apt攻擊的發(fā)現(xiàn)與防護(hù)方案的設(shè)計(jì)畢業(yè)論文_第1頁
已閱讀1頁,還剩72頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、<p>  本科畢業(yè)論文(設(shè)計(jì))</p><p><b>  論文(設(shè)計(jì))題目:</b></p><p>  ATP攻擊的發(fā)現(xiàn)與防護(hù)方案設(shè)計(jì)</p><p>  學(xué) 院: </p><p>  專 業(yè): </p&

2、gt;<p>  班 級(jí): </p><p>  學(xué) 號(hào): </p><p>  姓 名: </p><p><b>  **年**月**日</b></p><p&

3、gt;  ATP攻擊的發(fā)現(xiàn)與防護(hù)方案設(shè)計(jì)</p><p><b>  摘要</b></p><p>  APT即為高級(jí)持續(xù)性威脅,是近年來才出現(xiàn)的一種網(wǎng)絡(luò)攻擊手段,其特點(diǎn)是他的攻擊的前期準(zhǔn)備需要很長的時(shí)間,攻擊的手段十分隱蔽, 變化多端、效果非常顯著,不易被發(fā)現(xiàn),APT攻擊已經(jīng)漸漸成為網(wǎng)絡(luò)滲透和系統(tǒng)攻擊的演進(jìn)趨勢(shì)。目前,國內(nèi)外對(duì) APT 攻擊防護(hù)的研究尚處于初級(jí)階段,

4、防御方案是基于已知的知識(shí)和規(guī)則,基于信任,缺乏對(duì)未知威脅的感知能力,針對(duì)未知的感知能力非常薄弱,對(duì)抗點(diǎn)滯后,缺乏關(guān)聯(lián)分析能力,并沒有對(duì) APT 攻擊機(jī)理、產(chǎn)生背景等進(jìn)行整體而細(xì)致的剖析。</p><p>  為了有效的應(yīng)對(duì)現(xiàn)今愈演愈烈的APT攻擊,通過閱讀大量的文獻(xiàn),和借鑒國內(nèi)外的經(jīng)驗(yàn),從APT的規(guī)范定義及特征入手,對(duì)APT攻擊產(chǎn)生的背景、攻擊的原理及步驟進(jìn)行了一個(gè)較為詳盡的總結(jié),在理解的基礎(chǔ)上,利用兩臺(tái)Quid

5、way S2008型號(hào)交換機(jī)和路由器 Quidway 2600型號(hào)的路由器還有若干臺(tái)計(jì)算機(jī),模擬內(nèi)網(wǎng)和外網(wǎng),利用搭建環(huán)境模擬幾種典型的APT攻擊,提出沙箱檢測(cè)、異常檢測(cè)、威脅檢測(cè)、記憶檢測(cè)等具體的方案來檢測(cè)APT攻擊。這些方案和傳統(tǒng)的防護(hù)方案相比更加有效地檢測(cè) APT 網(wǎng)絡(luò)攻擊。通過檢測(cè)來往的數(shù)據(jù)及信息是否含有APT特征,查詢流量,分析日志,從而在APT還沒發(fā)起攻擊前發(fā)現(xiàn)APT攻擊。并針對(duì)APT攻擊提出了具體的防范方案</p>

6、;<p>  關(guān)鍵詞:APT 攻擊,檢測(cè)方案,防范策略</p><p>  ATP attack and protection scheme design</p><p><b>  Abstract</b></p><p>  APT is the advanced persistent threat, which is a k

7、ind of network attack occurred in recent years, its characteristic is that preparing his attack requires a long period of time, the attack is very subtle and the most changeful, the effect is very significant, not easy t

8、o be found APT attacks have gradually become the evolution trend of network penetration and system attack. At present, the domestic and foreign research on APT attack protection is still in the primary stage, the defense

9、 scheme i</p><p>  In order to effectively respond to the growing APT attack, by reading a lot of literature, and drawing lessons from domestic and international experience, from the APT standard definition

10、and characteristic, conducted a more detailed summary on APT attacks generated background, principles and procedures of attacks。On the basis of understanding, using two Quidway S2008 types of switches and routers Quidway

11、 2600 router models and some computer to simulate internal network and external network, and</p><p>  Key: APT attack , detection scheme, prevention strategies</p><p><b>  目錄</b><

12、/p><p><b>  摘要II</b></p><p>  AbstractIII</p><p><b>  第一章 概述1</b></p><p>  1.1 目的與意義1</p><p>  1.3現(xiàn)狀及發(fā)展趨勢(shì)1</p><p>  

13、1.3 主要設(shè)計(jì)內(nèi)容3</p><p>  第二章 相關(guān)的基礎(chǔ)知識(shí)4</p><p>  2.1 ATP的概念4</p><p>  2.2 APT攻擊的原理4</p><p>  2.3 APT的危害5</p><p>  第三章 APT攻擊的發(fā)現(xiàn)6</p><p>  3.1 A

14、TP攻擊的途徑6</p><p>  3.2 ATP攻擊的過程剖析6</p><p>  3.3 ATP的檢測(cè)8</p><p>  3.3.1沙箱方案9</p><p>  3.3.2 異常檢測(cè)模式10</p><p>  3.3.3 威脅檢測(cè)技術(shù)11</p><p>  3.3.

15、4 基于記憶的檢測(cè)13</p><p>  第四章 APT防護(hù)方案設(shè)計(jì)15</p><p>  4.1 網(wǎng)絡(luò)拓?fù)鋱D15</p><p>  4.2 存在的威脅15</p><p>  4.3 內(nèi)網(wǎng)的安全的防護(hù)16</p><p>  4.4 應(yīng)用程序的安全的防護(hù)17</p><p>

16、  4.5 服務(wù)器安全的防護(hù)18</p><p>  4.6 漏洞的防護(hù)18</p><p>  4.7 社會(huì)工程學(xué)20</p><p>  4.8 針對(duì)SQL注入的防護(hù)21</p><p>  4.9 防護(hù)方案后的拓?fù)鋱D23</p><p>  第五章 ATP攻防實(shí)驗(yàn)25</p><p

17、>  5.1 實(shí)驗(yàn)平臺(tái)的搭建25</p><p>  5.1.1 平臺(tái)拓?fù)鋱D25</p><p>  5.1.2 web的搭建25</p><p>  5.1.3 FTP服務(wù)器的搭建29</p><p>  5.2 弱密碼攻擊33</p><p>  5.2.1 攻擊33</p><

18、;p>  5.2.3 防護(hù)38</p><p>  5.2.3. 測(cè)試44</p><p>  5.3 操作系統(tǒng)IPC$ 漏洞攻擊46</p><p>  5.3.1 攻擊46</p><p>  5.3.2 防護(hù)51</p><p>  5.3.3 測(cè)試55</p><p>

19、  5.4 SQL注入攻擊57</p><p><b>  第六章 總結(jié)65</b></p><p><b>  6.1 總結(jié)65</b></p><p><b>  6.2 展望65</b></p><p><b>  參考文獻(xiàn)67</b>&l

20、t;/p><p><b>  致謝68</b></p><p><b>  第一章 概述</b></p><p><b>  1.1 目的與意義</b></p><p>  近年來,隨著信息技術(shù)的高速發(fā)展,信息化技術(shù)在給人們帶來種種物質(zhì)和文化生活享受的同時(shí),各種安全問題也隨之而來

21、,諸如網(wǎng)絡(luò)的數(shù)據(jù)竊賊、黑客對(duì)主機(jī)的侵襲從而導(dǎo)致系統(tǒng)內(nèi)部的泄密者。盡管我們正在廣泛地使用各種復(fù)雜的軟件技術(shù),如防火墻、代理服務(wù)器、侵襲探測(cè)器、通道控制機(jī)制等,但是,無論在發(fā)達(dá)國家,還是在發(fā)展中國家,黑客活動(dòng)越來越猖狂,他們無孔不入,對(duì)社會(huì)造成了嚴(yán)重的危害,如何消除安全隱患,確保網(wǎng)絡(luò)信息的安全,尤其是網(wǎng)絡(luò)上重要的數(shù)據(jù)的安全,已成為當(dāng)今世界越來越關(guān)心的話題。近年來,APT高級(jí)持續(xù)性威脅便成為信息安全圈子人人皆知的"時(shí)髦名詞"

22、;[1]。APT變化多端、效果顯著且難于防范,因此,漸漸成為網(wǎng)絡(luò)滲透和系統(tǒng)攻擊的演進(jìn)趨勢(shì)。所以要設(shè)計(jì)一套能有效防護(hù)APT攻擊的方案顯得及其重要。設(shè)計(jì)的目的主要是從APT的規(guī)范定義及特征入手,對(duì)攻擊發(fā)起的背景、步驟等進(jìn)行較詳盡的描述, 在分析APT攻擊的一般過程基礎(chǔ)上,針對(duì)攻擊不同階段,從技術(shù)措施和防護(hù)方法等方面給出具體的建議,并給出具體、完善的檢測(cè)、響應(yīng)和防范APT攻擊的可行性方案。</p><p>  1.3現(xiàn)

