信息安全案例教程：技術(shù)與應(yīng)用 教學(xué)課件作者 陳波 Ch6網(wǎng)絡(luò)系統(tǒng)安全 6-1網(wǎng)絡(luò)安全——黑客與網(wǎng)絡(luò)攻擊

《信息安全案例教程：技術(shù)與應(yīng)用 教學(xué)課件作者 陳波 Ch6網(wǎng)絡(luò)系統(tǒng)安全 6-1網(wǎng)絡(luò)安全——黑客與網(wǎng)絡(luò)攻擊》由會(huì)員分享，可在線閱讀，更多相關(guān)《信息安全案例教程：技術(shù)與應(yīng)用 教學(xué)課件作者 陳波 Ch6網(wǎng)絡(luò)系統(tǒng)安全 6-1網(wǎng)絡(luò)安全——黑客與網(wǎng)絡(luò)攻擊（29頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)攻擊分析網(wǎng)絡(luò)攻擊分析南京師范大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院南京師范大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院南京師范大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院南京師范大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院陳 波本講要點(diǎn)：2v1.1.認(rèn)識(shí)黑客認(rèn)識(shí)黑客v2.2.網(wǎng)絡(luò)攻擊一般步驟網(wǎng)絡(luò)攻擊一般步驟v3.APT3.APT攻擊分析攻擊分析1.認(rèn)識(shí)黑客v黑客（黑客（HackerHacker），源于英語(yǔ)動(dòng)詞），源于英語(yǔ)動(dòng)詞hackhack，意為，意為“劈，砍劈，砍”，也就意味著，也就意味著“辟出，開辟辟出，開辟”，進(jìn)一步，進(jìn)一步引申為引申為“干了一件非常漂亮的工作干了一件非常漂亮的工作”。v多數(shù)多數(shù)黑客對(duì)計(jì)算機(jī)非常著迷，對(duì)技術(shù)的局限性有黑客對(duì)計(jì)

2、算機(jī)非常著迷，對(duì)技術(shù)的局限性有充分認(rèn)識(shí)，具有操作系統(tǒng)和編程語(yǔ)言方面的高級(jí)充分認(rèn)識(shí)，具有操作系統(tǒng)和編程語(yǔ)言方面的高級(jí)知識(shí)，熱衷編程，查找漏洞，表現(xiàn)自我。他們不知識(shí)，熱衷編程，查找漏洞，表現(xiàn)自我。他們不斷追求更深的知識(shí)，并公開他們的發(fā)現(xiàn)，與其他斷追求更深的知識(shí)，并公開他們的發(fā)現(xiàn)，與其他人分享；主觀上沒(méi)有破壞數(shù)據(jù)的企圖人分享；主觀上沒(méi)有破壞數(shù)據(jù)的企圖。31.認(rèn)識(shí)黑客v“黑客黑客”一一詞另一個(gè)含意是指對(duì)計(jì)算機(jī)系統(tǒng)詞另一個(gè)含意是指對(duì)計(jì)算機(jī)系統(tǒng)的非法的非法侵入者。侵入者。v美國(guó)警方把所有涉及美國(guó)警方把所有涉及到到“利用利用”、“借助借助”、“通通過(guò)過(guò)”或或“干擾干擾”計(jì)算機(jī)計(jì)算機(jī)的犯罪行為都定為的犯罪行為

3、都定為hackinghacking。vGA163-1997GA163-1997中華人民共和國(guó)公共安全行業(yè)標(biāo)準(zhǔn)中華人民共和國(guó)公共安全行業(yè)標(biāo)準(zhǔn)：對(duì)計(jì)算機(jī)信息系統(tǒng)進(jìn)行非授權(quán)訪問(wèn)的人員。：對(duì)計(jì)算機(jī)信息系統(tǒng)進(jìn)行非授權(quán)訪問(wèn)的人員。v“Cracker”Cracker”（破解者）、（破解者）、“Attacker”Attacker”（攻擊者）（攻擊者）等詞表示對(duì)計(jì)算機(jī)系統(tǒng)的侵害者。等詞表示對(duì)計(jì)算機(jī)系統(tǒng)的侵害者。41.認(rèn)識(shí)黑客v目前黑客已成為一個(gè)廣泛的社會(huì)群體目前黑客已成為一個(gè)廣泛的社會(huì)群體。v在在西方有完全合法的黑客組織、黑客學(xué)會(huì)，這些西方有完全合法的黑客組織、黑客學(xué)會(huì)，這些黑客經(jīng)常召開黑客技術(shù)交流會(huì)黑客經(jīng)常召

