù)</b></p><p>　?。?）內(nèi)部主機(jī)的設(shè)置</p><p>　　關(guān)閉“文件和打印共享”</p><p>　　文件和打印共享可以實現(xiàn)內(nèi)網(wǎng)中同一網(wǎng)段中的各個成員之間的文件的傳輸，使用起來很方便，所以很多時候企業(yè)都會采用這樣的方式進(jìn)行文件的傳輸，但在不需要它的時候，文件和打印共享

83、就成了攻擊者入侵內(nèi)部網(wǎng)絡(luò)的很好的安全漏洞。所以在沒有必要“文件和打印共享”的情況下，可以這個功能關(guān)閉。 </p><p><b>　　禁止建立空連接 </b></p><p>　　將內(nèi)網(wǎng)的所有計算機(jī)上禁止建立空連接。默認(rèn)的情況下，所有的用戶都可以通過空連接連上服務(wù)器，所以這樣就會對我們的服務(wù)器帶來很大的安全隱患，導(dǎo)致服務(wù)器上的信息泄露。 </p><

84、;p><b>　　隱藏IP地址 </b></p><p>　　使用代理服務(wù)器將內(nèi)網(wǎng)中的IP地址進(jìn)行隱藏，在內(nèi)網(wǎng)中的主機(jī)上和遠(yuǎn)程服務(wù)器之間架設(shè)一個“中轉(zhuǎn)站”，當(dāng)內(nèi)網(wǎng)中的主機(jī)向遠(yuǎn)程服務(wù)器提出服務(wù)后，代理服務(wù)器首先截取內(nèi)網(wǎng)主機(jī)的請求，然后代理服務(wù)器將服務(wù)請求轉(zhuǎn)交遠(yuǎn)程服務(wù)器，從而實現(xiàn)內(nèi)部網(wǎng)絡(luò)中的主機(jī)和遠(yuǎn)程服務(wù)器之間的聯(lián)系。使用代理服務(wù)器后，攻擊者只能探測到道理服務(wù)器的IP地址而不是內(nèi)網(wǎng)中主機(jī)的

85、IP地址，這就實現(xiàn)了隱藏用戶IP地址的目的，從而保障了內(nèi)網(wǎng)的安全。因為IP和計算機(jī)的關(guān)系就好比身份證上的身份證號和人的關(guān)系，當(dāng)一個攻擊則通過掃描工具確定了一臺主機(jī)的IP地址后，相當(dāng)于他已經(jīng)找到了攻擊的目標(biāo)，并通過IP向目標(biāo)主機(jī)發(fā)動各種進(jìn)攻，所以隱藏內(nèi)網(wǎng)中的IP地址至關(guān)重要。</p><p><b>　　關(guān)閉不必要的端口</b></p><p>　　攻擊者在入侵時常常會

86、對目標(biāo)主機(jī)的端口進(jìn)行掃描，安裝了端口監(jiān)視程序，當(dāng)監(jiān)視程序檢測到有人掃描是就會有警告提示。并用工具軟件關(guān)閉用不到的端口，進(jìn)一步提高系統(tǒng)的安全新。 </p><p><b>　　更換管理員賬戶</b></p><p>　　為Adminstrator賬戶設(shè)置一個強(qiáng)大復(fù)雜的密碼，然后重命名Adminstrator賬戶，再創(chuàng)建一個沒有管理員權(quán)限的Adminstrator賬戶

87、漆面入侵者，以此來防止攻擊者知道管理員賬戶，從而在一定的程度上保證計算機(jī)安全。因為 Adminstrator賬戶擁有最高的系統(tǒng)權(quán)限，一旦攻擊者獲得Adminstrator賬戶權(quán)限，就可以對系統(tǒng)進(jìn)行任何操作，后果不堪設(shè)想， </p><p>　　安裝必要的安全軟件 </p><p>　　為內(nèi)網(wǎng)中的各個主機(jī)安裝必要的防黑軟件、殺毒軟件和防火墻，在一定的程度上保證計算機(jī)安全。

88、 </p><p><b>　　4.7 社會工程學(xué)</b></p><p>　　通過培訓(xùn)，使內(nèi)網(wǎng)的工作人員對社工有個比較全面的認(rèn)識，學(xué)會理智地分辨他們身邊存在或可能存在的“社工行為”以及“社工因素”，避免內(nèi)網(wǎng)被"社工"。社會工程學(xué)，在普遍的網(wǎng)絡(luò)攻擊和的APT攻擊中、扮演著非常