23、狀及發(fā)展趨勢(shì)</p><p>  從震網(wǎng)到火焰各種的攻擊,到媒體關(guān)的關(guān)注,全都認(rèn)可一件事情,那就APT攻擊是防不住。國內(nèi)防不住,國外其實(shí)也防不住[2]。目前仍有很多人對(duì)APT這個(gè)名詞感到陌生,APT到底是什么,關(guān)于APT的定義非常混亂,APT攻擊并不是具體限定于某一種唯一的方法和步驟,他攻擊的手段多種多樣,廣泛的用到了社會(huì)工程學(xué)的手段。</p><p>  目前國內(nèi)外對(duì)APT(高級(jí)持續(xù)威脅

24、)攻擊行動(dòng)的組成要素、主要任務(wù)、重要活動(dòng)以及交互關(guān)系等問題已有清晰的認(rèn)識(shí) ,可是對(duì)APT攻擊的研究主要還是由安全廠商進(jìn)行,其側(cè)重點(diǎn)在于通過安全事件、威脅的分析導(dǎo)出企業(yè)的安全理念, 以網(wǎng)絡(luò)安全企業(yè)的宣傳、分析資料為主,忽視了對(duì)APT攻擊機(jī)理、產(chǎn)生背景等進(jìn)行整體而細(xì)致的剖析。所以關(guān)注點(diǎn)較為分散,不成體系,無法對(duì) APT 攻擊形成較為全面的認(rèn)知和理解。缺乏統(tǒng)一的形式化描述,不能全面系統(tǒng)地表達(dá)APT攻擊的全過程。外對(duì)APT攻擊的檢測(cè)主要還都處于

25、探索狀態(tài)。大致主要分為兩種方式:靜態(tài)檢測(cè)方式和動(dòng)態(tài)檢測(cè)方式[3]。</p><p>  在國外先進(jìn)國家研究APT攻擊已經(jīng)成為國家網(wǎng)絡(luò)安全防御戰(zhàn)略的重要環(huán)節(jié)。例如,美國國防部的 High Level 網(wǎng)絡(luò)作戰(zhàn)原則中,明確指出針對(duì) APT 攻擊行為的檢測(cè)與防御是整個(gè)風(fēng)險(xiǎn)管理鏈條中至關(guān)重要也是基礎(chǔ)的組成部分,西方先進(jìn)國家已將APT防御議題提升到國家安全層級(jí),這絕不僅僅造成數(shù)據(jù)泄露。根據(jù)許多APT行為特征的蠕蟲病毒分析報(bào)

26、告來看,我國信息化建設(shè)和重要信息系統(tǒng)也可能受到來自某些國家和組織實(shí)施的前所未有的 APT 安全威脅,然而我國當(dāng)前面向重要網(wǎng)絡(luò)信息系統(tǒng)的專業(yè)防護(hù)服務(wù)能力和產(chǎn)業(yè)化程度相對(duì)較低,尚難以有效應(yīng)對(duì)高級(jí)持續(xù)性威脅攻擊,形勢(shì)相當(dāng)嚴(yán)峻,另一方面,由于APT攻擊的高度復(fù)合性和復(fù)雜性,目前尚缺乏對(duì) APT 成因和檢測(cè)的完善方法的研究。隨著我國3G網(wǎng)絡(luò)的推廣普及,移動(dòng)終端的市場(chǎng)在不斷擴(kuò)大,APT攻擊也在關(guān)注移動(dòng)互聯(lián)網(wǎng)終端,這也是ATP攻擊的一個(gè)發(fā)展趨勢(shì)。AP

27、T攻擊時(shí)代的來臨預(yù)示著定向攻擊將成為惡意軟件發(fā)展的新趨勢(shì)[4]。</p><p>  APT攻擊是一個(gè)在時(shí)間上具備連續(xù)性的行為,在以后信息技術(shù)快速的發(fā)展中,APT攻擊將會(huì)變得越來越復(fù)雜,這并不僅僅表示攻擊技術(shù)越來越強(qiáng)大,也意味著部署攻擊的方式越來越靈活。以后,這類攻擊將會(huì)具備更大的破壞能力,使得我們更難進(jìn)行屬性分析。</p><p>  (1)攻擊將會(huì)更有針對(duì)性:越來越多的APT攻擊將會(huì)針

28、對(duì)特定的地區(qū)、特定的用戶群體進(jìn)行攻擊。在此類攻擊中,除非目標(biāo)在語言設(shè)定、網(wǎng)段等條件上符合一定的標(biāo)準(zhǔn),否則惡意軟件不會(huì)運(yùn)行。因此,我們將會(huì)看到越來越多的本地化攻擊。</p><p> ?。?)APT攻擊將更有破壞性:在以后,APT攻擊將帶有更多的破壞性質(zhì),無論這是它的主要目的,或是作為清理攻擊者總計(jì)的手段,都很有可能成為時(shí)間性攻擊的一部分,被運(yùn)用在明確的目標(biāo)上。</p><p> ?。?)對(duì)

29、攻擊的判斷將越來越困難:在APT攻擊防范中,我們通常用簡(jiǎn)單的技術(shù)指標(biāo)來判斷攻擊的動(dòng)機(jī)和地理位置。但是到了以后,我們將需要綜合社會(huì)、政治、經(jīng)濟(jì)、技術(shù)等多重指標(biāo)進(jìn)行判斷,以充分評(píng)估和分析目標(biāo)攻擊。但是,多重指標(biāo)很容易導(dǎo)致判斷出現(xiàn)失誤,而且,攻擊者還可能利用偽造技術(shù)指標(biāo)來將懷疑對(duì)象轉(zhuǎn)嫁到別人身上,大大提升了判斷的難度。</p><p>  1.3 主要設(shè)計(jì)內(nèi)容</p><p>  運(yùn)用已學(xué)過的信

30、息安全原理與技術(shù)、現(xiàn)代密碼學(xué)、計(jì)算機(jī)網(wǎng)絡(luò)和網(wǎng)絡(luò)攻防等專業(yè)知識(shí),對(duì)高級(jí)持續(xù)性威脅(Advanced Persistent Threat,APT)產(chǎn)生的背景、攻擊方法與原理進(jìn)行分析,發(fā)現(xiàn)其攻擊規(guī)律,提出檢測(cè)方法,搭建一個(gè)簡(jiǎn)單、實(shí)用的APT攻擊防護(hù)平臺(tái),設(shè)計(jì)出一套完整的防范APT攻擊的解決方案,并通過自己搭建的實(shí)驗(yàn)平臺(tái)對(duì)該方案的可行性進(jìn)行驗(yàn)證。</p><p>  第二章 相關(guān)的基礎(chǔ)知識(shí)</p

31、><p>  2.1 ATP的概念</p><p>  APT攻擊是一種非常有目標(biāo)的攻擊。APT攻擊和其他的網(wǎng)絡(luò)攻擊相比,他們有著本質(zhì)的區(qū)別,病毒擁有3個(gè)基本屬性,APT攻擊在擁有那些基本屬性的同時(shí),也擁有了屬于自己特有的屬性。從技術(shù)的角度來說,APT是一種不同性質(zhì)的攻擊,從某些程來說,APT攻擊是必然的,也是最近出現(xiàn)的一種新的篇章,這個(gè)新的篇章和過去的網(wǎng)絡(luò)攻擊不一樣,其主要表現(xiàn)為APT的采點(diǎn)

32、是很漫長的,需要一段很長的時(shí)間,APT運(yùn)用的攻擊手段很隱蔽,因此很多網(wǎng)絡(luò)安全維護(hù)人員不會(huì)輕易的發(fā)現(xiàn)這種攻擊,因?yàn)樗麄兯\(yùn)用的攻擊手段都是看起來正常的,進(jìn)攻漫長的信息采集過程,最終確定攻擊的目標(biāo),當(dāng)攻擊的目標(biāo)被確定后,這個(gè)目標(biāo)一定是有比較高的價(jià)值,因?yàn)锳PT前期的攻擊準(zhǔn)備的成本比起一般的網(wǎng)絡(luò)攻擊要高很多,APT不是一種單一的攻擊手段,而是多種攻擊手段的組合,它是由一個(gè)團(tuán)體所組成,因此無法通過單一的防護(hù)手段進(jìn)行阻止和防御,APT攻擊目前已成

33、為熱點(diǎn),其特征不同于傳統(tǒng)的網(wǎng)絡(luò)攻擊,對(duì)已有的安全防范思路和能力,帶來極大挑戰(zhàn)。應(yīng)對(duì)新的威脅,需要有新的思路。</p><p>  2.2 APT攻擊的原理</p><p>  APT攻擊的原理和其他網(wǎng)絡(luò)攻擊的區(qū)別主要在于他攻擊形式更為高級(jí)和先進(jìn),其高級(jí)性體現(xiàn)在APT在發(fā)動(dòng)攻擊之前,需要對(duì)攻擊目標(biāo)信息進(jìn)行精確的收集,在此收集的過程中,有可能結(jié)合當(dāng)前IT行業(yè)所有可用的攻擊入侵手段和技術(shù),他們不