4、開黑客技術(shù)交流會(huì)。v在在因特網(wǎng)上，黑客組織有公開網(wǎng)站，提供免費(fèi)的因特網(wǎng)上，黑客組織有公開網(wǎng)站，提供免費(fèi)的黑客工具軟件，介紹黑客手法，出版網(wǎng)上黑客雜黑客工具軟件，介紹黑客手法，出版網(wǎng)上黑客雜志和書籍，但是他們所有的行為都要在法律的框志和書籍，但是他們所有的行為都要在法律的框架下。架下。51.認(rèn)識(shí)黑客v目前黑客已成為一個(gè)廣泛的社會(huì)群體目前黑客已成為一個(gè)廣泛的社會(huì)群體。6本講要點(diǎn)：7v1.1.認(rèn)識(shí)黑客認(rèn)識(shí)黑客v2.2.網(wǎng)絡(luò)攻擊一般步驟網(wǎng)絡(luò)攻擊一般步驟v3.APT3.APT攻擊分析攻擊分析2.網(wǎng)絡(luò)攻擊一般步驟v為什么？為什么？vv在因特網(wǎng)上的主機(jī)均有自己的網(wǎng)絡(luò)地址，因此在因特網(wǎng)上的主機(jī)均有自己的網(wǎng)絡(luò)地

5、址，因此攻擊者在實(shí)施攻擊活動(dòng)時(shí)的首要步驟是設(shè)法隱攻擊者在實(shí)施攻擊活動(dòng)時(shí)的首要步驟是設(shè)法隱藏自己所在的網(wǎng)絡(luò)位置，如藏自己所在的網(wǎng)絡(luò)位置，如IPIP地址和域名，這地址和域名，這樣使調(diào)查者難以發(fā)現(xiàn)真正的攻擊來(lái)源。樣使調(diào)查者難以發(fā)現(xiàn)真正的攻擊來(lái)源。v怎么做？怎么做？vv利用利用被侵入的主機(jī)（俗稱被侵入的主機(jī)（俗稱“肉雞肉雞”）作為跳板）作為跳板進(jìn)行攻擊，這樣即使被發(fā)現(xiàn)了，也是進(jìn)行攻擊，這樣即使被發(fā)現(xiàn)了，也是“肉雞肉雞”的的IPIP地址。地址。vv使用使用多級(jí)代理，這樣在被入侵主機(jī)上留下的是多級(jí)代理，這樣在被入侵主機(jī)上留下的是代理計(jì)算機(jī)的代理計(jì)算機(jī)的IPIP地址。地址。vv偽造偽造IPIP地址。地址。v

6、v假冒假冒用戶賬號(hào)。用戶賬號(hào)。隱藏攻擊源隱藏攻擊源隱藏攻擊源隱藏攻擊源82.網(wǎng)絡(luò)攻擊一般步驟v為什么？為什么？vv攻擊攻擊者搜集目標(biāo)的信息，并進(jìn)行者搜集目標(biāo)的信息，并進(jìn)行綜合、整理綜合、整理和分析后，能夠初步了解一個(gè)機(jī)構(gòu)的安全態(tài)和分析后，能夠初步了解一個(gè)機(jī)構(gòu)的安全態(tài)勢(shì)，并能夠據(jù)此擬定出一個(gè)攻擊方案勢(shì)，并能夠據(jù)此擬定出一個(gè)攻擊方案。v怎么做？怎么做？vv確定確定攻擊目標(biāo)。攻擊目標(biāo)。vv踩點(diǎn)。踩點(diǎn)。vv掃描。掃描。vv嗅嗅探探。vv視頻：頂級(jí)黑客米特尼克演示視頻：頂級(jí)黑客米特尼克演示視頻：頂級(jí)黑客米特尼克演示視頻：頂級(jí)黑客米特尼克演示無(wú)線無(wú)線無(wú)線無(wú)線網(wǎng)中嗅探銀行賬號(hào)網(wǎng)中嗅探銀行賬號(hào)網(wǎng)中嗅探銀行賬號(hào)