89、重要的角色。社會工程學(xué)的攻擊主要是從“人”開始的。我們在網(wǎng)絡(luò)防御中，人也是防御中的一個重要環(huán)節(jié)。0day漏洞很可怕，可是在網(wǎng)絡(luò)攻擊中的社會工程學(xué)同樣很可怕，社會工程學(xué)是一個很廣泛的攻擊手段，跟技術(shù)性的防范不同，它包含很多的不確定因素，所以要想防范社會工程學(xué)攻擊還是很有難度的。</p><p>　　（1）防范來內(nèi)網(wǎng)的主動/被動的社會工程學(xué)攻擊</p><p>　　“主動的社會工程學(xué)攻擊”指來

90、內(nèi)網(wǎng)中"不安分"人員的攻擊。而“被動社會工程學(xué)攻擊”是指內(nèi)網(wǎng)中的人員因為信息泄露等因素，被外網(wǎng)的攻擊者所利用而引發(fā)的攻擊。絕大部分社工攻擊是通過電子郵件或即時消息進(jìn)行的。上網(wǎng)行為管理設(shè)備應(yīng)該做到阻止內(nèi)部主機(jī)對惡意U R L的訪問。</p><p>　?。?）防范郵件中的社會工程學(xué)攻擊</p><p>　　許多攻擊者會采用“郵件”作為主要的攻擊手段，攻擊者通過篡改DNS服

91、務(wù)器上的解析記錄，將對正常U RL的訪問引導(dǎo)到掛有木馬的網(wǎng)頁上。DNS服務(wù)器，可能是內(nèi)部的緩存服務(wù)器,也可能是外部的DNS服務(wù)器,由于只能對內(nèi)部DNS服務(wù)器監(jiān)控而無法監(jiān)控外部DNS服務(wù)器的情況，因此不能完全避免這種類型的攻擊[13]。所以，對這方面，應(yīng)該要特別注意。有些攻擊者可能會冒充某些正規(guī)網(wǎng)站的名義，然后編個冠冕堂皇的理由寄一封信給內(nèi)部人員，并要求輸入用戶名稱與密碼，當(dāng)內(nèi)部成員輸入后，如果按下“確定”，那時用戶名和密碼就會返回到攻擊

92、者的郵箱。所以內(nèi)網(wǎng)人員不要隨便回陌生人的郵件。</p><p>　　4.8 針對SQL注入的防護(hù)</p><p><b>　?。?）應(yīng)用程序設(shè)計</b></p><p>　　該SQL語句ELECT * FROM Users WHERE Username='username'AND

93、 </p><p>　　Password='password’可能會帶來SQL注入攻擊，因為當(dāng)我們在用戶名和密碼地址欄中輸入username = 1'or'1'='1和password=1'or'1'='1，SQL語句就變成了：SELECT * FROM Users WHE

94、RE Username='1' OR '1'='1'AND </p><p>　　Password='1'OR '1'='1'，該語句恒為真，所以就會登陸后臺界面，這樣就會構(gòu)成SQL注入攻擊，所以我們應(yīng)該對SQL注入的字符串進(jìn)行有效的過濾[]。常見的一些SQL注入攻擊及

95、正則表示如表4.1所示。</p><p><b>　　表4.1正則規(guī)范表</b></p><p>　　方案的流程圖如下圖4.2所示：</p><p>　　圖4.2 防御流程圖</p><p>　　當(dāng)發(fā)現(xiàn)SQL攻擊時，則攔截請求并產(chǎn)生警告信息作為應(yīng)答；如果未發(fā)現(xiàn)攻擊，則提交至系統(tǒng)模塊。獲取數(shù)據(jù)匹配的具體的流程圖如下圖4.3

96、所示：</p><p><b>　　圖4.3 匹配流圖</b></p><p>　　當(dāng)攔截到Http請求后首先對請求內(nèi)容進(jìn)行URL解碼，其主要目的是防止攻擊者以URL編碼方式構(gòu)造SQL注入語句。然后檢測請求數(shù)據(jù)中是否含有SQL注入攻擊常用的關(guān)鍵字以及分隔符，如and、or、1=1、’、等，如果不含有，則可以排除注入攻擊的可能。如果含有則提示登錄信息錯誤，并將輸入的數(shù)據(jù)