34、會(huì)采取單一的攻擊手段,病毒傳播、SQL 注入等 。因?yàn)閱我坏墓羰侄稳菀妆话l(fā)現(xiàn),很難達(dá)到APT攻擊所想要的結(jié)果,所以通常會(huì)使用自己設(shè)計(jì)、具有極強(qiáng)針對(duì)性和破壞性的惡意程序[5],主動(dòng)挖掘被攻擊對(duì)象受信系統(tǒng)和應(yīng)用程序的漏洞,對(duì)目標(biāo)系統(tǒng)實(shí)施毀滅性的打擊,APT攻擊的方式可以根據(jù)實(shí)際情況進(jìn)行動(dòng)態(tài)的調(diào)整,從整體上掌控攻擊進(jìn)程,APT攻擊還具備快速編寫所需滲透代碼的能力。與傳統(tǒng)攻擊手段和入侵方式相比,APT 攻擊體現(xiàn)的技術(shù)性更強(qiáng),過程也更為復(fù)雜,他

35、的攻擊行為沒有采取任何可能觸發(fā)警報(bào)或者引起懷疑的行動(dòng),所以更接近于融入被攻擊者的系統(tǒng)或程序。</p><p>  2.3 APT的危害</p><p>  如下圖2.1所示一系列的APT攻擊事件震驚業(yè)界,APT攻擊的出現(xiàn),對(duì)全球的信息安全的防護(hù)是一個(gè)極大的挑戰(zhàn),因?yàn)锳PT攻擊的目標(biāo)通常會(huì)是一個(gè)國家的安全設(shè)施,例如:航空航天,或者是重要的金融系統(tǒng)。APT攻擊在沒有挖掘到目標(biāo)的有用信息之前,它

36、可以悄悄潛伏在被攻擊的目標(biāo)的主機(jī)中。傳統(tǒng)安全事故經(jīng)常是可見的、危害即刻發(fā)生,造成的威脅很??;可是APT攻擊則是不可見,危害在幕后發(fā)生,因?yàn)锳PT攻擊具有很強(qiáng)的隱蔽性,所以悄然間便可竊取被攻擊目標(biāo)的核心數(shù)據(jù),當(dāng)一個(gè)企業(yè)或一個(gè)國家知道被攻擊成功時(shí),則造成的危害已經(jīng)不可挽回,他的破壞力是非常強(qiáng)的,在國與國之間沒有真正較量沒有發(fā)生之前時(shí)發(fā)作,一旦發(fā)作也許會(huì)導(dǎo)致系統(tǒng)不運(yùn)行,包括金融系統(tǒng),攻擊的目標(biāo)大多數(shù)是針對(duì)國家的要害部門,所以它的危害是非常嚴(yán)重

37、,威脅到國家的信息安全。</p><p>  圖2.1 近年發(fā)生的APT事件</p><p>  第三章 APT攻擊的發(fā)現(xiàn)</p><p>  3.1 ATP攻擊的途徑</p><p>  APT入侵客戶的途徑多種多樣,主要包括:</p><p>  (1)以智能手機(jī)、平板電腦和USB等移動(dòng)設(shè)備為目標(biāo)和攻擊對(duì)象繼而入侵

38、企業(yè)信息系統(tǒng)的方式。</p><p>  (2)社交工程的惡意郵件是許多APT攻擊成功的關(guān)鍵因素之一,隨著社交工程攻擊手法的日益成熟,郵件幾乎真假難辨。從一些受到APT攻擊的大型企業(yè)可以發(fā)現(xiàn),這些企業(yè)受到威脅的關(guān)鍵因素都與普通員工遭遇社交工程的惡意郵件有關(guān)。黑客一開始,就是針對(duì)某些特定員工發(fā)送的釣魚郵件,以此作為使用APT手法進(jìn)行攻擊的所有源頭。</p><p>  (3)利用防火墻、服務(wù)

39、器等系統(tǒng)漏洞繼而獲取訪問企業(yè)網(wǎng)絡(luò)的有效憑證信息</p><p>  (4)很多企業(yè)和組織的網(wǎng)站在防范SQL注入攻擊方面缺乏防范。所以通過對(duì)目標(biāo)公網(wǎng)網(wǎng)站的SQL注入方式實(shí)現(xiàn)APT攻擊。</p><p>  (5)攻擊者在持續(xù)不斷獲取受害企業(yè)和組織網(wǎng)絡(luò)中的重要數(shù)據(jù)的時(shí)候,一定會(huì)向外部傳輸數(shù)據(jù)。通過對(duì)數(shù)據(jù)進(jìn)行壓縮、加密的方式導(dǎo)致現(xiàn)有絕大部分基于特征庫匹配的檢測(cè)系統(tǒng)失效,實(shí)現(xiàn)數(shù)據(jù)的傳輸</p

40、><p>  總之,高級(jí)持續(xù)性威脅(APT)正在通過一切方式,繞過基于代碼的傳統(tǒng)安全方案如防病毒軟件、防火墻、IPS等),并更長時(shí)間的潛伏在系統(tǒng)中,讓傳統(tǒng)防御體系難以偵測(cè)[6]。</p><p>  3.2 ATP攻擊的過程剖析</p><p>  攻擊的流程圖如圖3.1所示</p><p>  圖3.1 APT攻擊流程圖</p>

41、<p>  第一階段:情報(bào)收集。攻擊者對(duì)鎖定的目標(biāo)和資源采用針對(duì)性APT攻擊,使用技術(shù)和社會(huì)工程學(xué)手段針對(duì)性地進(jìn)行信息收集,目標(biāo)網(wǎng)絡(luò)環(huán)境探測(cè),線上服務(wù)器分布情況,應(yīng)用程序的弱點(diǎn)分析,了解業(yè)務(wù)狀況,員工信息,收集大量關(guān)于系統(tǒng)業(yè)務(wù)流程和使用情況等關(guān)鍵信息,通過網(wǎng)絡(luò)流量、軟件版本、開放端口、員工資料、管理策略等因素的整理和分析[7],得出系統(tǒng)可能存在的安全弱點(diǎn)。另外,攻擊者在探測(cè)期中也需要收集各類零日漏洞、編制木馬程序、制訂攻擊計(jì)劃

42、等,用于在下一階段實(shí)施精確攻擊,當(dāng)攻擊者收集到足夠的信息時(shí),就會(huì)對(duì)目標(biāo)網(wǎng)絡(luò)發(fā)起攻擊。</p><p>  第二階段:進(jìn)入點(diǎn)。采用誘騙手段將正常網(wǎng)址請(qǐng)求重定向至惡意站點(diǎn),發(fā)送垃圾電子郵件并捆綁染毒附件,以遠(yuǎn)程協(xié)助為名在后臺(tái)運(yùn)行惡意程序,或者直接向目標(biāo)網(wǎng)站進(jìn)行 SQL 注入攻擊等。盡管攻擊手段各不相同,但絕大部分目的是盡量在避免用戶覺察的條件下取得服務(wù)器、網(wǎng)絡(luò)設(shè)備的控制權(quán)</p><p>  

43、第三階段:命令與控制 (C&C 通信)。攻擊者成功入侵目標(biāo)網(wǎng)絡(luò)后,通常并不急于獲取敏感信息和數(shù)據(jù),而是在隱藏自身的前提下找出放有敏感信息的重要計(jì)算機(jī)。然后,APT攻擊活動(dòng)利用網(wǎng)絡(luò)通信協(xié)議來與C&C服務(wù)器通信,并確認(rèn)入侵成功的計(jì)算機(jī)和C&C服務(wù)器間保持通信[]。開始尋找實(shí)施進(jìn)一步行動(dòng)的最佳時(shí)機(jī)。當(dāng)接收到特定指令,或者檢測(cè)到環(huán)境參數(shù)滿足一定條件時(shí),惡意程序開始執(zhí)行預(yù)期的動(dòng)作。</p>

44、<p>  第四階段:橫向擴(kuò)展。在目標(biāo)網(wǎng)絡(luò)中找出放有敏感信息的重要計(jì)算機(jī),使用包括傳遞哈希值算法的技巧和工具,將攻擊者權(quán)限提升到跟管理者一樣,讓他可以輕松地訪問和控制關(guān)鍵目標(biāo)。</p><p>  第五階段:資料發(fā)掘。為確保以后的數(shù)據(jù)竊取行動(dòng)中會(huì)得到最有價(jià)值的數(shù)據(jù),APT會(huì)長期低調(diào)地潛伏。這是APT長期潛伏不容易被發(fā)現(xiàn)的特點(diǎn),來挖掘出最多的資料,而且在這個(gè)過程當(dāng)中,通常不會(huì)是重復(fù)自動(dòng)化的過程,而是會(huì)有

45、人工的介入對(duì)數(shù)據(jù)作分析,以做最大化利用。</p><p>  第六階段:資料竊取。APT是一種高級(jí)的、狡猾的伎倆,利用APT入侵網(wǎng)絡(luò)、逃避“追捕”、悄無聲息不被發(fā)現(xiàn)、隨心所欲對(duì)泄露數(shù)據(jù)進(jìn)行長期訪問,最終挖掘到攻擊者想要的資料信息。為了避免受害者推斷出攻擊的來源,APT 代碼需要對(duì)其在目標(biāo)網(wǎng)絡(luò)中存留的痕跡進(jìn)行銷毀,這個(gè)過程可以稱之為 APT 的退出。APT 根據(jù)入侵之前采集的系統(tǒng)信息,將滯留過的主機(jī)進(jìn)行狀態(tài)還原,并

