ATP攻擊的發(fā)現(xiàn)與防護方案設計

本科畢業(yè)論文（設計）論文（設計）題目：ATP攻擊的發(fā)現(xiàn)與防護方案設計學院：專業(yè)：班級：學號：姓名：**年**月**日貴州大學本科畢業(yè)論文（設計）誠信責任書本人鄭重聲明：本人所呈交的畢業(yè)論文（設計），是在導師的指導下獨立進行研究所完成。畢業(yè)論文（設計）中凡引用他人已經(jīng)發(fā)表或未發(fā)表的成果、數(shù)據(jù)、觀點等，均已明確注明出處。特此聲明。論文（設計）作者簽名：日期：ATP攻擊的發(fā)現(xiàn)與防護方案設計摘要APT即為高級持續(xù)性威脅，是近年來才出現(xiàn)的一種網(wǎng)絡攻擊手段，其特點是他的攻擊的前期準備需要很長的時間，攻擊的手段十分隱蔽,變化多端、效果非常顯著，不易被發(fā)現(xiàn)，APT攻擊已經(jīng)漸漸成為網(wǎng)絡滲透和系統(tǒng)攻擊的演進趨勢。目前，國內(nèi)外對APT攻擊防護的研究尚處于初級階段，防御方案是基于已知的知識和規(guī)則，基于信任,缺乏對未知威脅的感知能力,針對未知的感知能力非常薄弱,對抗點滯后,缺乏關(guān)聯(lián)分析能力，并沒有對APT攻擊機理、產(chǎn)生背景等進行整體而細致的剖析。為了有效的應對現(xiàn)今愈演愈烈的APT攻擊，通過閱讀大量的文獻，和借鑒國內(nèi)外的經(jīng)驗，從APT的規(guī)范定義及特征入手,對APT攻擊產(chǎn)生的背景、攻擊的原理及步驟進行了一個較為詳盡的總結(jié)，在理解的基礎(chǔ)上，利用兩臺QuidwayS2008型號交換機和路由器Quidway2600型號的路由器還有若干臺計算機，模擬內(nèi)網(wǎng)和外網(wǎng)，利用搭建環(huán)境模擬幾種典型的APT攻擊，提出沙箱檢測、異常檢測、威脅檢測、記憶檢測等具體的方案來檢測APT攻擊。這些方案和傳統(tǒng)的防護方案相比更加有效地檢測APT網(wǎng)絡攻擊。通過檢測來往的數(shù)據(jù)及信息是否含有APT特征，查詢流量，分析日志，從而在APT還沒發(fā)起攻擊前發(fā)現(xiàn)APT攻擊。并針對APT攻擊提出了具體的防范方案關(guān)鍵詞：APT攻擊，檢測方案，防范策略ATPattackandprotectionschemedesignAbstractAPTistheadvancedpersistentthreat,whichisakindofnetworkattackoccurredinrecentyears,itscharacteristicisthatpreparinghisattackrequiresalongperiodoftime,theattackisverysubtleandthemostchangeful,theeffectisverysignificant,noteasytobefoundAPTattackshavegraduallybecometheevolutiontrendofnetworkpenetrationandsystemattack.Atpresent,thedomesticandforeignresearchonAPTattackprotectionisstillintheprimarystage,thedefenseschemeisbasedonknowledgeandrules,trustandthelackofanunknownthreatperception,fortheweakunknownperceptionability,againstlag,thelackofcorrelationanalysiscapability,insteadofanalyzingthebackgroundofAPTattackmechanismoverallanddetailed.InordertoeffectivelyrespondtothegrowingAPTattack,byreadingalotofliterature,anddrawinglessonsfromdomesticandinternationalexperience,fromtheAPTstandarddefinitionandcharacteristic,conductedamoredetailedsummaryonAPTattacksgeneratedbackground,principlesandproceduresofattacks。Onthebasisofunderstanding,usingtwoQuidwayS2008typesofswitchesandroutersQuidway2600routermodelsandsomecomputertosimulateinternalnetworkandexternalnetwork,andusingbuildingenvironmenttosimulateseveraltypicalAPTattack,proposespecificprogramsincludingtheschemesandboxdetection,anomalydetection,threatdetection,memoryteststodetectAPTattacks.TheseprogramsmoreeffectivelydetectAPTattackscomparedwithtraditionalprotectionschemes.BydetectingwhetherthedataandinformationcontainsAPTfeatures,queryingflow,analysinglogtofindtheAPTattackbeforetheAPTattacksandproposedthespecificpreventionprogramforAPTattackKey：APTattack,detectionscheme,preventionstrategies目錄摘要 IIAbstract III第一章概述 11.1目的與意義 11.3現(xiàn)狀及發(fā)展趨勢 11.3主要設計內(nèi)容 3第二章相關(guān)的基礎(chǔ)知識 42.1ATP的概念 42.2APT攻擊的原理 42.3APT的危害 5第三章APT攻擊的發(fā)現(xiàn) 63.1ATP攻擊的途徑 63.2ATP攻擊的過程剖析 63.3ATP的檢測 83.3.1沙箱方案 93.3.2異常檢測模式 103.3.3威脅檢測技術(shù) 113.3.4基于記憶的檢測 13第四章APT防護方案設計 154.1網(wǎng)絡拓撲圖 154.2存在的威脅 154.3內(nèi)網(wǎng)的安全的防護 164.4應用程序的安全的防護 174.5服務器安全的防護 184.6漏洞的防護 184.7社會工程學 204.8針對SQL注入的防護 214.9防護方案后的拓撲圖 23第五章ATP攻防實驗 255.1實驗平臺的搭建 255.1.1平臺拓撲圖 255.1.2web的搭建 255.1.3FTP服務器的搭建 295.2弱密碼攻擊 335.2.1攻擊 335.2.3防護 385.2.3.測試 445.3操作系統(tǒng)IPC$漏洞攻擊 465.3.1攻擊 465.3.2防護 515.3.3測試 555.4SQL注入攻擊 57第六章總結(jié) 656.1總結(jié) 656.2展望 65參考文獻 67致謝 68 第一章概述1.1目的與意義近年來，隨著信息技術(shù)的高速發(fā)展，信息化技術(shù)在給人們帶來種種物質(zhì)和文化生活享受的同時，各種安全問題也隨之而來，諸如網(wǎng)絡的數(shù)據(jù)竊賊、黑客對主機的侵襲從而導致系統(tǒng)內(nèi)部的泄密者。盡管我們正在廣泛地使用各種復雜的軟件技術(shù)，如防火墻、代理服務器、侵襲探測器、通道控制機制等，但是，無論在發(fā)達國家，還是在發(fā)展中國家，黑客活動越來越猖狂，他們無孔不入，對社會造成了嚴重的危害，如何消除安全隱患，確保網(wǎng)絡信息的安全，尤其是網(wǎng)絡上重要的數(shù)據(jù)的安全，已成為當今世界越來越關(guān)心的話題。近年來，APT高級持續(xù)性威脅便成為信息安全圈子人人皆知的"時髦名詞"[1]。APT變化多端、效果顯著且難于防范,因此,漸漸成為網(wǎng)絡滲透和系統(tǒng)攻擊的演進趨勢。所以要設計一套能有效防護APT攻擊的方案顯得及其重要。設計的目的主要是從APT的規(guī)范定義及特征入手,對攻擊發(fā)起的背景、步驟等進行較詳盡的描述,在分析APT攻擊的一般過程基礎(chǔ)上,針對攻擊不同階段,從技術(shù)措施和防護方法等方面給出具體的建議，并給出具體、完善的檢測、響應和防范APT攻擊的可行性方案。1.3現(xiàn)狀及發(fā)展趨勢從震網(wǎng)到火焰各種的攻擊，到媒體關(guān)的關(guān)注，全都認可一件事情，那就APT攻擊是防不住。國內(nèi)防不住，國外其實也防不住[2]。目前仍有很多人對APT這個名詞感到陌生，APT到底是什么，關(guān)于APT的定義非?；靵y，APT攻擊并不是具體限定于某一種唯一的方法和步驟,他攻擊的手段多種多樣，廣泛的用到了社會工程學的手段。目前國內(nèi)外對APT（高級持續(xù)威脅)攻擊行動的組成要素、主要任務、重要活動以及交互關(guān)系等問題已有清晰的認識,可是對APT攻擊的研究主要還是由安全廠商進行,其側(cè)重點在于通過安全事件、威脅的分析導出企業(yè)的安全理念,以網(wǎng)絡安全企業(yè)的宣傳、分析資料為主，忽視了對APT攻擊機理、產(chǎn)生背景等進行整體而細致的剖析。所以關(guān)注點較為分散，不成體系，無法對APT攻擊形成較為全面的認知和理解。缺乏統(tǒng)一的形式化描述,不能全面系統(tǒng)地表達APT攻擊的全過程。外對APT攻擊的檢測主要還都處于探索狀態(tài)。大致主要分為兩種方式:靜態(tài)檢測方式和動態(tài)檢測方式[3]。在國外先進國家研究APT攻擊已經(jīng)成為國家網(wǎng)絡安全防御戰(zhàn)略的重要環(huán)節(jié)。例如，美國國防部的HighLevel網(wǎng)絡作戰(zhàn)原則中，明確指出針對APT攻擊行為的檢測與防御是整個風險管理鏈條中至關(guān)重要也是基礎(chǔ)的組成部分，西方先進國家已將APT防御議題提升到國家安全層級，這絕不僅僅造成數(shù)據(jù)泄露。根據(jù)許多APT行為特征的蠕蟲病毒分析報告來看，我國信息化建設和重要信息系統(tǒng)也可能受到來自某些國家和組織實施的前所未有的APT安全威脅，然而我國當前面向重要網(wǎng)絡信息系統(tǒng)的專業(yè)防護服務能力和產(chǎn)業(yè)化程度相對較低，尚難以有效應對高級持續(xù)性威脅攻擊，形勢相當嚴峻，另一方面，由于APT攻擊的高度復合性和復雜性，目前尚缺乏對APT成因和檢測的完善方法的研究。隨著我國3G網(wǎng)絡的推廣普及,移動終端的市場在不斷擴大，APT攻擊也在關(guān)注移動互聯(lián)網(wǎng)終端，這也是ATP攻擊的一個發(fā)展趨勢。APT攻擊時代的來臨預示著定向攻擊將成為惡意軟件發(fā)展的新趨勢[4]。APT攻擊是一個在時間上具備連續(xù)性的行為，在以后信息技術(shù)快速的發(fā)展中，APT攻擊將會變得越來越復雜，這并不僅僅表示攻擊技術(shù)越來越強大，也意味著部署攻擊的方式越來越靈活。以后，這類攻擊將會具備更大的破壞能力，使得我們更難進行屬性分析。（1）攻擊將會更有針對性：越來越多的APT攻擊將會針對特定的地區(qū)、特定的用戶群體進行攻擊。在此類攻擊中，除非目標在語言設定、網(wǎng)段等條件上符合一定的標準，否則惡意軟件不會運行。因此，我們將會看到越來越多的本地化攻擊。（2）APT攻擊將更有破壞性：在以后，APT攻擊將帶有更多的破壞性質(zhì)，無論這是它的主要目的，或是作為清理攻擊者總計的手段，都很有可能成為時間性攻擊的一部分，被運用在明確的目標上。（3）對攻擊的判斷將越來越困難：在APT攻擊防范中，我們通常用簡單的技術(shù)指標來判斷攻擊的動機和地理位置。但是到了以后，我們將需要綜合社會、政治、經(jīng)濟、技術(shù)等多重指標進行判斷，以充分評估和分析目標攻擊。但是，多重指標很容易導致判斷出現(xiàn)失誤，而且，攻擊者還可能利用偽造技術(shù)指標來將懷疑對象轉(zhuǎn)嫁到別人身上，大大提升了判斷的難度。1.3主要設計內(nèi)容運用已學過的信息安全原理與技術(shù)、現(xiàn)代密碼學、計算機網(wǎng)絡和網(wǎng)絡攻防等專業(yè)知識，對高級持續(xù)性威脅(Advanced