7、網(wǎng)中嗅探銀行賬號(hào)隱藏攻擊源隱藏攻擊源隱藏攻擊源隱藏攻擊源信息搜集信息搜集信息搜集信息搜集92.網(wǎng)絡(luò)攻擊一般步驟v為什么？為什么？vv一般賬戶對(duì)目標(biāo)系統(tǒng)只有有限的訪問(wèn)權(quán)限，要一般賬戶對(duì)目標(biāo)系統(tǒng)只有有限的訪問(wèn)權(quán)限，要達(dá)到某些攻擊目的，攻擊者只有得到系統(tǒng)或管達(dá)到某些攻擊目的，攻擊者只有得到系統(tǒng)或管理員權(quán)限，才能控制目標(biāo)主機(jī)實(shí)施進(jìn)一步的攻理員權(quán)限，才能控制目標(biāo)主機(jī)實(shí)施進(jìn)一步的攻擊擊。v怎么做？怎么做？vv系統(tǒng)口令系統(tǒng)口令猜測(cè)猜測(cè)vv種植木馬種植木馬vv會(huì)話會(huì)話劫持等劫持等隱藏攻擊源隱藏攻擊源隱藏攻擊源隱藏攻擊源信息搜集信息搜集信息搜集信息搜集掌握系統(tǒng)控掌握系統(tǒng)控掌握系統(tǒng)控掌握系統(tǒng)控制權(quán)制權(quán)制權(quán)制權(quán)10

8、2.網(wǎng)絡(luò)攻擊一般步驟v為什么？為什么？vv不同的攻擊者有不同的攻擊目的，無(wú)外乎是破不同的攻擊者有不同的攻擊目的，無(wú)外乎是破壞機(jī)密性、完整性和可用性等壞機(jī)密性、完整性和可用性等v怎么做？怎么做？vv下載下載、修改或刪除敏感信息。、修改或刪除敏感信息。vv攻擊攻擊其它被信任的主機(jī)和網(wǎng)絡(luò)。其它被信任的主機(jī)和網(wǎng)絡(luò)。vv癱瘓癱瘓網(wǎng)絡(luò)或服務(wù)。網(wǎng)絡(luò)或服務(wù)。vv其它其它非法活動(dòng)。非法活動(dòng)。隱藏攻擊源隱藏攻擊源隱藏攻擊源隱藏攻擊源信息搜集信息搜集信息搜集信息搜集掌握系統(tǒng)控掌握系統(tǒng)控掌握系統(tǒng)控掌握系統(tǒng)控制權(quán)制權(quán)制權(quán)制權(quán)實(shí)施攻擊實(shí)施攻擊實(shí)施攻擊實(shí)施攻擊112.網(wǎng)絡(luò)攻擊一般步驟v為什么？為什么？vv一次成功的入侵通常

9、要耗費(fèi)攻擊者的大量時(shí)間一次成功的入侵通常要耗費(fèi)攻擊者的大量時(shí)間與精力，所以精于算計(jì)的攻擊者在退出系統(tǒng)之與精力，所以精于算計(jì)的攻擊者在退出系統(tǒng)之前會(huì)在系統(tǒng)中安裝后門，以保持對(duì)已經(jīng)入侵主前會(huì)在系統(tǒng)中安裝后門，以保持對(duì)已經(jīng)入侵主機(jī)的長(zhǎng)期控制。機(jī)的長(zhǎng)期控制。v怎么做？怎么做？vv放寬放寬系統(tǒng)許可權(quán)。系統(tǒng)許可權(quán)。vv重新重新開放不安全的服務(wù)。開放不安全的服務(wù)。vv修改修改系統(tǒng)的配置，如系統(tǒng)啟動(dòng)文件、網(wǎng)絡(luò)服務(wù)系統(tǒng)的配置，如系統(tǒng)啟動(dòng)文件、網(wǎng)絡(luò)服務(wù)配置文件等。配置文件等。vv替換替換系統(tǒng)本身的共享庫(kù)文件。系統(tǒng)本身的共享庫(kù)文件。vv安裝安裝各種木馬，修改系統(tǒng)的源代碼。各種木馬，修改系統(tǒng)的源代碼。隱藏攻擊源隱藏攻