46、恢復(fù)網(wǎng)絡(luò)配置參數(shù),清除系統(tǒng)日志數(shù)據(jù),使事后電子取證分析和責(zé)任認(rèn)定難以進(jìn)行。</p><p>  3.3 ATP的檢測(cè)</p><p>  APT攻擊是近幾年來出現(xiàn)的一種高級(jí)網(wǎng)絡(luò)攻擊,具有難檢測(cè)、持續(xù)時(shí)間長和攻擊目標(biāo)明確等特征。傳統(tǒng)基于攻擊特征的入侵檢測(cè)和防御方法在檢測(cè)和防御apt方面效果已經(jīng)變得很不理想了。所以要檢測(cè)出APT攻擊已成為許多企業(yè)所面臨的難題,因?yàn)锳PT種攻擊是以“隱形模式”進(jìn)

47、行的。對(duì)于傳統(tǒng)的攻擊行為,安全專家僅需關(guān)注惡意程序的樣本提取并做分析,便可以掌握攻擊者的動(dòng)機(jī)及傳播渠道,可是對(duì)于APT攻擊以點(diǎn)概面的安全檢測(cè)手段已顯得不合時(shí)宜,所以要想在APT攻擊還沒發(fā)生之前,事先檢測(cè)到APT攻擊是很困難的,面對(duì)APT攻擊威脅,我們應(yīng)當(dāng)有一套更完善更主動(dòng)更智能的安全防御方案,必須承認(rèn)APT攻擊的發(fā)起者有著超群的智慧和豐富的經(jīng)驗(yàn),因此檢測(cè)APT攻擊就必須密切關(guān)注攻擊者所釋放的惡意代碼的每一個(gè)細(xì)節(jié)。并且該方案能夠識(shí)別和分析

48、服務(wù)器和客戶端的微妙變化和異常。無論攻擊者的實(shí)施的計(jì)劃多么縝密,還是會(huì)留下點(diǎn)攻擊過程中的痕跡,通常就是我們所說的刑事調(diào)查中的痕跡證據(jù),這種證據(jù)并不明顯,甚至可能是肉眼看不見的。</p><p>  APT攻擊者為了發(fā)動(dòng)攻擊肯定會(huì)在系統(tǒng)的某處留下一些模糊的蹤跡,然而這些蹤跡在我們平時(shí)看來是正常的一些網(wǎng)絡(luò)行為,所以這就導(dǎo)致了我們很難檢測(cè)到APT攻擊。可是安全人員可以快速定位攻擊源頭,并做出對(duì)應(yīng)的安全防御策略,但是這些

49、卻無法準(zhǔn)確提取APT攻擊屬性與特征。</p><p>  我們現(xiàn)在對(duì)抗 APT 的思路是以時(shí)間對(duì)抗時(shí)間。因?yàn)锳PT是在很長時(shí)間內(nèi)才發(fā)生,也許一年,兩年,甚至五年,才可能發(fā)生,所以我們要在一段時(shí)間內(nèi)發(fā)現(xiàn)APT,還是很有難度的,需要對(duì)長時(shí)間、全流量數(shù)據(jù)進(jìn)行深度分析,針對(duì)APT攻擊行為的檢測(cè),需要構(gòu)建一個(gè)多維度的安全模型,還可以通過手動(dòng)檢查文件來識(shí)別一些微小的不易發(fā)現(xiàn)的標(biāo)記,并將這些標(biāo)記作為潛在惡意活動(dòng)的指示。通常AP

50、T攻擊會(huì)采用一些惡意程序文件名與常見Windows文件類似,讓我們很難發(fā)現(xiàn)??墒侵灰覀兞粜挠^察,是可以識(shí)別文件名的細(xì)微區(qū)別的,例如使用大寫I代替小寫L。根據(jù)整個(gè)apt攻擊過程,圍繞APT的攻擊步驟提出具體的檢測(cè)方案。檢測(cè)的整個(gè)具體流程圖如下圖3.2所示,一共分成五大模塊,沙箱檢測(cè),異常檢測(cè),威脅檢測(cè),記憶檢測(cè)還有響應(yīng)。</p><p>  圖3.2 檢測(cè)的整體流程圖</p><p>&l

51、t;b>  3.3.1沙箱方案</b></p><p>  該方案在一定程度上可以有效檢測(cè) APT 攻擊, 對(duì)攻擊方式進(jìn)行非特征匹配。攻擊者與防護(hù)者的信息不對(duì)稱, 因?yàn)锳PT攻擊具有極強(qiáng)的隱蔽性,所以要想發(fā)現(xiàn)APT攻擊如同大海撈針。 該智能沙箱法案, 通過對(duì)可能存在的異常行為進(jìn)行技術(shù)性識(shí)別, 檢測(cè)出存在高級(jí)威脅的問題。 并且沙箱檢測(cè)與整個(gè)網(wǎng)絡(luò)運(yùn)行環(huán)境相關(guān), 操作系統(tǒng)的類型、 瀏覽器的版本、 安裝

52、的插件版本等都對(duì)沙箱檢測(cè)的結(jié)果起著影響。 因而導(dǎo)致沙箱檢測(cè)在這種情形下檢測(cè)不出來惡意代碼, 但是在另外一種情形下可能檢測(cè)出來</p><p>  3.3.2 異常檢測(cè)模式</p><p>  檢測(cè)流程圖如下圖3.3所示:</p><p>  圖3.3 異常檢測(cè)流程圖</p><p>  APT攻擊常使用端口跳變、應(yīng)用層加密等手段隱藏惡意流量特

53、征,只有通過一系列的數(shù)據(jù)聚類才能發(fā)現(xiàn)異常,異常檢測(cè)是利用預(yù)先設(shè)定好特征庫或規(guī)則庫和用戶通過從賬號(hào)登錄的IP地址、時(shí)間、行為操作序列等特征的統(tǒng)計(jì)可得到該賬號(hào)的正常行為產(chǎn)生的數(shù)據(jù)量建立一個(gè)有效的模型。該模型通過匹配已知異常特征相的模式來檢測(cè)異常。</p><p>  該方案提出了在多種查詢條件下對(duì)流量數(shù)據(jù)進(jìn)行可視化分析,例如目的 IP 地址流量統(tǒng)計(jì)排序、目的端口流量統(tǒng)計(jì)排序等;并對(duì)對(duì)重要文件的操作及對(duì)應(yīng)的發(fā)生時(shí)間進(jìn)行

54、審計(jì)。該方案的設(shè)計(jì)思維就好比現(xiàn)實(shí)生活中警察抓壞人的思維方式, 在沒有明確壞人的基本特征的情況下,那就對(duì)好人進(jìn)行行為模式的建構(gòu), 當(dāng)一個(gè)人的行為模式偏離好人的正常范圍, 那么這個(gè)人就有可能是壞人,然后再對(duì)這個(gè)有可能是壞人的人進(jìn)行具體的檢測(cè)。該方案主要注重的是對(duì)元數(shù)據(jù)的提取, 以此對(duì)整個(gè)網(wǎng)絡(luò)流量的基本情況進(jìn)行檢測(cè), 從而發(fā)現(xiàn)異常行為。通過對(duì)該主機(jī)流量進(jìn)行特征抽取,與其正常的流量模型比較,從而得到流量異常情況的概率值。 對(duì)于被識(shí)別為“異常”概

55、率值大的流量信息,將被推送到安全審計(jì)人員作進(jìn)一步分析[17]。對(duì)于員工賬號(hào)訪問審計(jì),并進(jìn)一步用于員工賬號(hào)訪問異常檢測(cè)。 對(duì)于異常告警,安全審計(jì)人員需及時(shí)確認(rèn)原因;并對(duì)未能確認(rèn)原因的異常告警信息,尤其是異常流量警告信息,并及時(shí)聯(lián)系安全技術(shù)支持人員進(jìn)行近一步分析這種異常,從而發(fā)現(xiàn)APT攻擊,但是該檢測(cè)的缺點(diǎn)是不能檢測(cè)未知的異常,同時(shí)隨著異常種類越來越來多,導(dǎo)致特征庫越來越龐大,從而監(jiān)測(cè)性能也隨之下降。</p><p>

56、;  3.3.3 威脅檢測(cè)技術(shù)</p><p>  檢測(cè)的流程圖如下圖3.4所示:</p><p>  圖3.4 威脅檢測(cè)流程圖</p><p>  該方案提供了一個(gè)統(tǒng)一的接口,可以在不同位置把相關(guān)的日志信息上傳,例如已發(fā)現(xiàn)的病毒或者木馬,可疑的網(wǎng)絡(luò)訪問行為,異常的網(wǎng)絡(luò)流量等。在該模塊產(chǎn)生日志分析的基礎(chǔ)上,根據(jù)一些經(jīng)驗(yàn)規(guī)則或者自定義的規(guī)則,主動(dòng)的發(fā)現(xiàn)可能發(fā)生的安全威