Persistent

Threat，APT)產(chǎn)生的背景、攻擊方法與原理進行分析，發(fā)現(xiàn)其攻擊規(guī)律，提出檢測方法，搭建一個簡單、實用的APT攻擊防護平臺，設計出一套完整的防范APT攻擊的解決方案，并通過自己搭建的實驗平臺對該方案的可行性進行驗證。第二章相關(guān)的基礎(chǔ)知識2.1ATP的概念APT攻擊是一種非常有目標的攻擊。APT攻擊和其他的網(wǎng)絡攻擊相比，他們有著本質(zhì)的區(qū)別，病毒擁有3個基本屬性，APT攻擊在擁有那些基本屬性的同時，也擁有了屬于自己特有的屬性。從技術(shù)的角度來說，APT是一種不同性質(zhì)的攻擊，從某些程來說，APT攻擊是必然的，也是最近出現(xiàn)的一種新的篇章，這個新的篇章和過去的網(wǎng)絡攻擊不一樣，其主要表現(xiàn)為APT的采點是很漫長的，需要一段很長的時間，APT運用的攻擊手段很隱蔽，因此很多網(wǎng)絡安全維護人員不會輕易的發(fā)現(xiàn)這種攻擊，因為他們所運用的攻擊手段都是看起來正常的，進攻漫長的信息采集過程，最終確定攻擊的目標，當攻擊的目標被確定后，這個目標一定是有比較高的價值，因為APT前期的攻擊準備的成本比起一般的網(wǎng)絡攻擊要高很多，APT不是一種單一的攻擊手段，而是多種攻擊手段的組合，它是由一個團體所組成，因此無法通過單一的防護手段進行阻止和防御，APT攻擊目前已成為熱點，其特征不同于傳統(tǒng)的網(wǎng)絡攻擊，對已有的安全防范思路和能力，帶來極大挑戰(zhàn)。應對新的威脅，需要有新的思路。2.2APT攻擊的原理APT攻擊的原理和其他網(wǎng)絡攻擊的區(qū)別主要在于他攻擊形式更為高級和先進，其高級性體現(xiàn)在APT在發(fā)動攻擊之前，需要對攻擊目標信息進行精確的收集，在此收集的過程中，有可能結(jié)合當前IT行業(yè)所有可用的攻擊入侵手段和技術(shù)，他們不會采取單一的攻擊手段，病毒傳播、SQL注入等。因為單一的攻擊手段容易被發(fā)現(xiàn)，很難達到APT攻擊所想要的結(jié)果，所以通常會使用自己設計、具有極強針對性和破壞性的惡意程序[5]，主動挖掘被攻擊對象受信系統(tǒng)和應用程序的漏洞，對目標系統(tǒng)實施毀滅性的打擊,APT攻擊的方式可以根據(jù)實際情況進行動態(tài)的調(diào)整，從整體上掌控攻擊進程，APT攻擊還具備快速編寫所需滲透代碼的能力。與傳統(tǒng)攻擊手段和入侵方式相比，APT攻擊體現(xiàn)的技術(shù)性更強，過程也更為復雜，他的攻擊行為沒有采取任何可能觸發(fā)警報或者引起懷疑的行動，所以更接近于融入被攻擊者的系統(tǒng)或程序。2.3APT的危害如下圖2.1所示一系列的APT攻擊事件震驚業(yè)界，APT攻擊的出現(xiàn)，對全球的信息安全的防護是一個極大的挑戰(zhàn)，因為APT攻擊的目標通常會是一個國家的安全設施，例如：航空航天，或者是重要的金融系統(tǒng)。APT攻擊在沒有挖掘到目標的有用信息之前，它可以悄悄潛伏在被攻擊的目標的主機中。傳統(tǒng)安全事故經(jīng)常是可見的、危害即刻發(fā)生，造成的威脅很??；可是APT攻擊則是不可見，危害在幕后發(fā)生，因為APT攻擊具有很強的隱蔽性，所以悄然間便可竊取被攻擊目標的核心數(shù)據(jù)，當一個企業(yè)或一個國家知道被攻擊成功時，則造成的危害已經(jīng)不可挽回，他的破壞力是非常強的，在國與國之間沒有真正較量沒有發(fā)生之前時發(fā)作，一旦發(fā)作也許會導致系統(tǒng)不運行，包括金融系統(tǒng)，攻擊的目標大多數(shù)是針對國家的要害部門，所以它的危害是非常嚴重，威脅到國家的信息安全。圖2.1近年發(fā)生的APT事件第三章APT攻擊的發(fā)現(xiàn)3.1ATP攻擊的途徑APT入侵客戶的途徑多種多樣，主要包括：(1)以智能手機、平板電腦和USB等移動設備為目標和攻擊對象繼而入侵企業(yè)信息系統(tǒng)的方式。(2)社交工程的惡意郵件是許多APT攻擊成功的關(guān)鍵因素之一，隨著社交工程攻擊手法的日益成熟，郵件幾乎真假難辨。從一些受到APT攻擊的大型企業(yè)可以發(fā)現(xiàn)，這些企業(yè)受到威脅的關(guān)鍵因素都與普通員工遭遇社交工程的惡意郵件有關(guān)。黑客一開始，就是針對某些特定員工發(fā)送的釣魚郵件，以此作為使用APT手法進行攻擊的所有源頭。(3)利用防火墻、服務器等系統(tǒng)漏洞繼而獲取訪問企業(yè)網(wǎng)絡的有效憑證信息(4)很多企業(yè)和組織的網(wǎng)站在防范SQL注入攻擊方面缺乏防范。所以通過對目標公網(wǎng)網(wǎng)站的SQL注入方式實現(xiàn)APT攻擊。(5)攻擊者在持續(xù)不斷獲取受害企業(yè)和組織網(wǎng)絡中的重要數(shù)據(jù)的時候，一定會向外部傳輸數(shù)據(jù)。通過對數(shù)據(jù)進行壓縮、加密的方式導致現(xiàn)有絕大部分基于特征庫匹配的檢測系統(tǒng)失效，實現(xiàn)數(shù)據(jù)的傳輸總之，高級持續(xù)性威脅(APT)正在通過一切方式，繞過基于代碼的傳統(tǒng)安全方案如防病毒軟件、防火墻、IPS等)，并更長時間的潛伏在系統(tǒng)中，讓傳統(tǒng)防御體系難以偵測[6]。3.2ATP攻擊的過程剖析攻擊的流程圖如圖3.1所示圖3.1APT攻擊流程圖第一階段：情報收集。攻擊者對鎖定的目標和資源采用針對性APT攻擊，使用技術(shù)和社會工程學手段針對性地進行信息收集，目標網(wǎng)絡環(huán)境探測，線上服務器分布情況，應用程序的弱點分析，了解業(yè)務狀況，員工信息，收集大量關(guān)于系統(tǒng)業(yè)務流程和使用情況等關(guān)鍵信息，通過網(wǎng)絡流量、軟件版本、開放端口、員工資料、管理策略等因素的整理和分析[7]，得出系統(tǒng)可能存在的安全弱點。另外，攻擊者在探測期中也需要收集各類零日漏洞、編制木馬程序、制訂攻擊計劃等，用于在下一階段實施精確攻擊，當攻擊者收集到足夠的信息時，就會對目標網(wǎng)絡發(fā)起攻擊。第二階段：進入點。采用誘騙手段將正常網(wǎng)址請求重定向至惡意站點，發(fā)送垃圾電子郵件并捆綁染毒附件，以遠程協(xié)助為名在后臺運行惡意程序，或者直接向目標網(wǎng)站進行SQL注入攻擊等。盡管攻擊手段各不相同，但絕大部分目的是盡量在避免用戶覺察的條件下取得服務器、網(wǎng)絡設備的控制權(quán)第三階段：命令與控制