10、擊源隱藏攻擊源隱藏攻擊源信息搜集信息搜集信息搜集信息搜集掌握系統(tǒng)控掌握系統(tǒng)控掌握系統(tǒng)控掌握系統(tǒng)控制權(quán)制權(quán)制權(quán)制權(quán)實(shí)施攻擊實(shí)施攻擊實(shí)施攻擊實(shí)施攻擊安裝后門安裝后門安裝后門安裝后門122.網(wǎng)絡(luò)攻擊一般步驟v為什么？為什么？vv一次成功入侵之后，通常攻擊者的活動(dòng)在被攻一次成功入侵之后，通常攻擊者的活動(dòng)在被攻擊主機(jī)上的一些日志文檔中會(huì)有記載，如攻擊擊主機(jī)上的一些日志文檔中會(huì)有記載，如攻擊者的者的IPIP地址、入侵的時(shí)間以及進(jìn)行的操作等等，地址、入侵的時(shí)間以及進(jìn)行的操作等等，這樣很容易被管理員發(fā)現(xiàn)。為此，攻擊者往往這樣很容易被管理員發(fā)現(xiàn)。為此，攻擊者往往在入侵完畢后清除登錄日志等攻擊痕跡。在入侵完畢后清

11、除登錄日志等攻擊痕跡。v怎么做？怎么做？vv清除清除或篡改日志文件?；虼鄹娜罩疚募v改變改變系統(tǒng)時(shí)間造成日志文件數(shù)據(jù)紊亂以迷惑系系統(tǒng)時(shí)間造成日志文件數(shù)據(jù)紊亂以迷惑系統(tǒng)管理員。統(tǒng)管理員。vv利用利用前面介紹的代理跳板隱藏真實(shí)的攻擊者和前面介紹的代理跳板隱藏真實(shí)的攻擊者和攻擊路徑。攻擊路徑。隱藏攻擊源隱藏攻擊源隱藏攻擊源隱藏攻擊源信息搜集信息搜集信息搜集信息搜集掌握系統(tǒng)控掌握系統(tǒng)控掌握系統(tǒng)控掌握系統(tǒng)控制權(quán)制權(quán)制權(quán)制權(quán)實(shí)施攻擊實(shí)施攻擊實(shí)施攻擊實(shí)施攻擊安裝后門安裝后門安裝后門安裝后門隱藏隱藏隱藏隱藏攻擊攻擊攻擊攻擊痕跡痕跡痕跡痕跡13本講要點(diǎn)：14v1.1.認(rèn)識(shí)黑客認(rèn)識(shí)黑客v2.2.網(wǎng)絡(luò)攻擊一般步

12、驟網(wǎng)絡(luò)攻擊一般步驟v3.APT3.APT攻擊分析攻擊分析3.APT攻擊分析15vv定義：定義：vv20112011年美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院年美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院NISTNIST發(fā)布了發(fā)布了SP800-39SP800-39管理信息安全風(fēng)險(xiǎn)管理信息安全風(fēng)險(xiǎn)，其中對(duì)，其中對(duì)APTAPT的定義為的定義為vv攻擊攻擊者掌握先進(jìn)的專業(yè)知識(shí)和有效的資源，通過(guò)多種攻擊途者掌握先進(jìn)的專業(yè)知識(shí)和有效的資源，通過(guò)多種攻擊途徑（如網(wǎng)絡(luò)、物理設(shè)施和欺騙等），在特定組織的信息技術(shù)徑（如網(wǎng)絡(luò)、物理設(shè)施和欺騙等），在特定組織的信息技術(shù)基礎(chǔ)設(shè)施建立并轉(zhuǎn)移立足點(diǎn)，以竊取機(jī)密信息，破壞或阻礙基礎(chǔ)設(shè)施建立并轉(zhuǎn)移立足點(diǎn)，以竊取機(jī)