97、提交至詳細(xì)的規(guī)則檢測，又返回來處理正常請求，并盡可能快地將正常請求提交至系統(tǒng)模塊處理，避免正?？蛻魧W(wǎng)站訪問的延遲影響。對于包含注入關(guān)鍵字的Web請求，可以遍歷規(guī)則庫對請求內(nèi)容進(jìn)行詳細(xì)的正則匹配。如果匹配成功，則攔截請求、向客戶端發(fā)送警告。如果匹配失敗，則將請求字符串記錄入可疑攻擊代碼庫，提交網(wǎng)站管理員分析。如果發(fā)現(xiàn)同一源IP地址短時間內(nèi)多次攻擊，過濾模塊就會將該IP地址加入黑名單，禁止其在一定時間內(nèi)訪問，從而防止攻擊者采用窮舉法,最終

98、攻破系統(tǒng)。</p><p>　?。?）驗證所有的輸入信息 </p><p>　　將用戶名和密碼輸入框中輸入的信息進(jìn)行一個驗證處理，例如只能輸入數(shù)值或字符，那么要登陸后臺，則必須滿足通過驗證的條件后，才來也正該用戶名和密碼是否正確，確保用戶輸入的都是數(shù)字。如果可以接受字母，那就要檢查是不是存在不可接受的字符。確保你的應(yīng)用程序要檢查以下字符：分號，等號，破折號，括號以及SQL關(guān)鍵字。

99、使用正則表達(dá)式來進(jìn)行復(fù)雜的模式匹配，限制用戶輸入的字符的長度[21]。所以驗證用戶輸入的信息是一個防止SQL注射攻擊的好方法，從而避免入侵者利用WEB的開放性對應(yīng)用程序進(jìn)行SQL注射攻擊。</p><p><b>　?。?）用戶權(quán)限</b></p><p>　　在應(yīng)用程序中使用的連接數(shù)據(jù)庫的賬戶應(yīng)該是擁有必要的特權(quán)，這樣可以有效地保護(hù)整個系統(tǒng)盡可能少地受到入侵者的危害

100、通過限制用戶權(quán)限，隔離了不同賬戶可執(zhí)行的操作。不同的用戶賬戶擁有不同的權(quán)限，執(zhí)行查詢插入更新刪除等操作的用戶可以是不同的用戶，這樣可以防止原本用于執(zhí)行查詢操作的地方卻被用于執(zhí)行插入、更新或刪除等操作[8]。</p><p>　　4.9 防護(hù)方案后的拓?fù)鋱D</p><p>　　加了防護(hù)設(shè)備后的網(wǎng)絡(luò)拓補圖如下圖4.4所示：</p><p>　　圖4.4 加了防護(hù)方案的拓

101、撲圖</p><p>　　在路由出口架設(shè)大流量吞吐量的防火墻，可以有效地防御外部攻擊者對外部路由進(jìn)行DDoS攻擊，做訪問控制策略，保證內(nèi)網(wǎng)的安全控制，在二層交換機(jī)上部署上網(wǎng)行為管理系統(tǒng)，網(wǎng)絡(luò)入侵檢測系統(tǒng)，日志審計管理系統(tǒng)，運行與維護(hù)安全審計系統(tǒng)。為服務(wù)器部署數(shù)據(jù)庫審計系統(tǒng)。以保證數(shù)據(jù)和機(jī)密文件的安全。在員工辦公的區(qū)域架設(shè)行為管理系統(tǒng)。</p><p>　　第五章 ATP攻防實驗</p

102、><p>　　5.1 實驗平臺的搭建</p><p>　　5.1.1 平臺拓?fù)鋱D</p><p>　　搭建的環(huán)境網(wǎng)絡(luò)拓?fù)鋱D如下圖5.1所示：</p><p>　　圖5.1 環(huán)境網(wǎng)絡(luò)拓?fù)鋱D</p><p>　　圖5.1是攻擊環(huán)境大概的網(wǎng)絡(luò)拓?fù)?，主要劃分兩個網(wǎng)段，其中192.168.1.0被劃分為外網(wǎng)，192.168.2.0被