（C&C

通信）。攻擊者成功入侵目標網(wǎng)絡后，通常并不急于獲取敏感信息和數(shù)據(jù)，而是在隱藏自身的前提下找出放有敏感信息的重要計算機。然后，APT攻擊活動利用網(wǎng)絡通信協(xié)議來與C&C服務器通信，并確認入侵成功的計算機和C&C服務器間保持通信[]。開始尋找實施進一步行動的最佳時機。當接收到特定指令，或者檢測到環(huán)境參數(shù)滿足一定條件時，惡意程序開始執(zhí)行預期的動作。第四階段：橫向擴展。在目標網(wǎng)絡中找出放有敏感信息的重要計算機,使用包括傳遞哈希值算法的技巧和工具，將攻擊者權(quán)限提升到跟管理者一樣，讓他可以輕松地訪問和控制關(guān)鍵目標。第五階段：資料發(fā)掘。為確保以后的數(shù)據(jù)竊取行動中會得到最有價值的數(shù)據(jù)，APT會長期低調(diào)地潛伏。這是APT長期潛伏不容易被發(fā)現(xiàn)的特點，來挖掘出最多的資料，而且在這個過程當中，通常不會是重復自動化的過程，而是會有人工的介入對數(shù)據(jù)作分析，以做最大化利用。第六階段：資料竊取。APT是一種高級的、狡猾的伎倆，利用APT入侵網(wǎng)絡、逃避“追捕”、悄無聲息不被發(fā)現(xiàn)、隨心所欲對泄露數(shù)據(jù)進行長期訪問，最終挖掘到攻擊者想要的資料信息。為了避免受害者推斷出攻擊的來源，APT代碼需要對其在目標網(wǎng)絡中存留的痕跡進行銷毀，這個過程可以稱之為APT的退出。APT根據(jù)入侵之前采集的系統(tǒng)信息，將滯留過的主機進行狀態(tài)還原，并恢復網(wǎng)絡配置參數(shù)，清除系統(tǒng)日志數(shù)據(jù)，使事后電子取證分析和責任認定難以進行。3.3ATP的檢測APT攻擊是近幾年來出現(xiàn)的一種高級網(wǎng)絡攻擊，具有難檢測、持續(xù)時間長和攻擊目標明確等特征。傳統(tǒng)基于攻擊特征的入侵檢測和防御方法在檢測和防御apt方面效果已經(jīng)變得很不理想了。所以要檢測出APT攻擊已成為許多企業(yè)所面臨的難題，因為APT種攻擊是以“隱形模式”進行的。對于傳統(tǒng)的攻擊行為，安全專家僅需關(guān)注惡意程序的樣本提取并做分析，便可以掌握攻擊者的動機及傳播渠道，可是對于APT攻擊以點概面的安全檢測手段已顯得不合時宜，所以要想在APT攻擊還沒發(fā)生之前，事先檢測到APT攻擊是很困難的，面對APT攻擊威脅，我們應當有一套更完善更主動更智能的安全防御方案，必須承認APT攻擊的發(fā)起者有著超群的智慧和豐富的經(jīng)驗，因此檢測APT攻擊就必須密切關(guān)注攻擊者所釋放的惡意代碼的每一個細節(jié)。并且該方案能夠識別和分析服務器和客戶端的微妙變化和異常。無論攻擊者的實施的計劃多么縝密，還是會留下點攻擊過程中的痕跡，通常就是我們所說的刑事調(diào)查中的痕跡證據(jù)，這種證據(jù)并不明顯，甚至可能是肉眼看不見的。APT攻擊者為了發(fā)動攻擊肯定會在系統(tǒng)的某處留下一些模糊的蹤跡，然而這些蹤跡在我們平時看來是正常的一些網(wǎng)絡行為，所以這就導致了我們很難檢測到APT攻擊?？墒前踩藛T可以快速定位攻擊源頭，并做出對應的安全防御策略，但是這些卻無法準確提取APT攻擊屬性與特征。我們現(xiàn)在對抗APT的思路是以時間對抗時間。因為APT是在很長時間內(nèi)才發(fā)生，也許一年，兩年，甚至五年，才可能發(fā)生，所以我們要在一段時間內(nèi)發(fā)現(xiàn)APT，還是很有難度的，需要對長時間、全流量數(shù)據(jù)進行深度分析，針對APT攻擊行為的檢測，需要構(gòu)建一個多維度的安全模型，還可以通過手動檢查文件來識別一些微小的不易發(fā)現(xiàn)的標記，并將這些標記作為潛在惡意活動的指示。通常APT攻擊會采用一些惡意程序文件名與常見Windows文件類似，讓我們很難發(fā)現(xiàn)?？墒侵灰覀兞粜挠^察，是可以識別文件名的細微區(qū)別的，例如使用大寫I代替小寫L。根據(jù)整個apt攻擊過程，圍繞APT的攻擊步驟提出具體的檢測方案。檢測的整個具體流程圖如下圖3.2所示，一共分成五大模塊，沙箱檢測，異常檢測，威脅檢測，記憶檢測還有響應。圖3.2檢測的整體流程圖3.3.1沙箱方案該方案在一定程度上可以有效檢測APT攻擊，對攻擊方式進行非特征匹配。攻擊者與防護者的信息不對稱，因為APT攻擊具有極強的隱蔽性，所以要想發(fā)現(xiàn)APT攻擊如同大海撈針。該智能沙箱法案，通過對可能存在的異常行為進行技術(shù)性識別，檢測出存在高級威脅的問題。并且沙箱檢測與整個網(wǎng)絡運行環(huán)境相關(guān)，操作系統(tǒng)的類型、瀏覽器的版本、安裝的插件版本等都對沙箱檢測的結(jié)果起著影響。因而導致沙箱檢測在這種情形下檢測不出來惡意代碼，但是在另外一種情形下可能檢測出來3.3.2異常檢測模式檢測流程圖如下圖3.3所示：圖3.3異常檢測流程圖APT攻擊常使用端口跳變、應用層加密等手段隱藏惡意流量特征，只有通過一系列的數(shù)據(jù)聚類才能發(fā)現(xiàn)異常，異常檢測是利用預先設定好特征庫或規(guī)則庫和用戶通過從賬號登錄的IP地址、時間、行為操作序列等特征的統(tǒng)計可得到該賬號的正常行為產(chǎn)生的數(shù)據(jù)量建立一個有效的模型。該模型通過匹配已知異常特征相的模式來檢測異常。該方案提出了在多種查詢條件下對流量數(shù)據(jù)進行可視化分析，例如目的IP地址流量統(tǒng)計排序、目的端口流量統(tǒng)計排序等；并對對重要文件的操作及對應的發(fā)生時間進行審計。該方案的設計思維就好比現(xiàn)實生活中警察抓壞人的思維方式，在沒有明確壞人的基本特征的情況下，那就對好人進行行為模式的建構(gòu)，當一個人的行為模式偏離好人的正常范圍，那么這個人就有可能是壞人，然后再對這個有可能是壞人的人進行具體的檢測。該方案主要注重的是對元數(shù)據(jù)的提取，以此對整個網(wǎng)絡流量的基本情況進行檢測，從而發(fā)現(xiàn)異常行為。通過對該主機流量進行特征抽取，與其正常的流量模型比較，從而得到流量異常情況的概率值。對于被識別為“異?！备怕手荡蟮牧髁啃畔?，將被推送到安全審計人員作進一步分析[17]。對于員工賬號訪問審計，并進一步用于員工賬號訪問異常檢測。對于異常告警，安全審計人員需及時確認原因；并對未能確認原因的異常告警信息，尤其是異常流量警告信息，并及時聯(lián)系安全技術(shù)支持人員進行近一步分析這種異常，從而發(fā)現(xiàn)APT攻擊，但是該檢測的缺點是不能檢測未知的異常,同時隨著異常種類越來越來多,導致特征庫越來越龐大,從而監(jiān)測性能也隨之下降。3.3.3威脅檢測技術(shù)檢測的流程圖如下圖3.4所示：圖3.4威脅檢測流程圖該方案提供了一個統(tǒng)一的接口，可以在不同位置把相關(guān)的日志信息上傳，例如已發(fā)現(xiàn)的病毒或者木馬，可疑的網(wǎng)絡訪問行為，異常的網(wǎng)絡流量等。在該模塊產(chǎn)生日志分析的基礎(chǔ)上，根據(jù)一些經(jīng)驗規(guī)則或者自定義的規(guī)則，主動的發(fā)現(xiàn)可能發(fā)生的安全威脅虛擬分析技術(shù)。傳統(tǒng)的檢測方案對某些附件或則可執(zhí)行文件對系統(tǒng)可能造成的影響沒有一個準確的分析，往往會把一些文件隔離起來或者直接放過[20]。如果該文件是一個正常文件，隔離后，用戶需要額外的操作才能得到該文件；如果該文件是一個惡意文件，放過的話，就會對會對用戶的系統(tǒng)造成影響。因此，無論隔離還是放過，都會對用戶造成困擾。用戶通常不具備足夠的知識來判斷文件是否是惡意的。所以該方案是將文件放在沙盒中執(zhí)行，檢測該文件對系統(tǒng)的所有更改是否是有害的，如果對該系統(tǒng)沒有造成影響，就允許通過，如果有影響，或則會危害到系統(tǒng)的秘密信息，就該文件攔截。