13、密信息，破壞或阻礙任務(wù)、程序或組織的關(guān)鍵系統(tǒng)，或者駐留在組織的內(nèi)部網(wǎng)絡(luò)，任務(wù)、程序或組織的關(guān)鍵系統(tǒng)，或者駐留在組織的內(nèi)部網(wǎng)絡(luò)，進(jìn)行后續(xù)攻擊。進(jìn)行后續(xù)攻擊。3.APT攻擊分析16vv定義：定義：vv可以從可以從“A”A”、“P”P”、“T”T”三個(gè)方面來(lái)理解三個(gè)方面來(lái)理解NISTNIST對(duì)對(duì)APTAPT的的定義定義:vv1 1）A A（AdvancedAdvanced）：技術(shù)高級(jí)）：技術(shù)高級(jí)。vv2 2）P P（PersistentPersistent）：持續(xù)時(shí)間長(zhǎng)）：持續(xù)時(shí)間長(zhǎng)。vv3 3）T T（ThreatThreat）：威脅性大）：威脅性大。3.APT攻擊分析17vvAPTAPT攻擊產(chǎn)生

14、的背景：攻擊產(chǎn)生的背景：vv1 1）APTAPT攻擊成為國(guó)家層面信息對(duì)抗的需求。攻擊成為國(guó)家層面信息對(duì)抗的需求。當(dāng)前，國(guó)際形勢(shì)正經(jīng)歷當(dāng)前，國(guó)際形勢(shì)正經(jīng)歷“冷戰(zhàn)冷戰(zhàn)”結(jié)束以來(lái)最為深刻復(fù)雜的變化。金結(jié)束以來(lái)最為深刻復(fù)雜的變化。金融危機(jī)以來(lái)的世界形勢(shì)如同二十世紀(jì)初一樣，出現(xiàn)新一輪的動(dòng)蕩不融危機(jī)以來(lái)的世界形勢(shì)如同二十世紀(jì)初一樣，出現(xiàn)新一輪的動(dòng)蕩不安，全球經(jīng)濟(jì)復(fù)蘇緩慢，西亞北非政局動(dòng)蕩，軍備競(jìng)賽愈演愈烈。安，全球經(jīng)濟(jì)復(fù)蘇緩慢，西亞北非政局動(dòng)蕩，軍備競(jìng)賽愈演愈烈。各國(guó)展開了政治、經(jīng)濟(jì)、文化、軍事和科技全方位的較量。各國(guó)展開了政治、經(jīng)濟(jì)、文化、軍事和科技全方位的較量。如今，各國(guó)的關(guān)鍵部門、重要產(chǎn)業(yè)等經(jīng)濟(jì)社會(huì)

15、領(lǐng)域，正在被互聯(lián)網(wǎng)如今，各國(guó)的關(guān)鍵部門、重要產(chǎn)業(yè)等經(jīng)濟(jì)社會(huì)領(lǐng)域，正在被互聯(lián)網(wǎng)聯(lián)成一體，形成各個(gè)國(guó)家的聯(lián)成一體，形成各個(gè)國(guó)家的“關(guān)鍵性基礎(chǔ)設(shè)施關(guān)鍵性基礎(chǔ)設(shè)施”，包括政務(wù)、電力、，包括政務(wù)、電力、交通、能源、通信、航空、金融、傳媒、軍事等領(lǐng)域的網(wǎng)絡(luò)系統(tǒng)。交通、能源、通信、航空、金融、傳媒、軍事等領(lǐng)域的網(wǎng)絡(luò)系統(tǒng)。因而，各國(guó)都十分看重網(wǎng)絡(luò)空間的跨國(guó)屬性和戰(zhàn)略價(jià)值。國(guó)家之間因而，各國(guó)都十分看重網(wǎng)絡(luò)空間的跨國(guó)屬性和戰(zhàn)略價(jià)值。國(guó)家之間的對(duì)抗也由原來(lái)的軍事對(duì)抗轉(zhuǎn)變?yōu)樾畔?duì)抗；國(guó)家之間的打擊也從的對(duì)抗也由原來(lái)的軍事對(duì)抗轉(zhuǎn)變?yōu)樾畔?duì)抗；國(guó)家之間的打擊也從傳統(tǒng)的物理打擊變?yōu)槿缃駭?shù)字戰(zhàn)場(chǎng)。在這些復(fù)雜因素的驅(qū)動(dòng)下，傳統(tǒng)