103、劃分為內(nèi)網(wǎng)，是主要的攻擊目標(biāo)。其中內(nèi)網(wǎng)包括PC機(jī)和服務(wù)器，外網(wǎng)就只有PC機(jī)。</p><p>　　5.1.2 web的搭建</p><p>　　搭建的web系統(tǒng)為“家庭理財管理系統(tǒng)”，系統(tǒng)開發(fā)規(guī)格如表5.1所示。</p><p><b>　　表5.1 環(huán)境設(shè)備</b></p><p>　　由于需要搭建到Server 20

104、03上，需要對Server 2003做如下工作：安裝IIS，配置.netFrame 4.0系統(tǒng)框架，搭建WEB系統(tǒng)等。</p><p><b>　　（1）安裝IIS</b></p><p>　　進(jìn)行添加程序界面，單擊“添加/刪除Windows組件”，選中“應(yīng)用程序服務(wù)器”，單擊下一步，如下圖5.2所示：</p><p>　　圖5.2 應(yīng)用程序界

105、面</p><p>　　安裝過程中需要插入系統(tǒng)安裝光盤，插入光盤后繼續(xù)運行。直到IIS安裝完成。</p><p>　?。?）配置.netFrame 4.0系統(tǒng)框架</p><p>　　因為“家庭理財管理系統(tǒng)”是在Frame4.0下開發(fā)的，而Sever 2003系統(tǒng)默認(rèn)只有1.1的框架，因而需要另外安裝.netFrame4.0。安裝步驟如下：從微軟官方網(wǎng)站上下載安裝.

106、netFram4.0前必要安裝的組件wic_x86_enu.exe。如下圖5.3所示：</p><p><b>　　圖5.3 完成界面</b></p><p>　　從微軟網(wǎng)站上下載dotNetFx40_Full_x86.exe，以配置Frame4.0的環(huán)境。按其默認(rèn)設(shè)置單擊“下一步”即可完成安裝。安裝完成后，Sever 2003系統(tǒng)的Frame 4.0的框架已經(jīng)搭建完

107、畢,如圖5.4所示，通過IIS下的“Web 服務(wù)擴(kuò)展”查看支持的框架。</p><p>　　圖5.4 Frame 4.0的框架</p><p>　?。?）發(fā)布WEB系統(tǒng)</p><p>　　搭建好所需要的環(huán)境后，就可以進(jìn)行以發(fā)布網(wǎng)站了。右鍵“網(wǎng)站”，單擊“網(wǎng)站”進(jìn)入網(wǎng)站創(chuàng)建向?qū)Ы缑?。輸入網(wǎng)站系統(tǒng)的描述，在這里輸入“myweb”。為網(wǎng)站分配ip地址為192.168.

108、2.5和端口8080。輸入完后如下圖5.5所示：</p><p>　　圖5.5 IP設(shè)定界面</p><p>　　輸入網(wǎng)站主目錄路徑。設(shè)置訪問權(quán)限，為WEB系統(tǒng)設(shè)置“默認(rèn)內(nèi)容文檔”。為網(wǎng)站設(shè)置為Frame4.0框架。在彈出的提示中單擊“是”即可。至此WEB系統(tǒng)搭建完成，在瀏覽器中輸入http://192.168.2.5:8080可訪問系統(tǒng)主頁。主頁界面如下圖5.6所示</p>

109、<p><b>　　圖5.6 主頁界面</b></p><p>　　5.1.3 FTP服務(wù)器的搭建</p><p>　　安裝ftp服務(wù)，將i386文件拷貝到服務(wù)器上或插入Windows2003安裝光盤，單擊“開始-控制面板-添加或刪除程序-添加/刪除Windows組件”選項，在“組件”列表中，雙擊“應(yīng)用程序服務(wù)器”選項，單擊并選中“Internet信息服務(wù)

110、(IIS)”選項，然后單擊“詳細(xì)信息”按鈕，打開“應(yīng)用程序服務(wù)器子組件”窗口。 選中“文件傳輸協(xié)議 (FTP) 服務(wù)”這個選項，單擊確定。單擊“下一步”按鈕。出現(xiàn)提示時，如需要文件i386，則定位到剛才拷貝的i386文件，一直點下一步，最后點完成</p><p>　?。?）配置ftp站點</p><p>　　點擊“開始”—>“管理工具”—>“Int