一份統(tǒng)一的威脅名單：根據(jù)威脅檢測技術(shù)和虛擬分析技術(shù)的結(jié)果，模擬APT攻擊，可以產(chǎn)生一個可疑的威脅名單或則一份APT攻擊記錄報表，并將其可以名單和記錄的APT攻擊報表及時的地反饋給安全人員報表系統(tǒng)：該系統(tǒng)根據(jù)不同的目的，提供不同的報表供IT安全管理人員查看。攔截病毒數(shù)量、本地病毒庫的更新狀態(tài)、已發(fā)現(xiàn)的潛在威脅、病毒來源，或已知的攻擊等都屬于。通過進行人工整合的工作，對不同的情況采取不同的措施。3.3.4基于記憶的檢測檢測的流程圖如下圖3.5所示：圖3.5記憶檢測流程圖在檢測中APT攻擊過程中，APT攻擊遺留下來的暴露點包括攻擊過程中的攻擊路徑和時序，APT攻擊一般不會對系統(tǒng)的安全防御系統(tǒng)進行暴力破解，攻擊過程的大部分貌似正常操作；不是所有的異常操作都能立即被檢測；被檢測到的異常也許是在APT攻擊過后才檢測到，因為APT具有很強的隱蔽性?；谟洃浀臋z測可以有效緩解上述問題?；谟洃浀臋z測系統(tǒng)，是由全流量審計與日志審計相結(jié)合形成的，它對抗APT的關(guān)鍵方法就是以時間對抗時間[10]。APT攻擊發(fā)生的時間很長，對APT攻擊的檢測是建立一個有效的時間窗，所以可以對長時間內(nèi)的數(shù)據(jù)流量進行更為深入、細致的分析。全流量審計組要是對全過程流量施以應用上的識別與還原，從而檢測出異常的可能會對系統(tǒng)造成危害的行為。該記憶的檢測方案主要分成如下幾個步驟:（1）擴大檢測范圍該方案對數(shù)據(jù)流量的檢測領(lǐng)域進行拓展，并將全流量數(shù)據(jù)進行有效的存儲，對存儲的流量數(shù)據(jù)會進行深入分析。該方案采取擴大檢測領(lǐng)域不但提高發(fā)現(xiàn)可疑行為的概率。還可以在發(fā)現(xiàn)異常情況后，利用原先的全流量的存儲，將異常行為返回到與之相關(guān)的時間點。還可以為已經(jīng)發(fā)生的，但在分析時沒有受到安全管理員的重視，偶爾會出現(xiàn)可疑情況的數(shù)據(jù)流量進行關(guān)聯(lián)性的技術(shù)分析，從而實現(xiàn)有效識別。往往這些不受重視的報警常常是攻擊者掩藏蓄謀已久的攻擊意圖的好地方（2）濃縮數(shù)據(jù)量對輸入的數(shù)據(jù)量進行壓縮，在全流量中的數(shù)據(jù)進行篩選，將有用的信息刪選出來，并將與攻擊不相關(guān)聯(lián)的數(shù)據(jù)及時刪除，并保留與APT攻擊有關(guān)的數(shù)據(jù)流量，將其有用數(shù)據(jù)弄成一個集合，壓縮對數(shù)據(jù)量，從而為檢測系統(tǒng)騰出更大的空間。依靠數(shù)據(jù)流量的異常檢測模塊，篩選、刪除一些無用的數(shù)據(jù)流量，從而進一步提高檢測的性能（3）報警將原先保存下來的與APT攻擊行為有關(guān)的數(shù)據(jù)進行一個后續(xù)的詳細分析，制定相關(guān)的匹配規(guī)則。分析人員與分析儀器相互配合，利用多維數(shù)據(jù)進行可視化分析，對可疑會話做好定位，利用細粒度解析與應用還原數(shù)據(jù)，有效識別出異常的行為，如果有異常，報警模塊及時做出精確報警。從而識別出攻擊者將攻擊行為包裝成成正常行為的行為。（4）模擬攻擊安全管理員將識別出的報警數(shù)據(jù)進行關(guān)聯(lián)性分析，明確這些報警數(shù)據(jù)與APT攻擊之間存在的語義關(guān)系，并將孤立的攻擊報警從海量的報警中提取出來，根據(jù)關(guān)聯(lián)特征組建攻擊場景相關(guān)的知識庫，對識別出的報警與之相匹配、對照，構(gòu)建APT攻擊，如果構(gòu)建成功，則APT攻擊被發(fā)現(xiàn)，并將其記錄。接下來就是做出進一步的防護第四章APT防護方案設計4.1網(wǎng)絡拓撲圖沒有加任何防護設備的網(wǎng)絡拓撲圖如下圖4.1所示：圖4.1沒加防護設備的網(wǎng)絡拓撲圖圖4.1描述了沒有加任何防護設備環(huán)境大概的網(wǎng)段劃分，主要劃分兩個網(wǎng)段，其中被劃分為外網(wǎng)，被劃分為內(nèi)網(wǎng)，是主要的攻擊目標。其中內(nèi)網(wǎng)包括PC機和服務器，外網(wǎng)就只有PC機。4.2存在的威脅（1）外網(wǎng)帶來的威脅外網(wǎng)的威脅可能有木馬、病毒、蠕蟲，他們會正常的隱藏在word，QQ等正常的軟件中。這些威脅也許會通過U盤、移動硬盤等移動存儲介質(zhì)進行傳播。主機IP地址和MAC地的威脅，因為它們很容易被篡改，造成運行與維護上的不安全，刻錄機帶來的安全風險。還有隨著手機、平板電腦的流行而帶來的移動設備管理等問題。最常見的還有遠程辦公帶來的安全威脅。（2）內(nèi)網(wǎng)帶來的威脅內(nèi)部成員之間重要文檔在傳輸過程中帶來的安全問題，當某個不具備某文檔閱讀權(quán)限的內(nèi)部員工可能會接觸、打開、復制、打印該文檔，這樣就有可能造成文件的泄露。還有將自帶設備帶入內(nèi)部網(wǎng)絡，并自動攻擊內(nèi)部主機、服務器，并將重要資料復制到自帶的設備中，并通過外網(wǎng)回傳到黑客指定地址。員工的U盤、移動硬盤、光盤也有可能在外部感染木馬，從而攻擊內(nèi)網(wǎng)中的主機、服務器，然后將數(shù)據(jù)傳到外部。對服務器、應用系統(tǒng)的資源占用、響應無實時監(jiān)控手段。主機、應用系統(tǒng)登錄安全問題。管理員權(quán)限過大，可通過在交換機鏡像或ARP欺騙的方式捕獲內(nèi)部人員的賬號和密碼，管理員可直接在服務器上讀取OA、E-Mail等的敏感信息。管理員可直接接觸到核心數(shù)據(jù)庫，容易產(chǎn)生誤操作，或惡意操作。蠕蟲、病毒，往往會掃描服務器，從而造成信息泄漏，低權(quán)限管理員有可能利用此權(quán)限，進行越權(quán)、高危操作。4.3內(nèi)網(wǎng)的安全的防護（1）訪問控制配置訪問控制策略，對網(wǎng)絡進行訪問控制，并且在內(nèi)網(wǎng)中應該不要使用無線網(wǎng)，無線網(wǎng)絡存在諸多安全隱患，而且不方便集中管理上網(wǎng)用戶，為了避免攻擊者通過無線網(wǎng)絡滲透進內(nèi)網(wǎng)或者機密資料被竊取，所以應避免使用無線網(wǎng)絡。（2）架設入侵檢測系統(tǒng)利用入侵檢測系統(tǒng)對網(wǎng)絡的安全情況進行全天的監(jiān)測，網(wǎng)絡安全管理員應該定期對網(wǎng)絡進行模擬滲透，即使發(fā)現(xiàn)系統(tǒng)漏洞，然后針對漏洞做出相應的加固方案。（3）PC補丁管理服務器WSUS支持微軟的全部產(chǎn)品的更新，以及補丁程序。部署WSUS服務器，幫助內(nèi)部網(wǎng)絡的用戶機及時、快速地更新/升級windows，能防止網(wǎng)內(nèi)用戶不打漏洞補丁的問題，提高了辦公網(wǎng)絡的PC安全系數(shù)。（4）病毒防御系統(tǒng)統(tǒng)一為網(wǎng)內(nèi)中的所有主機和服務器安裝殺毒軟件。（5）Mail安全在信息技術(shù)高度發(fā)展的今天，E-mail已成為我們生活和工作中必不可少的一部分了，很多人不懂安全的人事，很難想象一封E-mail中所隱藏的安全隱患，到底有多大，所以應當對郵件進行過濾。消除郵件中的安全隱患。同時制定一些制度，規(guī)定員工發(fā)郵件時不帶鏈接、附件等。（6）日志管理對日志進行統(tǒng)一管理，安全管理員應該定期進行日志分析。若發(fā)現(xiàn)異常，立即向主管領(lǐng)導反映，并分析被攻擊因素，及時修復漏洞，并根據(jù)異常日志，追蹤攻擊源(7）員工主機安全制定相應的主機加固和管理方案。