57、脅虛擬分析技術(shù)。傳統(tǒng)的檢測(cè)方案對(duì)某些附件或則可執(zhí)行文件對(duì)系統(tǒng)可能造成的影響沒有一個(gè)準(zhǔn)確的分析,往往會(huì)把一些文件隔離起來或者直接放過[20]。如果該文件是一個(gè)正常文件,隔離后,用戶需要額外的操作才能得到該文件;如果該文件是一個(gè)惡意文件,放過的話,就會(huì)對(duì)會(huì)對(duì)用戶的系統(tǒng)造成影響。因此,無論隔離還是放過,都會(huì)對(duì)用戶造成困擾。用戶通常不具備足夠的知識(shí)來判斷文件是否是惡意的。所以該方案是將文件放在沙盒中執(zhí)行,檢測(cè)該文件對(duì)系統(tǒng)的所有更改是否是有害的,

58、如果對(duì)該系統(tǒng)沒有造成影響,就允許通過,如果有影響,或則會(huì)危害到系統(tǒng)的秘密信息,就該文件攔截。一份統(tǒng)一的威脅名單:根據(jù)威脅檢測(cè)技術(shù)和虛擬分析技術(shù)的結(jié)果,模擬APT攻擊,可以產(chǎn)生一個(gè)可疑的威脅名單或則一份APT攻擊記錄報(bào)表,并將其可以名單和記錄的APT攻擊報(bào)表及時(shí)的地反饋給安全人員報(bào)表系統(tǒng):該系統(tǒng)根據(jù)不同的目的,提供不同的報(bào)表供 IT 安全管理</p><p>  3.3.4 基于記憶的檢測(cè)</p>&

59、lt;p>  檢測(cè)的流程圖如下圖3.5所示:</p><p>  圖3.5 記憶檢測(cè)流程圖</p><p>  在檢測(cè)中APT 攻擊過程中,APT攻擊遺留下來的暴露點(diǎn)包括攻擊過程中的攻擊路徑和時(shí)序,APT 攻擊一般不會(huì)對(duì)系統(tǒng)的安全防御系統(tǒng)進(jìn)行暴力破解,攻擊過程的大部分貌似正常操作;不是所有的異常操作都能立即被檢測(cè);被檢測(cè)到的異常也許是在APT攻擊過后才檢測(cè)到,因?yàn)锳PT具有很強(qiáng)的隱蔽

60、性?;谟洃浀臋z測(cè)可以有效緩解上述問題?;谟洃浀臋z測(cè)系統(tǒng), 是由全流量審計(jì)與日志審計(jì)相結(jié)合形成的, 它對(duì)抗 APT 的關(guān)鍵方法就是以時(shí)間對(duì)抗時(shí)間[10]。APT 攻擊發(fā)生的時(shí)間很長, 對(duì)APT攻擊的檢測(cè)是建立一個(gè)有效的時(shí)間窗, 所以可以對(duì)長時(shí)間內(nèi)的數(shù)據(jù)流量進(jìn)行更為深入、 細(xì)致的分析。 全流量審計(jì)組要是對(duì)全過程流量施以應(yīng)用上的識(shí)別與還原, 從而檢測(cè)出異常的可能會(huì)對(duì)系統(tǒng)造成危害的行為。該記憶的檢測(cè)方案主要分成如下幾個(gè)步驟: </p&

61、gt;<p><b> ?。?)擴(kuò)大檢測(cè)范圍</b></p><p>  該方案對(duì)數(shù)據(jù)流量的檢測(cè)領(lǐng)域進(jìn)行拓展, 并將全流量數(shù)據(jù)進(jìn)行有效的存儲(chǔ),對(duì)存儲(chǔ)的流量數(shù)據(jù)會(huì)進(jìn)行深入分析。 該方案采取擴(kuò)大檢測(cè)領(lǐng)域不但提高發(fā)現(xiàn)可疑行為的概率。還可以在發(fā)現(xiàn)異常情況后,利用原先的全流量的存儲(chǔ), 將異常行為返回到與之相關(guān)的時(shí)間點(diǎn)。還可以為已經(jīng)發(fā)生的,但在分析時(shí)沒有受到安全管理員的重視,偶爾會(huì)出現(xiàn)可疑

62、情況的數(shù)據(jù)流量進(jìn)行關(guān)聯(lián)性的技術(shù)分析,從而實(shí)現(xiàn)有效識(shí)別。往往這些不受重視的報(bào)警常常是攻擊者掩藏蓄謀已久的攻擊意圖的好地方</p><p><b>  (2)濃縮數(shù)據(jù)量</b></p><p>  對(duì)輸入的數(shù)據(jù)量進(jìn)行壓縮, 在全流量中的數(shù)據(jù)進(jìn)行篩選,將有用的信息刪選出來,并將與攻擊不相關(guān)聯(lián)的數(shù)據(jù)及時(shí)刪除,并保留與APT攻擊有關(guān)的數(shù)據(jù)流量, 將其有用數(shù)據(jù)弄成一個(gè)集合,壓縮對(duì)

63、數(shù)據(jù)量,從而為檢測(cè)系統(tǒng)騰出更大的空間。 依靠數(shù)據(jù)流量的異常檢測(cè)模塊,篩選、 刪除一些無用的數(shù)據(jù)流量,從而進(jìn)一步提高檢測(cè)的性能</p><p><b>  (3)報(bào)警</b></p><p>  將原先保存下來的與APT攻擊行為有關(guān)的數(shù)據(jù)進(jìn)行一個(gè)后續(xù)的詳細(xì)分析,制定相關(guān)的匹配規(guī)則。分析人員與分析儀器相互配合, 利用多維數(shù)據(jù)進(jìn)行可視化分析, 對(duì)可疑會(huì)話做好定位, 利用細(xì)粒

64、度解析與應(yīng)用還原數(shù)據(jù), 有效識(shí)別出異常的行為,如果有異常,報(bào)警模塊及時(shí)做出精確報(bào)警。從而識(shí)別出攻擊者將攻擊行為包裝成成正常行為的行為。</p><p><b> ?。?)模擬攻擊</b></p><p>  安全管理員將識(shí)別出的報(bào)警數(shù)據(jù)進(jìn)行關(guān)聯(lián)性分析, 明確這些報(bào)警數(shù)據(jù)與APT攻擊之間存在的語義關(guān)系,并將孤立的攻擊報(bào)警從海量的報(bào)警中提取出來,根據(jù)關(guān)聯(lián)特征組建攻擊場(chǎng)景相

65、關(guān)的知識(shí)庫,對(duì)識(shí)別出的報(bào)警與之相匹配、對(duì)照,構(gòu)建 APT攻擊,如果構(gòu)建成功,則APT攻擊被發(fā)現(xiàn),并將其記錄。接下來就是做出進(jìn)一步的防護(hù)</p><p>  第四章 APT防護(hù)方案設(shè)計(jì)</p><p><b>  4.1 網(wǎng)絡(luò)拓?fù)鋱D</b></p><p>  沒有加任何防護(hù)設(shè)備的網(wǎng)絡(luò)拓?fù)鋱D如下圖4.1所示:</p><p&g

66、t;  圖4.1 沒加防護(hù)設(shè)備的網(wǎng)絡(luò)拓?fù)鋱D</p><p>  圖4.1描述了沒有加任何防護(hù)設(shè)備環(huán)境大概的網(wǎng)段劃分,主要?jiǎng)澐謨蓚€(gè)網(wǎng)段,其中192.168.1.0被劃分為外網(wǎng),192.168.2.0被劃分為內(nèi)網(wǎng),是主要的攻擊目標(biāo)。其中內(nèi)網(wǎng)包括PC機(jī)和服務(wù)器,外網(wǎng)就只有PC機(jī)。</p><p><b>  4.2 存在的威脅</b></p><p>

67、;  (1)外網(wǎng)帶來的威脅</p><p>  外網(wǎng)的威脅可能有木馬、病毒、蠕蟲,他們會(huì)正常的隱藏在word,QQ等正常的軟件中。這些威脅也許會(huì)通過U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行傳播。主機(jī)IP地址和MAC地的威脅,因?yàn)樗鼈兒苋菀妆淮鄹?,造成運(yùn)行與維護(hù)上的不安全,刻錄機(jī)帶來的安全風(fēng)險(xiǎn)。還有隨著手機(jī)、平板電腦的流行而帶來的移動(dòng)設(shè)備管理等問題。最常見的還有遠(yuǎn)程辦公帶來的安全威脅。</p><p&g

68、t;  (2)內(nèi)網(wǎng)帶來的威脅</p><p>  內(nèi)部成員之間重要文檔在傳輸過程中帶來的安全問題,當(dāng)某個(gè)不具備某文檔閱讀權(quán)限的內(nèi)部員工可能會(huì)接觸、打開、復(fù)制、打印該文檔,這樣就有可能造成文件的泄露。還有將自帶設(shè)備帶入內(nèi)部網(wǎng)絡(luò),并自動(dòng)攻擊內(nèi)部主機(jī)、服務(wù)器,并將重要資料復(fù)制到自帶的設(shè)備中,并通過外網(wǎng)回傳到黑客指定地址。員工的U盤、移動(dòng)硬盤、光盤也有可能在外部感染木馬,從而攻擊內(nèi)網(wǎng)中的主機(jī)、服務(wù)器,然后將數(shù)據(jù)傳到外部。