確保每個員工的主機都能安全地運行（8）培養(yǎng)員工的安全意管理員應該定期對員工進行網(wǎng)絡安全方面知識的普及和培訓，規(guī)范員工的上網(wǎng)，引導員工去安全地上網(wǎng)，從而確保內(nèi)網(wǎng)環(huán)境安全和穩(wěn)定。禁止員工使用自帶的便攜設備，如U盤，移動硬盤，手機等，應該使用統(tǒng)一的移動設備，因為自帶的便攜設備很有可能會把病毒帶到內(nèi)網(wǎng)中，在內(nèi)網(wǎng)進行文件傳輸、共享的時候，應該按照文件的安全等級要求，進行加密傳輸（9）劃分VLAN為各個部門劃分VLAN，保證網(wǎng)絡能夠高效，穩(wěn)定，安全地運行。并對員工的主機實行mac雙向綁定，從而預防ARP攻擊4.4應用程序的安全的防護WEB應用程序是整個網(wǎng)絡中的第一道防線，同時也是整個網(wǎng)絡中最容易被攻擊者攻擊的一個環(huán)節(jié)，從而導致了WEB應用程序的安全變得很重要。所以我們在路由器上安裝了防火墻，實現(xiàn)了對服務器的安全控制和監(jiān)測。WEB應用程序的安全，需要注意以下幾點：（1）開發(fā)環(huán)節(jié)WEB應用的開發(fā)環(huán)節(jié)直接影響WEB應用的安全。所以在開發(fā)WEB應用程序時，應該要有嚴格的安全編碼規(guī)范標準，避免注入、上傳、文件包含、遠程、本地代碼執(zhí)行、XSS等漏洞安全問題的產(chǎn)生。所以在應用上線之前，要嚴格地進行各種安全測試和加固。合理地選擇相對穩(wěn)定，安全的WEB框架，以及web服務器軟件，為選擇好WEB運行程序制定安全的配置方案和加固方案，以及維護方案，確保系統(tǒng)能夠安全、穩(wěn)定地運行。（2）安裝WEB應用防火墻安裝防火墻，一定程度上也可以提高WEB的安全系數(shù)。制定一個統(tǒng)一的賬戶、密碼管理體系，對后臺的訪問做一些控制，防止惡意攻擊者進行暴力猜解。并定期對WEB系統(tǒng)進行漏洞掃描和弱點分析，同時，也要進行人工的漏洞挖掘。從而發(fā)現(xiàn)系統(tǒng)存在和可能存在的漏洞，因為運用軟件掃描有時有可能會出現(xiàn)誤差（3）流量監(jiān)測定期對網(wǎng)絡進行流量監(jiān)測，因為通過檢測出進或者出口的流量情況，有助于網(wǎng)絡安全管理員分析WEB的運行情況，發(fā)現(xiàn)進出口的流量是否存在異常。防止攻擊者對網(wǎng)絡實行流量攻擊4.5服務器安全的防護（1）賬戶、密碼管理對服務器的賬戶、密碼進行嚴格管理，修改密碼策略，賬戶添加/刪除審批，用戶賬戶的權(quán)限管理/審批等。定期對服務器的賬戶、密碼進行檢查，看看是否存在異常情況。（2）配置安全策略歲服務器制定相應的安全部署策略和安全加固策略，以及訪問策略等，為服務器及時安裝漏洞補丁，并定期對安全策略、補丁等情況進行檢查。（3）日志管理及漏洞檢查對服務器日志進行統(tǒng)一管理，管理員需定期的歲服務器進行日志分析。發(fā)現(xiàn)異常，應及時的做相應的處理，為服務器進行定期的漏洞掃描安全人員也應該進行相應的手工漏洞挖掘工作。并定期對服務器進行評估和審計。做出相應的加固，加固必須要嚴格按照服務器安全配置方案，加固方案，管理方案進行。4.6漏洞的防護（1）內(nèi)部主機的設置eq\o\ac(○,1)關(guān)閉“文件和打印共享”文件和打印共享可以實現(xiàn)內(nèi)網(wǎng)中同一網(wǎng)段中的各個成員之間的文件的傳輸，使用起來很方便，所以很多時候企業(yè)都會采用這樣的方式進行文件的傳輸，但在不需要它的時候，文件和打印共享就成了攻擊者入侵內(nèi)部網(wǎng)絡的很好的安全漏洞。所以在沒有必要“文件和打印共享”的情況下，可以這個功能關(guān)閉。eq\o\ac(○,2)禁止建立空連接將內(nèi)網(wǎng)的所有計算機上禁止建立空連接。默認的情況下，所有的用戶都可以通過空連接連上服務器，所以這樣就會對我們的服務器帶來很大的安全隱患，導致服務器上的信息泄露。eq\o\ac(○,3)隱藏IP地址使用代理服務器將內(nèi)網(wǎng)中的IP地址進行隱藏，在內(nèi)網(wǎng)中的主機上和遠程服務器之間架設一個“中轉(zhuǎn)站”，當內(nèi)網(wǎng)中的主機向遠程服務器提出服務后，代理服務器首先截取內(nèi)網(wǎng)主機的請求，然后代理服務器將服務請求轉(zhuǎn)交遠程服務器，從而實現(xiàn)內(nèi)部網(wǎng)絡中的主機和遠程服務器之間的聯(lián)系。使用代理服務器后，攻擊者只能探測到道理服務器的IP地址而不是內(nèi)網(wǎng)中主機的IP地址，這就實現(xiàn)了隱藏用戶IP地址的目的，從而保障了內(nèi)網(wǎng)的安全。因為IP和計算機的關(guān)系就好比身份證上的身份證號和人的關(guān)系，當一個攻擊則通過掃描工具確定了一臺主機的IP地址后，相當于他已經(jīng)找到了攻擊的目標，并通過IP向目標主機發(fā)動各種進攻，所以隱藏內(nèi)網(wǎng)中的IP地址至關(guān)重要。eq\o\ac(○,4)關(guān)閉不必要的端口攻擊者在入侵時常常會對目標主機的端口進行掃描，安裝了端口監(jiān)視程序，當監(jiān)視程序檢測到有人掃描是就會有警告提示。并用工具軟件關(guān)閉用不到的端口，進一步提高系統(tǒng)的安全新。eq\o\ac(○,5)更換管理員賬戶為Adminstrator賬戶設置一個強大復雜的密碼，然后重命名Adminstrator賬戶，再創(chuàng)建一個沒有管理員權(quán)限的Adminstrator賬戶漆面入侵者，以此來防止攻擊者知道管理員賬戶，從而在一定的程度上保證計算機安全。因為Adminstrator賬戶擁有最高的系統(tǒng)權(quán)限，一旦攻擊者獲得Adminstrator賬戶權(quán)限，就可以對系統(tǒng)進行任何操作，后果不堪設想，eq\o\ac(○,6)安裝必要的安全軟件為內(nèi)網(wǎng)中的各個主機安裝必要的防黑軟件、殺毒軟件和防火墻，在一定的程度上保證計算機安全。4.7社會工程學通過培訓，使內(nèi)網(wǎng)的工作人員對社工有個比較全面的認識，學會理智地分辨他們身邊存在或可能存在的“社工行為”以及“社工因素”，避免內(nèi)網(wǎng)被"社工"。社會工程學，在普遍的網(wǎng)絡攻擊和的APT攻擊中、扮演著非常重要的角色。社會工程學的攻擊主要是從“人”開始的。我們在網(wǎng)絡防御中，人也是防御中的一個重要環(huán)節(jié)。0day漏洞很可怕，可是在網(wǎng)絡攻擊中的社會工程學同樣很可怕，社會工程學是一個很廣泛的攻擊手段，跟技術(shù)性的防范不同，它包含很多的不確定因素，所以要想防范社會工程學攻擊還是很有難度的。（1）防范來內(nèi)網(wǎng)的主動/被動的社會工程學攻擊“主動的社會工程學攻擊”指來內(nèi)網(wǎng)中"不安分"人員的攻擊。而“被動社會工程學攻擊”是指內(nèi)網(wǎng)中的人員因為信息泄露等因素，被外網(wǎng)的攻擊者所利用而引發(fā)的攻擊。絕大部分社工攻擊是通過電子郵件或即時消息進行的。上網(wǎng)行為管理設備應該做到阻止內(nèi)部主機對惡意URL的訪問。（2）防范郵件中的社會工程學攻擊許多攻擊者會采用“郵件”作為主要的攻擊手段，攻擊者通過篡改DNS服務器上的解析記錄，將對正常URL的訪問引導到掛有木馬的網(wǎng)頁上。DNS服務器，可能是內(nèi)部的緩存服務器,也可能是外部的DNS服務器,由于只能對內(nèi)部DNS服務器監(jiān)控而無法監(jiān)控外部DNS服務器的情況，因此不能完全避免這種類型的攻擊[13]。所以，對這方面，應該要特別注意。有些攻擊者可能會冒充某些正規(guī)網(wǎng)站的名義，然后編個冠冕堂皇的理由寄一封信給內(nèi)部人員，并要求輸入用戶名稱與密碼，當內(nèi)部成員輸入后，如果按下“確定”，那時用戶名和密碼就會返回到攻擊者的郵箱。所以內(nèi)網(wǎng)人員不要隨便回陌生人的郵件。4.8針對SQL注入的防護（1）應用程序設計該SQL語句ELECT

*

FROM

Users

WHERE

Username='username'AND

Password='password’可能會帶來SQL注入攻擊，因為當我們在用戶名和密碼地址欄中輸入username

=

1'or'1'='1和password=1'or'1'='1，SQL語句就變成了：SELECT

*

FROM

Users

WHERE

Username='1'

OR

'1'='1'AND

Password='1'OR

'1'='1'，該語句恒為真，所以就會登陸后臺界面，這樣就會構(gòu)成SQL注入攻擊，所以我們應該對SQL注入的字符串進行有效的過濾[]。常見的一些SQL注入攻擊及正則表示如表4.1所示。表4.1正則規(guī)范表攻擊語句正則表示說明;and(selectcount(*)fromaccount)>0;?and\(select\s+count\(\*\)\s+from\s)+[^)]+\)\s*>=?\s*\d+猜測數(shù)據(jù)庫表名Admin’:droptableaccounts--([^’]*’\s*)?;\s*drop\s+table\s+|_a-z0-9]+(--)?刪除數(shù)據(jù)’or1=1--(’\s+)?or\s+[[;almun;||+\s*=\s*|[;alnum;]]+\s*(--)?構(gòu)造永遠為真的條件語句方案的流程圖如下圖4.2所示：圖4.2防御流程圖當發(fā)現(xiàn)SQL攻擊時，則攔截請求并產(chǎn)生警告信息作為應答；如果未發(fā)現(xiàn)攻擊，則提交至系統(tǒng)模塊。獲取數(shù)據(jù)匹配的具體的流程圖如下圖4.3所示：圖4.3匹配流圖當攔截到Http請求后首先對請求內(nèi)容進行URL解碼，其主要目的是防止攻擊者以URL編碼方式構(gòu)造SQL注入語句。然后檢測請求數(shù)據(jù)中是否含有SQL注入攻擊常用的關(guān)鍵字以及分隔符，如and、or、1=1、’、等，如果不含有，則可以排除注入攻擊的可能。如果含有則提示登錄信息錯誤，并將輸入的數(shù)據(jù)提交至詳細的規(guī)則檢測，又返回來處理正常請求，并盡可能快地將正常請求提交至系統(tǒng)模塊處理，避免正常客戶對網(wǎng)站訪問的延遲影響。對于包含注入關(guān)鍵字的Web請求，可以遍歷規(guī)則庫對請求內(nèi)容進行詳細的正則匹配。如果匹配成功，則攔截請求、向客戶端發(fā)送警告。如果匹配失敗，則將請求字符串記錄入可疑攻擊代碼庫，提交網(wǎng)站管理員分析。如果發(fā)現(xiàn)同一源IP地址短時間內(nèi)多次攻擊，過濾模塊就會將該IP地址加入黑名單，禁止其在一定時間內(nèi)訪問，從而防止攻擊者采用窮舉法,最終攻破系統(tǒng)。（2）驗證所有的輸入信息

將用戶名和密碼輸入框中輸入的信息進行一個驗證處理，例如只能輸入數(shù)值或字符，那么要登陸后臺，則必須滿足通過驗證的條件后，才來也正該用戶名和密碼是否正確，確保用戶輸入的都是數(shù)字。如果可以接受字母，那就要檢查是不是存在不可接受的字符。確保你的應用程序要檢查以下字符：分號，等號，破折號，括號以及SQL關(guān)鍵字。使用正則表達式來進行復雜的模式匹配，限制用戶輸入的字符的長度[21]。所以驗證用戶輸入的信息是一個防止SQL注射攻擊的好方法，從而避免入侵者利用WEB的開放性對應用程序進行SQL注射攻擊。（3）用戶權(quán)限在應用程序中使用的連接數(shù)據(jù)庫的賬戶應該是擁有必要的特權(quán)，這樣可以有效地保護整個系統(tǒng)盡可能少地受到入侵者的危害通過限制用戶權(quán)限，隔離了不同賬戶可執(zhí)行的操作。不同的用戶賬戶擁有不同的權(quán)限，執(zhí)行查詢插入更新刪除等操作的用戶可以是不同的用戶，這樣可以防止原本用于執(zhí)行查詢操作的地方卻被用于執(zhí)行插入、更新或刪除等操作[8]。4.9防護方案后的拓撲圖加了防護設備后的網(wǎng)絡拓補圖如下圖4.4所示：圖4.4加了防護方案的拓撲圖在路由出口架設大流量吞吐量的防火墻，可以有效地防御外部攻擊者對外部路由進行DDoS攻擊，做訪問控制策略，保證內(nèi)網(wǎng)的安全控制，在二層交換機上部署上網(wǎng)行為管理系統(tǒng)，網(wǎng)絡入侵檢測系統(tǒng)，日志審計管理系統(tǒng)，運行與維護安全審計系統(tǒng)。為服務器部署數(shù)據(jù)庫審計系統(tǒng)。以保證數(shù)據(jù)和機密文件的安全。在員工辦公的區(qū)域架設行為管理系統(tǒng)。第五章ATP攻防實驗5.1實驗平臺的搭建5.1.1平臺拓撲圖搭建的環(huán)境網(wǎng)絡拓撲圖如下圖5.1所示：圖5.1環(huán)境網(wǎng)絡拓撲圖圖5.1是攻擊環(huán)境大概的網(wǎng)絡拓撲，主要劃分兩個網(wǎng)段，其中被劃分為外網(wǎng)，被劃分為內(nèi)網(wǎng)，是主要的攻擊目標。其中內(nèi)網(wǎng)包括PC機和服務器，外網(wǎng)就只有PC機。5.1.2web的搭建搭建的web系統(tǒng)為“家庭理財管理系統(tǒng)”，系統(tǒng)開發(fā)規(guī)格如表5.1所示。表5.1環(huán)境設備開發(fā)環(huán)境VisualStudio2012數(shù)據(jù)庫SQLServer2008系統(tǒng)框架Frame4.0由于需要搭建到Server2003上，需要對Server2003做如下工作：安裝IIS，配置.netFrame4.0系統(tǒng)框架，搭建WEB系統(tǒng)等。（1）安裝IIS進行添加程序界面，單擊“添加/刪除Windows組件”，選中“應用程序服務器”，單擊下一步，如下圖5.2所示：圖5.2應用程序界面安裝過程中需要插入系統(tǒng)安裝光盤，插入光盤后繼續(xù)運行。直到IIS安裝完成。（2）配置.netFrame4.0系統(tǒng)框架因為“家庭理財管理系統(tǒng)”是在Frame4.0下開發(fā)的，而Sever2003系統(tǒng)默認只有1.1的框架，因而需要另外安裝.netFrame4.0。安裝步驟如下：從微軟官方網(wǎng)站上下載安裝.netFram4.0前必要安裝的組件wic_x86_enu.exe。如下圖5.3所示：圖5.3完成界面從微軟網(wǎng)站上下載dotNetFx40_Full_x86.exe，以配置Frame4.0的環(huán)境。按其默認設置單擊“下一步”即可完成安裝。安裝完成后，Sever2003系統(tǒng)的Frame4.0的框架已經(jīng)搭建完畢,如圖5.4所示，通過IIS下的“Web服務擴展”查看支持的框架。圖5.4Frame4.0的框架（3）發(fā)布WEB系統(tǒng)搭建好所需要的環(huán)境后，就可以進行以發(fā)布網(wǎng)站了。右鍵“網(wǎng)站”，單擊“網(wǎng)站”進入網(wǎng)站創(chuàng)建向?qū)Ы缑妗］斎刖W(wǎng)站系統(tǒng)的描述，在這里輸入“myweb”。為網(wǎng)站分配ip地址為和端口8080。輸入完后如下圖5.5所示：圖5.5IP設定界面輸入網(wǎng)站主目錄路徑。設置訪問權(quán)限，為WEB系統(tǒng)設置“默認內(nèi)容文檔”。為網(wǎng)站設置為Frame4.0框架。在彈出的提示中單擊“是”即可。至此WEB系統(tǒng)搭建完成，在瀏覽器中輸入:8080可訪問系統(tǒng)主頁。主頁界面如下圖5.6所示圖5.6主頁界面5.1.3FTP服務器的搭建安裝ftp服務，將i386文件拷貝到服務器上或插入Windows2003安裝光盤，單擊“開始-控制面板-添加或刪除程序-添加/刪除Windows組件”選項，在“組件”列表中，雙擊“應用程序服務器”選項，單擊并選中“Internet信息服務(IIS)”選項，然后單擊“詳細信息”按鈕，打開“應用程序服務器子組件”窗口。