69、對(duì)服務(wù)器、應(yīng)用系統(tǒng)的資源占用、響應(yīng)無實(shí)時(shí)監(jiān)控手段。主機(jī)、應(yīng)用系統(tǒng)登錄安全問題。管理員權(quán)限過大,可通過在交換機(jī)鏡像或ARP欺騙的方式捕獲內(nèi)部人員的賬號(hào)和密碼,管理員可直接在服務(wù)器上讀取OA、E-Mail等的敏感信息。管理員可直接接觸到核心數(shù)據(jù)庫,容易產(chǎn)生誤操作,或惡意操作。蠕蟲、病毒,往往會(huì)掃描服務(wù)器,從而造成信息泄漏,低權(quán)限管理員有可能利用此權(quán)限,進(jìn)行越權(quán)、高危操作。</p><p>  4.3 內(nèi)網(wǎng)的安全的防護(hù)

70、</p><p><b> ?。?)訪問控制</b></p><p>  配置訪問控制策略,對(duì)網(wǎng)絡(luò)進(jìn)行訪問控制,并且在內(nèi)網(wǎng)中應(yīng)該不要使用無線網(wǎng),無線網(wǎng)絡(luò)存在諸多安全隱患,而且不方便集中管理上網(wǎng)用戶,為了避免攻擊者通過無線網(wǎng)絡(luò)滲透進(jìn)內(nèi)網(wǎng)或者機(jī)密資料被竊取,所以應(yīng)避免使用無線網(wǎng)絡(luò)。</p><p> ?。?)架設(shè)入侵檢測(cè)系統(tǒng)</p>

71、<p>  利用入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)的安全情況進(jìn)行全天的監(jiān)測(cè),網(wǎng)絡(luò)安全管理員應(yīng)該定期對(duì)網(wǎng)絡(luò)進(jìn)行模擬滲透,即使發(fā)現(xiàn)系統(tǒng)漏洞,然后針對(duì)漏洞做出相應(yīng)的加固方案。</p><p> ?。?)PC補(bǔ)丁管理服務(wù)器</p><p>  WSUS支持微軟的全部產(chǎn)品的更新,以及補(bǔ)丁程序。部署WSUS服務(wù)器,幫助內(nèi)部網(wǎng)絡(luò)的用戶機(jī)及時(shí)、快速地更新/升級(jí)windows,能防止網(wǎng)內(nèi)用戶不打漏洞補(bǔ)丁的問題,提

72、高了辦公網(wǎng)絡(luò)的PC安全系數(shù)。</p><p><b> ?。?)病毒防御系統(tǒng)</b></p><p>  統(tǒng)一為網(wǎng)內(nèi)中的所有主機(jī)和服務(wù)器安裝殺毒軟件。</p><p><b>  (5)Mail安全</b></p><p>  在信息技術(shù)高度發(fā)展的今天,E-mail已成為我們生活和工作中必不可少的一

73、部分了,很多人不懂安全的人事,很難想象一封E-mail中所隱藏的安全隱患,到底有多大,所以應(yīng)當(dāng)對(duì)郵件進(jìn)行過濾。消除郵件中的安全隱患。同時(shí)制定一些制度,規(guī)定員工發(fā)郵件時(shí)不帶鏈接、附件等。</p><p><b> ?。?)日志管理</b></p><p>  對(duì)日志進(jìn)行統(tǒng)一管理,安全管理員應(yīng)該定期進(jìn)行日志分析。若發(fā)現(xiàn)異常,立即向主管領(lǐng)導(dǎo)反映,并分析被攻擊因素,及時(shí)修復(fù)漏

74、洞,并根據(jù)異常日志,追蹤攻擊源</p><p><b>  (7)員工主機(jī)安全</b></p><p>  制定相應(yīng)的主機(jī)加固和管理方案。確保每個(gè)員工的主機(jī)都能安全地運(yùn)行</p><p> ?。?)培養(yǎng)員工的安全意</p><p>  管理員應(yīng)該定期對(duì)員工進(jìn)行網(wǎng)絡(luò)安全方面知識(shí)的普及和培訓(xùn),規(guī)范員工的上網(wǎng),引導(dǎo)員工去安全地

75、上網(wǎng),從而確保內(nèi)網(wǎng)環(huán)境安全和穩(wěn)定。禁止員工使用自帶的便攜設(shè)備,如U盤,移動(dòng)硬盤,手機(jī)等,應(yīng)該使用統(tǒng)一的移動(dòng)設(shè)備,因?yàn)樽詭У谋銛y設(shè)備很有可能會(huì)把病毒帶到內(nèi)網(wǎng)中 ,在內(nèi)網(wǎng)進(jìn)行文件傳輸、共享的時(shí)候,應(yīng)該按照文件的安全等級(jí)要求,進(jìn)行加密傳輸</p><p><b>  (9)劃分VLAN</b></p><p>  為各個(gè)部門劃分VLAN,保證網(wǎng)絡(luò)能夠高效,穩(wěn)定,安全地運(yùn)行。

76、并對(duì)員工的主機(jī)實(shí)行mac雙向綁定,從而預(yù)防ARP攻擊</p><p>  4.4 應(yīng)用程序的安全的防護(hù)</p><p>  WEB應(yīng)用程序是整個(gè)網(wǎng)絡(luò)中的第一道防線,同時(shí)也是整個(gè)網(wǎng)絡(luò)中最容易被攻擊者攻擊的一個(gè)環(huán)節(jié),從而導(dǎo)致了WEB應(yīng)用程序的安全變得很重要。所以我們?cè)诼酚善魃习惭b了防火墻,實(shí)現(xiàn)了對(duì)服務(wù)器的安全控制和監(jiān)測(cè)。WEB應(yīng)用程序的安全,需要注意以下幾點(diǎn):</p><p

77、><b> ?。?)開發(fā)環(huán)節(jié)</b></p><p>  WEB應(yīng)用的開發(fā)環(huán)節(jié)直接影響WEB應(yīng)用的安全。所以在開發(fā)WEB應(yīng)用程序時(shí),應(yīng)該要有嚴(yán)格的安全編碼規(guī)范標(biāo)準(zhǔn),避免注入、上傳、文件包含、遠(yuǎn)程、本地代碼執(zhí)行、XSS等漏洞安全問題的產(chǎn)生。所以在應(yīng)用上線之前,要嚴(yán)格地進(jìn)行各種安全測(cè)試和加固。合理地選擇相對(duì)穩(wěn)定,安全的WEB框架,以及web服務(wù)器軟件,為選擇好WEB運(yùn)行程序制定安全的配置方

78、案和加固方案,以及維護(hù)方案,確保系統(tǒng)能夠安全、穩(wěn)定地運(yùn)行。</p><p>  (2)安裝WEB應(yīng)用防火墻</p><p>  安裝防火墻,一定程度上也可以提高WEB的安全系數(shù)。制定一個(gè)統(tǒng)一的賬戶、密碼管理體系,對(duì)后臺(tái)的訪問做一些控制,防止惡意攻擊者進(jìn)行暴力猜解。并定期對(duì)WEB系統(tǒng)進(jìn)行漏洞掃描和弱點(diǎn)分析,同時(shí),也要進(jìn)行人工的漏洞挖掘。從而發(fā)現(xiàn)系統(tǒng)存在和可能存在的漏洞,因?yàn)檫\(yùn)用軟件掃描有時(shí)有

79、可能會(huì)出現(xiàn)誤差</p><p><b> ?。?)流量監(jiān)測(cè)</b></p><p>  定期對(duì)網(wǎng)絡(luò)進(jìn)行流量監(jiān)測(cè),因?yàn)橥ㄟ^檢測(cè)出進(jìn)或者出口的流量情況,有助于網(wǎng)絡(luò)安全管理員分析WEB的運(yùn)行情況,發(fā)現(xiàn)進(jìn)出口的流量是否存在異常。防止攻擊者對(duì)網(wǎng)絡(luò)實(shí)行流量攻擊</p><p>  4.5 服務(wù)器安全的防護(hù)</p><p> ?。?)