選中“文件傳輸協(xié)議

(FTP)

服務”這個選項，單擊確定。單擊“下一步”按鈕。出現(xiàn)提示時，如需要文件i386，則定位到剛才拷貝的i386文件，一直點下一步，最后點完成（1）配置ftp站點點擊“開始”—>“管理工具”—>“Internet

信息服務管理器”，右鍵新建站點，點擊下一步，填寫FTP站點描述，如下圖5.7所示：圖5.7FTP站點描述配置IP和端口，也可以選擇默認的設置，點擊下一步。如下圖5.8所示：圖5.8IP配置界面配置FTP用戶隔離，選擇“隔離用戶”模式。并選擇FTP的根目錄，我在此d盤下新建了一個temp目錄，用它來做ftp的根目錄。設置好之后點擊下一步，如圖5.9所示：圖5.9目錄圖單機“下一步”，直至整個安裝過程完成，然后啟動該服務器，并右鍵我的電腦，點擊管理—>地用戶和組，右鍵點擊用戶，選擇新建用戶，如下圖5.10所示：圖5.10建立用戶選中剛才創(chuàng)建的用戶名，然后右鍵，選擇屬性，在選中配置文件，定位到主文件夾-本地路徑，在里面填寫d:\tmp\LocalUser\usertmp(可根據(jù)情況換成相應的目錄)，系統(tǒng)會在temp文件夾下自動生成相應的文件夾，然后點擊確定，如下圖5.11所示：圖5.11MyUser屬性圖在本地測試一下是否ftp環(huán)境已經(jīng)搭建好了，首先在d:\tmp\LocalUser\myuser下面創(chuàng)建一個ftp的搭建.com的word文件，然后在IE中輸入02，看是否能夠訪問到這個文件，如果能夠訪問到，則說明配置成功了，配置成功后出現(xiàn)如下圖5.12的界面。圖5.12建立成功界面下載一個ftp客戶端，CuteFTP5.0，新建一個鏈接，點擊鏈接后，如果連接成功，就可以實現(xiàn)文件的上傳和下載了。5.2弱密碼攻擊5.2.1攻擊攻擊流程圖如下圖5.14所示：圖5.14攻擊流程用X—SCAN3.3對主機進行掃描確定被攻擊的主機系統(tǒng)，對掃描器進行相應的設置，如下圖5.15所示：圖5.15具體設置圖設置掃描的IP地址范圍，設置為到0，掃描的結(jié)果存活的主機如下圖5.16所示：圖4.16存活的主機根據(jù)掃面的結(jié)果對相應的主機進行攻擊，掃描的結(jié)果如圖5.17所示：圖5.17掃描結(jié)果從掃描的信息中，我們可以觀察到各個主機所存在的漏洞，可以看到主機存在三個高危漏洞，該漏洞如下圖5.18所示：圖5.18漏洞信息根據(jù)所得的在信息登錄被攻擊的主機系統(tǒng)：通過掃描的信息已經(jīng)知道用戶名為：administrator密碼為：123現(xiàn)在通過DameWareMiniRemoteControl軟件登錄該用戶界面，獲取控制權(quán)，如下圖5.19所示：圖5.19登陸界面設置成功后點擊鏈接控制成功，得到界面如下圖5.20所示的界面圖5.20目標主機的界面可以對桌面上的文件，或電腦里面的信息進行任何的操作了當密碼沒有掃描出來時，可以過暴力破解弱口令進行攻擊在C盤建立文件夾hack，hack工具就在c:\hack目錄進行，這些工具軟件都具有hack性質(zhì)，使用時需要將殺毒軟件，還有防火墻關(guān)閉運行superdic字典工具，選擇基本數(shù)字；生成口令文件，如password.txt，具體設置如下圖5.21所示：圖5.21superdic字典界面在c:\hack目錄下，創(chuàng)建一個用戶名文件(user.txt),文件內(nèi)容就是administrator，并在dos界面輸入如下圖5.22口令：圖5.22DOS界面打開記事本password.txt，就可以看到密碼了，最有一個就主機的密碼，如下圖5.23所示：圖5.23獲取的密碼通過，遠程控制軟件對被攻擊機進行控制，得到控制界面如下圖5.24所示，所以攻擊成功圖5.24目標界面5.2.3防護（1）賬戶的鎖定默認情況下，用戶在登陸界面中可能會有很多次輸入無效賬戶和密碼的機會，當用戶這值得口令示弱口令時，黑客就可以通過密碼猜或者字典攻擊破解用戶的賬戶和密碼，從而獲取控制權(quán)，所以我們可以通過鎖定賬戶，來防止這類的攻擊，選擇“開始”—>“運行”輸入“gpedit.msc”,點擊確定后進入組策略配置，依次點開“本地計算機策略”—>“計算機配置”—>“windows設置”—>“安全設置”，如下圖5.25所示：5.25具體步驟再雙擊“賬戶策略”，如下圖所示：設置相應的參數(shù)值，設置用戶只可以有輸入用戶和密碼錯誤三次的機會，一旦輸入錯誤三次，就會被鎖定，如下圖5.27所示5.26設置登陸次數(shù)界面設置鎖定的時間一個小時，具體如下圖5.27所示：圖5.27設置鎖定界面（2）密碼設置密碼是用來登錄到系統(tǒng)中的憑證，在系統(tǒng)設置密碼的前提下，只有輸入有效的密碼才可以登錄錄到該系統(tǒng)中，可是往往該系統(tǒng)忽略了密碼設置的策略，將弱口令設置為登錄密碼，從而導致黑客通過字典攻擊就可以把密碼破解了，從而攻破主機，所以密碼策略可以防止黑客通過弱口令對該系統(tǒng)實施攻擊選擇“開始”—>“運行”輸入“gpedit.msc”,點擊確定后，進入“組策略”配置，依次點開“本地計算機策略”—>“計算機配置”—>“windows設置”—>“安全設置”—>“賬戶策略”—>“密碼策略”，界面如下圖5.28所示：圖5.28設置界面雙擊密碼策略，界面如下所示：根據(jù)標準的要求對密碼策略進行相應的設置：密碼符合性必須符合復雜性的要求eq\o\ac(○,1)不包含部分的用戶的賬戶名eq\o\ac(○,2)長度至少為六個eq\o\ac(○,3)包含以下四個類別中的三個字符英文大寫字母（A—Z）英文小寫字母（a—z）十個數(shù)字（0—9）非字母字符（！、@、#）密碼成都最小值：確定賬戶的密碼可以包含最少的字符個數(shù)，可以設置為1—14個字符的值，或設置為0，可是這樣設置不安全，所以設置如下圖5.29所示：圖5.29設置密碼長度界面密碼最短使用期，限制用戶使用密碼的期限，可以設置其值為1—999之間，當設置期限到達時，用戶就更換密碼了，這樣可以防止黑客花很長的時間破解我們的密碼，當他破解時，我們的密碼也不是原來的密碼，具體設置如下圖5.30所示：5.30設置更改的天數(shù)界面確定在從新使用舊密碼前，必須與一個用戶相關(guān)的唯一新密碼個數(shù)，可以設置為0—24之間，通過該策略可以確保舊密碼不能再繼續(xù)使用，從而增強系統(tǒng)的安全性，設置完后，界面如下圖5.31所示：5.31密碼設置標準根據(jù)密碼策略，將用戶的陸密碼設置為：Lxy123，如下圖5.32所示：圖5.32設置密碼界面點擊確定，設置成功（3）設置用戶權(quán)限具體步驟如下圖5.33所示：圖5.33設置步驟更改系統(tǒng)默認的管理賬戶具體步驟如下圖5.34所示：圖5.34更改步驟5.2.3.測試再次對被攻擊的足跡進行掃描,根據(jù)掃描的信息并沒有發(fā)現(xiàn)高危漏洞了，現(xiàn)在通過暴力破解，看看是否能夠破解該密碼，對界面進行如下圖5.35所示的設置。圖5.35具體設置制定虛擬目錄，在c:\hack目錄下，創(chuàng)建一個用戶名文件(user.txt),文件內(nèi)容就是administrator，和新建一個password.txt文件，如下圖5.36所示：圖5.36建立的文件再次在dos界面輸入如下圖5.37所示的命令：圖4.38命令界面得到如下圖5.39的結(jié)果圖5.39結(jié)果沒有破解成功，所以防護策略是可行的。5.3操作系統(tǒng)IPC$漏洞攻擊5.3.1攻擊攻擊流程圖如下圖5.40所示：圖5.40攻擊流程圖運行流光主程序，按“Ctrl+R”鍵彈出掃描框，在掃描范圍欄里輸入你要掃描的IP地址范圍，在掃描主機類型里選擇NT/98，如圖5.41所示，確定后進行掃描。