80、賬戶、密碼管理</p><p>  對(duì)服務(wù)器的賬戶、密碼進(jìn)行嚴(yán)格管理,修改密碼策略,賬戶添加/刪除審批,用戶賬戶的權(quán)限管理/審批等。定期對(duì)服務(wù)器的賬戶、密碼進(jìn)行檢查,看看是否存在異常情況。</p><p><b> ?。?)配置安全策略</b></p><p>  歲服務(wù)器制定相應(yīng)的安全部署策略和安全加固策略,以及訪問策略等,為服務(wù)器及時(shí)安裝漏

81、洞補(bǔ)丁,并定期對(duì)安全策略、補(bǔ)丁等情況進(jìn)行檢查。</p><p> ?。?)日志管理及漏洞檢查</p><p>  對(duì)服務(wù)器日志進(jìn)行統(tǒng)一管理,管理員需定期的歲服務(wù)器進(jìn)行日志分析。發(fā)現(xiàn)異常,應(yīng)及時(shí)的做相應(yīng)的處理,為服務(wù)器進(jìn)行定期的漏洞掃描安全人員也應(yīng)該進(jìn)行相應(yīng)的手工漏洞挖掘工作。并定期對(duì)服務(wù)器進(jìn)行評(píng)估和審計(jì)。做出相應(yīng)的加固,加固必須要嚴(yán)格按照服務(wù)器安全配置方案,加固方案,管理方案進(jìn)行。<

82、/p><p><b>  4.6 漏洞的防護(hù)</b></p><p> ?。?)內(nèi)部主機(jī)的設(shè)置</p><p>  關(guān)閉“文件和打印共享”</p><p>  文件和打印共享可以實(shí)現(xiàn)內(nèi)網(wǎng)中同一網(wǎng)段中的各個(gè)成員之間的文件的傳輸,使用起來很方便,所以很多時(shí)候企業(yè)都會(huì)采用這樣的方式進(jìn)行文件的傳輸,但在不需要它的時(shí)候,文件和打印共享

83、就成了攻擊者入侵內(nèi)部網(wǎng)絡(luò)的很好的安全漏洞。所以在沒有必要“文件和打印共享”的情況下,可以這個(gè)功能關(guān)閉。 </p><p><b>  禁止建立空連接 </b></p><p>  將內(nèi)網(wǎng)的所有計(jì)算機(jī)上禁止建立空連接。默認(rèn)的情況下,所有的用戶都可以通過空連接連上服務(wù)器,所以這樣就會(huì)對(duì)我們的服務(wù)器帶來很大的安全隱患,導(dǎo)致服務(wù)器上的信息泄露。 </p><

84、;p><b>  隱藏IP地址 </b></p><p>  使用代理服務(wù)器將內(nèi)網(wǎng)中的IP地址進(jìn)行隱藏,在內(nèi)網(wǎng)中的主機(jī)上和遠(yuǎn)程服務(wù)器之間架設(shè)一個(gè)“中轉(zhuǎn)站”,當(dāng)內(nèi)網(wǎng)中的主機(jī)向遠(yuǎn)程服務(wù)器提出服務(wù)后,代理服務(wù)器首先截取內(nèi)網(wǎng)主機(jī)的請(qǐng)求,然后代理服務(wù)器將服務(wù)請(qǐng)求轉(zhuǎn)交遠(yuǎn)程服務(wù)器,從而實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的主機(jī)和遠(yuǎn)程服務(wù)器之間的聯(lián)系。使用代理服務(wù)器后,攻擊者只能探測(cè)到道理服務(wù)器的IP地址而不是內(nèi)網(wǎng)中主機(jī)的

85、IP地址,這就實(shí)現(xiàn)了隱藏用戶IP地址的目的,從而保障了內(nèi)網(wǎng)的安全。因?yàn)镮P和計(jì)算機(jī)的關(guān)系就好比身份證上的身份證號(hào)和人的關(guān)系,當(dāng)一個(gè)攻擊則通過掃描工具確定了一臺(tái)主機(jī)的IP地址后,相當(dāng)于他已經(jīng)找到了攻擊的目標(biāo),并通過IP向目標(biāo)主機(jī)發(fā)動(dòng)各種進(jìn)攻,所以隱藏內(nèi)網(wǎng)中的IP地址至關(guān)重要。</p><p><b>  關(guān)閉不必要的端口</b></p><p>  攻擊者在入侵時(shí)常常會(huì)

86、對(duì)目標(biāo)主機(jī)的端口進(jìn)行掃描,安裝了端口監(jiān)視程序,當(dāng)監(jiān)視程序檢測(cè)到有人掃描是就會(huì)有警告提示。并用工具軟件關(guān)閉用不到的端口,進(jìn)一步提高系統(tǒng)的安全新。 </p><p><b>  更換管理員賬戶</b></p><p>  為Adminstrator賬戶設(shè)置一個(gè)強(qiáng)大復(fù)雜的密碼,然后重命名Adminstrator賬戶,再創(chuàng)建一個(gè)沒有管理員權(quán)限的Adminstrator賬戶

87、漆面入侵者,以此來防止攻擊者知道管理員賬戶,從而在一定的程度上保證計(jì)算機(jī)安全。因?yàn)?Adminstrator賬戶擁有最高的系統(tǒng)權(quán)限,一旦攻擊者獲得Adminstrator賬戶權(quán)限,就可以對(duì)系統(tǒng)進(jìn)行任何操作,后果不堪設(shè)想, </p><p>  安裝必要的安全軟件 </p><p>  為內(nèi)網(wǎng)中的各個(gè)主機(jī)安裝必要的防黑軟件、殺毒軟件和防火墻,在一定的程度上保證計(jì)算機(jī)安全。

88、 </p><p><b>  4.7 社會(huì)工程學(xué)</b></p><p>  通過培訓(xùn),使內(nèi)網(wǎng)的工作人員對(duì)社工有個(gè)比較全面的認(rèn)識(shí),學(xué)會(huì)理智地分辨他們身邊存在或可能存在的“社工行為”以及“社工因素”,避免內(nèi)網(wǎng)被"社工"。社會(huì)工程學(xué),在普遍的網(wǎng)絡(luò)攻擊和的APT攻擊中、扮演著非常

89、重要的角色。社會(huì)工程學(xué)的攻擊主要是從“人”開始的。我們?cè)诰W(wǎng)絡(luò)防御中,人也是防御中的一個(gè)重要環(huán)節(jié)。0day漏洞很可怕,可是在網(wǎng)絡(luò)攻擊中的社會(huì)工程學(xué)同樣很可怕,社會(huì)工程學(xué)是一個(gè)很廣泛的攻擊手段,跟技術(shù)性的防范不同,它包含很多的不確定因素,所以要想防范社會(huì)工程學(xué)攻擊還是很有難度的。</p><p> ?。?)防范來內(nèi)網(wǎng)的主動(dòng)/被動(dòng)的社會(huì)工程學(xué)攻擊</p><p>  “主動(dòng)的社會(huì)工程學(xué)攻擊”指來

90、內(nèi)網(wǎng)中"不安分"人員的攻擊。而“被動(dòng)社會(huì)工程學(xué)攻擊”是指內(nèi)網(wǎng)中的人員因?yàn)樾畔⑿孤兜纫蛩?,被外網(wǎng)的攻擊者所利用而引發(fā)的攻擊。絕大部分社工攻擊是通過電子郵件或即時(shí)消息進(jìn)行的。上網(wǎng)行為管理設(shè)備應(yīng)該做到阻止內(nèi)部主機(jī)對(duì)惡意U R L的訪問。</p><p>  (2)防范郵件中的社會(huì)工程學(xué)攻擊</p><p>  許多攻擊者會(huì)采用“郵件”作為主要的攻擊手段,攻擊者通過篡改DNS服

91、務(wù)器上的解析記錄,將對(duì)正常U RL的訪問引導(dǎo)到掛有木馬的網(wǎng)頁上。DNS服務(wù)器,可能是內(nèi)部的緩存服務(wù)器,也可能是外部的DNS服務(wù)器,由于只能對(duì)內(nèi)部DNS服務(wù)器監(jiān)控而無法監(jiān)控外部DNS服務(wù)器的情況,因此不能完全避免這種類型的攻擊[13]。所以,對(duì)這方面,應(yīng)該要特別注意。有些攻擊者可能會(huì)冒充某些正規(guī)網(wǎng)站的名義,然后編個(gè)冠冕堂皇的理由寄一封信給內(nèi)部人員,并要求輸入用戶名稱與密碼,當(dāng)內(nèi)部成員輸入后,如果按下“確定”,那時(shí)用戶名和密碼就會(huì)返回到攻擊

92、者的郵箱。所以內(nèi)網(wǎng)人員不要隨便回陌生人的郵件。</p><p>  4.8 針對(duì)SQL注入的防護(hù)</p><p><b> ?。?)應(yīng)用程序設(shè)計(jì)</b></p><p>  該SQL語句ELECT * FROM Users WHERE Username='username'AND

93、 </p><p>  Password='password’可能會(huì)帶來SQL注入攻擊,因?yàn)楫?dāng)我們?cè)谟脩裘兔艽a地址欄中輸入username = 1'or'1'='1和password=1'or'1'='1,SQL語句就變成了:SELECT * FROM Users WHE

94、RE Username='1' OR '1'='1'AND </p><p>  Password='1'OR '1'='1',該語句恒為真,所以就會(huì)登陸后臺(tái)界面,這樣就會(huì)構(gòu)成SQL注入攻擊,所以我們應(yīng)該對(duì)SQL注入的字符串進(jìn)行有效的過濾[]。常見的一些SQL注入攻擊及

95、正則表示如表4.1所示。</p><p><b>  表4.1正則規(guī)范表</b></p><p>  方案的流程圖如下圖4.2所示:</p><p>  圖4.2 防御流程圖</p><p>  當(dāng)發(fā)現(xiàn)SQL攻擊時(shí),則攔截請(qǐng)求并產(chǎn)生警告信息作為應(yīng)答;如果未發(fā)現(xiàn)攻擊,則提交至系統(tǒng)模塊。獲取數(shù)據(jù)匹配的具體的流程圖如下圖4.3

96、所示:</p><p><b>  圖4.3 匹配流圖</b></p><p>  當(dāng)攔截到Http請(qǐng)求后首先對(duì)請(qǐng)求內(nèi)容進(jìn)行URL解碼,其主要目的是防止攻擊者以URL編碼方式構(gòu)造SQL注入語句。然后檢測(cè)請(qǐng)求數(shù)據(jù)中是否含有SQL注入攻擊常用的關(guān)鍵字以及分隔符,如and、or、1=1、’、等,如果不含有,則可以排除注入攻擊的可能。如果含有則提示登錄信息錯(cuò)誤,并將輸入的數(shù)據(jù)

97、提交至詳細(xì)的規(guī)則檢測(cè),又返回來處理正常請(qǐng)求,并盡可能快地將正常請(qǐng)求提交至系統(tǒng)模塊處理,避免正??蛻魧?duì)網(wǎng)站訪問的延遲影響。對(duì)于包含注入關(guān)鍵字的Web請(qǐng)求,可以遍歷規(guī)則庫對(duì)請(qǐng)求內(nèi)容進(jìn)行詳細(xì)的正則匹配。如果匹配成功,則攔截請(qǐng)求、向客戶端發(fā)送警告。如果匹配失敗,則將請(qǐng)求字符串記錄入可疑攻擊代碼庫,提交網(wǎng)站管理員分析。如果發(fā)現(xiàn)同一源IP地址短時(shí)間內(nèi)多次攻擊,過濾模塊就會(huì)將該IP地址加入黑名單,禁止其在一定時(shí)間內(nèi)訪問,從而防止攻擊者采用窮舉法,最終

98、攻破系統(tǒng)。</p><p>  (2)驗(yàn)證所有的輸入信息 </p><p>  將用戶名和密碼輸入框中輸入的信息進(jìn)行一個(gè)驗(yàn)證處理,例如只能輸入數(shù)值或字符,那么要登陸后臺(tái),則必須滿足通過驗(yàn)證的條件后,才來也正該用戶名和密碼是否正確,確保用戶輸入的都是數(shù)字。如果可以接受字母,那就要檢查是不是存在不可接受的字符。確保你的應(yīng)用程序要檢查以下字符:分號(hào),等號(hào),破折號(hào),括號(hào)以及SQL關(guān)鍵字。

99、使用正則表達(dá)式來進(jìn)行復(fù)雜的模式匹配,限制用戶輸入的字符的長度[21]。所以驗(yàn)證用戶輸入的信息是一個(gè)防止SQL注射攻擊的好方法,從而避免入侵者利用WEB的開放性對(duì)應(yīng)用程序進(jìn)行SQL注射攻擊。</p><p><b> ?。?)用戶權(quán)限</b></p><p>  在應(yīng)用程序中使用的連接數(shù)據(jù)庫的賬戶應(yīng)該是擁有必要的特權(quán),這樣可以有效地保護(hù)整個(gè)系統(tǒng)盡可能少地受到入侵者的危害

100、通過限制用戶權(quán)限,隔離了不同賬戶可執(zhí)行的操作。不同的用戶賬戶擁有不同的權(quán)限,執(zhí)行查詢插入更新刪除等操作的用戶可以是不同的用戶,這樣可以防止原本用于執(zhí)行查詢操作的地方卻被用于執(zhí)行插入、更新或刪除等操作[8]。</p><p>  4.9 防護(hù)方案后的拓?fù)鋱D</p><p>  加了防護(hù)設(shè)備后的網(wǎng)絡(luò)拓補(bǔ)圖如下圖4.4所示:</p><p>  圖4.4 加了防護(hù)方案的拓

101、撲圖</p><p>  在路由出口架設(shè)大流量吞吐量的防火墻,可以有效地防御外部攻擊者對(duì)外部路由進(jìn)行DDoS攻擊,做訪問控制策略,保證內(nèi)網(wǎng)的安全控制,在二層交換機(jī)上部署上網(wǎng)行為管理系統(tǒng),網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),日志審計(jì)管理系統(tǒng),運(yùn)行與維護(hù)安全審計(jì)系統(tǒng)。為服務(wù)器部署數(shù)據(jù)庫審計(jì)系統(tǒng)。以保證數(shù)據(jù)和機(jī)密文件的安全。在員工辦公的區(qū)域架設(shè)行為管理系統(tǒng)。</p><p>  第五章 ATP攻防實(shí)驗(yàn)</p

102、><p>  5.1 實(shí)驗(yàn)平臺(tái)的搭建</p><p>  5.1.1 平臺(tái)拓?fù)鋱D</p><p>  搭建的環(huán)境網(wǎng)絡(luò)拓?fù)鋱D如下圖5.1所示:</p><p>  圖5.1 環(huán)境網(wǎng)絡(luò)拓?fù)鋱D</p><p>  圖5.1是攻擊環(huán)境大概的網(wǎng)絡(luò)拓?fù)洌饕獎(jiǎng)澐謨蓚€(gè)網(wǎng)段,其中192.168.1.0被劃分為外網(wǎng),192.168.2.0被

103、劃分為內(nèi)網(wǎng),是主要的攻擊目標(biāo)。其中內(nèi)網(wǎng)包括PC機(jī)和服務(wù)器,外網(wǎng)就只有PC機(jī)。</p><p>  5.1.2 web的搭建</p><p>  搭建的web系統(tǒng)為“家庭理財(cái)管理系統(tǒng)”,系統(tǒng)開發(fā)規(guī)格如表5.1所示。</p><p><b>  表5.1 環(huán)境設(shè)備</b></p><p>  由于需要搭建到Server 20

104、03上,需要對(duì)Server 2003做如下工作:安裝IIS,配置.netFrame 4.0系統(tǒng)框架,搭建WEB系統(tǒng)等。</p><p><b> ?。?)安裝IIS</b></p><p>  進(jìn)行添加程序界面,單擊“添加/刪除Windows組件”,選中“應(yīng)用程序服務(wù)器”,單擊下一步,如下圖5.2所示:</p><p>  圖5.2 應(yīng)用程序界

105、面</p><p>  安裝過程中需要插入系統(tǒng)安裝光盤,插入光盤后繼續(xù)運(yùn)行。直到IIS安裝完成。</p><p> ?。?)配置.netFrame 4.0系統(tǒng)框架</p><p>  因?yàn)椤凹彝ダ碡?cái)管理系統(tǒng)”是在Frame4.0下開發(fā)的,而Sever 2003系統(tǒng)默認(rèn)只有1.1的框架,因而需要另外安裝.netFrame4.0。安裝步驟如下:從微軟官方網(wǎng)站上下載安裝.

106、netFram4.0前必要安裝的組件wic_x86_enu.exe。如下圖5.3所示:</p><p><b>  圖5.3 完成界面</b></p><p>  從微軟網(wǎng)站上下載dotNetFx40_Full_x86.exe,以配置Frame4.0的環(huán)境。按其默認(rèn)設(shè)置單擊“下一步”即可完成安裝。安裝完成后,Sever 2003系統(tǒng)的Frame 4.0的框架已經(jīng)搭建完

107、畢,如圖5.4所示,通過IIS下的“Web 服務(wù)擴(kuò)展”查看支持的框架。</p><p>  圖5.4 Frame 4.0的框架</p><p> ?。?)發(fā)布WEB系統(tǒng)</p><p>  搭建好所需要的環(huán)境后,就可以進(jìn)行以發(fā)布網(wǎng)站了。右鍵“網(wǎng)站”,單擊“網(wǎng)站”進(jìn)入網(wǎng)站創(chuàng)建向?qū)Ы缑?。輸入網(wǎng)站系統(tǒng)的描述,在這里輸入“myweb”。為網(wǎng)站分配ip地址為192.168.

108、2.5和端口8080。輸入完后如下圖5.5所示:</p><p>  圖5.5 IP設(shè)定界面</p><p>  輸入網(wǎng)站主目錄路徑。設(shè)置訪問權(quán)限,為WEB系統(tǒng)設(shè)置“默認(rèn)內(nèi)容文檔”。為網(wǎng)站設(shè)置為Frame4.0框架。在彈出的提示中單擊“是”即可。至此WEB系統(tǒng)搭建完成,在瀏覽器中輸入http://192.168.2.5:8080可訪問系統(tǒng)主頁。主頁界面如下圖5.6所示</p>

109、<p><b>  圖5.6 主頁界面</b></p><p>  5.1.3 FTP服務(wù)器的搭建</p><p>  安裝ftp服務(wù),將i386文件拷貝到服務(wù)器上或插入Windows2003安裝光盤,單擊“開始-控制面板-添加或刪除程序-添加/刪除Windows組件”選項(xiàng),在“組件”列表中,雙擊“應(yīng)用程序服務(wù)器”選項(xiàng),單擊并選中“Internet信息服務(wù)

110、(IIS)”選項(xiàng),然后單擊“詳細(xì)信息”按鈕,打開“應(yīng)用程序服務(wù)器子組件”窗口。 選中“文件傳輸協(xié)議 (FTP) 服務(wù)”這個(gè)選項(xiàng),單擊確定。單擊“下一步”按鈕。出現(xiàn)提示時(shí),如需要文件i386,則定位到剛才拷貝的i386文件,一直點(diǎn)下一步,最后點(diǎn)完成</p><p>  (1)配置ftp站點(diǎn)</p><p>  點(diǎn)擊“開始”—>“管理工具”—>“Int

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論