圖5.41設置界面更具掃描信息“探測所有IPC$用戶列表”如下圖5.42所示圖5.42存在漏洞的主機檢測到的信息，知道哪些端口是打開的，掃面信息如下圖5.43所示：圖5.43檢測信息獲取目標主機的的資源并留下后門的。在運行框里輸入“cmd”命令，進入DOS界面，輸入如下圖4.44的命令：netuse\\\IPC$密碼/user:用戶名。其中，用戶名是用administrator，密碼空。用改命令可以與建立一個連接，運行后顯示“命令成功完成”。這樣通過IPC$的遠程登錄就成功了。如下圖5.44所示：圖5.44輸入命令的界面登陸成功之后,把對方的C盤映射到本地的Z盤，輸入如下圖5.45的命令：圖5.45映射命令命令成功后，打開“我的電腦“，就可以看到目標主機的C盤了，如下圖5.46所示：圖5.46對方C盤現(xiàn)在可以通過“波爾遠程控制”的服務器端生成一個被控端mciavi.exe，然后將被控端mciavi.exe上傳到目標主機的C盤，并雙擊運行該軟件，如下圖5.47所示圖5.47上傳木馬測試一下本機連接是否正常如果正常開始運行“波爾遠程控制”的服務器端，通過服務器端去控制目標主機：一打開，就發(fā)現(xiàn)目標主機已經(jīng)和服務端建立連接了，如下圖5.48所示：圖5.48波爾遠程控制主界面通過該軟件我們就可以對被控制的目標主機的進行很多操作了，可以對該計算機進行磁盤管理，雙擊“磁盤管理”，出現(xiàn)如下圖5.49的界面：圖5.49目標主機的磁盤還可以對目標主機的屏幕進行任何的操作，當雙擊“屏幕實時操作的時候”就可以控制對方的屏幕了所以漏洞攻擊成功，最終獲取了目標主機的控制權(quán)5.3.2防護（1）修改注冊表選擇“開始|”—>“運行”，在運行框里輸入：“regedit”，點擊確定后打開注冊表，將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA的RestrictAnonymous項設置為1，可以禁止攻擊者使用空連接，如圖5.50所示圖5.50設置界面打開“控制面板”—>“管理工具”—>“本地安全策略”，選擇“本地策略”的“安全選項”,然后對選擇“不允許枚舉SAM賬號和共享”的屬性，然后點擊已啟用，然后按”確定“即可禁止IPC$空連接。如圖5.51所示：圖5.51限定權(quán)限（2）禁止管理共享打開注冊表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters項：對于服務器，添加鍵AutoShareServer，類型為REG_DWORD，值為0，如下圖5.52所示：圖5.52設置AutoShareServer對于客戶機，添加鍵值A(chǔ)utoShareWks，類型為REG_DWORD，值為0，如下圖5.53所示：圖5.53設置AutoShareWks（3）關(guān)閉139和445端口打開“網(wǎng)上鄰居”—>“本地連接（右擊屬性）”—>“Internet協(xié)議（TCP/IP）的屬性”，進入“高級TCP/IP設置”，在“WINS設置”里面的“禁用TCP/IP的NETBIOS”，在那里打上鉤就可以關(guān)閉139端口了，如圖5.54所示：圖5.54關(guān)閉139端口界面關(guān)閉445端口的方法：”開始“→”控制面板“→”系統(tǒng)“→”硬件“→”設備管理器”，單擊“查看”菜單下的“顯示隱藏的設備”，雙擊“非即插即用驅(qū)動程序”，找到并雙擊“NetBiosoverTcpip”，在打開的“NetBiosoverTcpip屬性”窗口中，單擊選中“常規(guī)”標簽下的“不要使用這個設備(停用)”，單擊“確定”按鈕后重新啟動后即可。如下圖5.55所示：圖5.55設置步驟（4）刪除默認共享用記事本自建一個刪除所有默認共享的批處理文件，放在啟動欄里，每次啟動機器時都自動運行，以刪除所有的默認共享。新建一個記事本，輸入如下圖所示的內(nèi)容，最后將文本保存為autodel.bat文件，放到啟動欄里，從而達到禁止所有默認共享的目的。如下圖5.56所示：圖5.56autodel.bat的內(nèi)容（5）安裝防火墻為目標主機安裝一個網(wǎng)絡防火墻“瑞星防火墻”，對防火墻進行相應的設置,例如禁止PING命令的操作，或者TCP135,445，如下圖5.57所示：圖5.57設置的規(guī)則（6）設置復雜的登錄密碼將密碼設置為具復雜密碼，例如Lsmn159@#$，復雜性一般要符合密碼設置標準，因為越復雜的密碼，就越不容易被攻擊。5.3.3測試運行流光主程序，按“Ctrl+R”鍵彈出掃描框，在掃描范圍欄里輸入你要掃描的IP地址范圍，在掃描主機類型里選擇NT/98，然后具體掃描，根據(jù)具掃描信息“探測所IPC$用戶列表”如下圖5.58所示，從圖中我們知道的139端口已經(jīng)關(guān)閉了，并沒有存在空連接漏洞。圖5.58掃描信息現(xiàn)在我們就在運行框里輸入“cmd”命令，進入DOS界面，輸入如下命令：netuse\\\IPC$密碼/user:用戶名。看看是否可以與建立一個連接，運行后顯示“找不到網(wǎng)絡路徑”。說明不能通過IPC$的遠程登錄該主機。如下圖5.59所示：圖5.59鏈接信息再看看能不能再將對方的C盤映射到本地的Z盤，輸入如下圖5.60所示的命令，結(jié)果失敗，不能將對方的C盤映射到本地的Z盤。圖5.60映射C盤打開“我的電腦”，并沒有看到目標主機的C盤，如下圖5.61所示：圖5.61攻擊機中的計算機空連接漏洞攻擊失敗，說明該防護方案是可行的5.4SQL注入攻擊攻擊流程圖如下圖5.62所示：圖5.62攻擊流程圖該攻擊的過程是利用自己搭建的“家庭理財管理系統(tǒng)”網(wǎng)站進行的SQL注入攻擊，正常情況下只要用戶或者管理員輸入自己的用戶名和密碼，如果正確則會跳轉(zhuǎn)到后臺的登陸界面，如果失敗則會提示錯誤信息，如下圖5.63所示：圖5.63登陸界面我們是在知道用戶名可是不知道密碼的情況下對該網(wǎng)站進行登陸，我們可以通過社會工程學的方法獲取用戶名，利用用戶名，然后密碼處輸入框中構(gòu)造查詢語句，密碼的結(jié)構(gòu)為：“隨機密碼’or1=1--”，由于密碼的驗證是字符串，所以單引號不可以丟，or1=1是一個永遠為真的語句，再用--注釋掉原有語句后面還有的內(nèi)容，所以不管輸入什么隨機密碼，所以當表中有用戶記錄時，那么查詢的結(jié)果就一定會為真，也就是說當我們指導用戶名，而不知道密碼的情況下，通過構(gòu)建該語句，一定能登陸成功，現(xiàn)在構(gòu)造用戶名為：小明，密碼為1314’or1=1--，如下圖5.64所示：圖5.64輸入界面點擊登錄就進去了，如下圖5.65所示：圖5.65后臺界面通過手工注入猜的方法對該網(wǎng)站進行SQL攻擊，判斷該網(wǎng)站是否存在注入點：通過構(gòu)造URL：:8080/Login1.aspx?id=2,對數(shù)據(jù)庫進行動態(tài)的查詢業(yè)務,在瀏覽器的地址欄中輸入URL,然后按回車，出現(xiàn)如下圖5.66所示的界面：圖5.66網(wǎng)站界面對:8080/Login1.aspx?id=2進行驗證，在IE地址欄中輸入:8080/Login1.aspx.asp?id=2and1=1，如下圖5.67所示:圖5.67and1=1的界面在IE地址欄中輸入:8080/Login1.aspx.asp?id=2and1=4，如下圖5.68所示:圖5.68異常界面出現(xiàn)異常，所以該網(wǎng)站存在注入點，我們從id=2中?？梢耘袛嘣撟⑷?yún)?shù)的類型為整數(shù)型，所以我們猜出SQL語句大致的格式為：Select*from表名where字段=2，通過SQL語句猜登陸的管理員的表名，在地址欄中輸入：:8080/Login1.aspx.asp?id=2and0<>(selectcount(*)formUser)，回車，頁面顯示正常，說明該表名存在，如下圖5.69所示。圖5.69表名是否存在界面猜管理員的ID號，還有密碼字段，在地址欄中輸入如下語句：:8080/Login1.aspx?id=2andexists(selectIDformAdmin)，如果顯示正常，說明存在字段“ID”如下圖5.70所示：圖5.70ID是否存在界面:8080/Login1.aspx?id=2andexists(selectpasswordformAdmin)顯示正常，說明該字段存在，如下圖5.71所示：圖5.71猜關(guān)鍵字猜管理員的ID號，看看ID號為多少，在IE地址欄中輸入:8080/Login.aspx?id=2andexists(selectIDformAdminwhereID=1.2.3…..)，一直猜解到頁面顯示正常，此時的ID號就是正確的，ID號為1，從下圖5.72可知：圖5.72猜ID接下來猜管理員的密碼長度，在地址欄中輸入：:8080/Login1.aspx?id=2andexists(selectadminformwhereid=1andlength(admin)=1.2.3……..)，分別輸入1.2.3……直到頁面顯示正常，那么那個數(shù)值就是密碼的長度，當數(shù)值為5時，界面顯示正常，說明該管理員的密碼長度為5，所以我們可以大膽的猜管理員的密碼為admin圖5.73猜密碼長度此時在登陸界面輸入用戶名為：“admin”密碼為“admin”，如下圖5.74所示：下圖5.74后臺界面或者猜