16、的物理打擊變?yōu)槿缃駭?shù)字戰(zhàn)場(chǎng)。在這些復(fù)雜因素的驅(qū)動(dòng)下，APTAPT攻擊成為國(guó)家層面信息對(duì)抗的需求。攻擊成為國(guó)家層面信息對(duì)抗的需求。3.APT攻擊分析18vvAPTAPT攻擊產(chǎn)生的背景：攻擊產(chǎn)生的背景：vv2 2）社交網(wǎng)絡(luò)的廣泛應(yīng)用為）社交網(wǎng)絡(luò)的廣泛應(yīng)用為APTAPT攻擊提供了可能。攻擊提供了可能。社交網(wǎng)絡(luò)正在從根本上改變我們辦公、交友、生活的方式，它消除社交網(wǎng)絡(luò)正在從根本上改變我們辦公、交友、生活的方式，它消除了由網(wǎng)絡(luò)設(shè)備形成的有形邊界，成為跨越傳統(tǒng)網(wǎng)絡(luò)安全邊界的無(wú)形了由網(wǎng)絡(luò)設(shè)備形成的有形邊界，成為跨越傳統(tǒng)網(wǎng)絡(luò)安全邊界的無(wú)形通道通道。Carl Carl TimmTimm在在20102010年出版

17、的年出版的Seven Deadliest Social Seven Deadliest Social Network AttacksNetwork Attacks一書中詳細(xì)分析了社交網(wǎng)絡(luò)的七大威脅：社一書中詳細(xì)分析了社交網(wǎng)絡(luò)的七大威脅：社交網(wǎng)絡(luò)基礎(chǔ)設(shè)施攻擊、惡意軟件攻擊、釣魚攻擊、冒充攻擊、身份交網(wǎng)絡(luò)基礎(chǔ)設(shè)施攻擊、惡意軟件攻擊、釣魚攻擊、冒充攻擊、身份竊取、網(wǎng)上欺凌、物理威脅竊取、網(wǎng)上欺凌、物理威脅；著名著名的網(wǎng)絡(luò)安全公司的網(wǎng)絡(luò)安全公司Blue CoatBlue Coat在在20112011年發(fā)布的年發(fā)布的Web Security Web Security ReportReport中列出了社交

18、網(wǎng)絡(luò)中存在的一些潛在威脅：動(dòng)態(tài)鏈接、中列出了社交網(wǎng)絡(luò)中存在的一些潛在威脅：動(dòng)態(tài)鏈接、釣魚攻擊、點(diǎn)擊劫持、數(shù)據(jù)泄露。社交網(wǎng)絡(luò)通過(guò)廣泛存在的社交交釣魚攻擊、點(diǎn)擊劫持、數(shù)據(jù)泄露。社交網(wǎng)絡(luò)通過(guò)廣泛存在的社交交友關(guān)系，為友關(guān)系，為APTAPT攻擊搜集信息、持續(xù)滲透提供了可能。攻擊搜集信息、持續(xù)滲透提供了可能。3.APT攻擊分析19vvAPTAPT攻擊產(chǎn)生的背景：攻擊產(chǎn)生的背景：vv3 3）復(fù)雜脆弱的）復(fù)雜脆弱的ITIT環(huán)境還沒(méi)有做好應(yīng)對(duì)的準(zhǔn)備，造成環(huán)境還沒(méi)有做好應(yīng)對(duì)的準(zhǔn)備，造成APTAPT攻攻擊事件頻發(fā)。擊事件頻發(fā)。傳統(tǒng)的網(wǎng)絡(luò)安全防御雖然在網(wǎng)絡(luò)安全邊界、可信內(nèi)網(wǎng)、終端等關(guān)鍵傳統(tǒng)的網(wǎng)絡(luò)安全防御雖然在網(wǎng)絡(luò)安

19、全邊界、可信內(nèi)網(wǎng)、終端等關(guān)鍵區(qū)域構(gòu)建了分層的防御體系，并且建立了風(fēng)險(xiǎn)評(píng)估、攻擊防護(hù)、入?yún)^(qū)域構(gòu)建了分層的防御體系，并且建立了風(fēng)險(xiǎn)評(píng)估、攻擊防護(hù)、入侵檢測(cè)、響應(yīng)恢復(fù)等動(dòng)態(tài)安全機(jī)制，但是防護(hù)的整體性一直沒(méi)有達(dá)侵檢測(cè)、響應(yīng)恢復(fù)等動(dòng)態(tài)安全機(jī)制，但是防護(hù)的整體性一直沒(méi)有達(dá)到應(yīng)對(duì)不斷變化安全威脅的需求到應(yīng)對(duì)不斷變化安全威脅的需求。此外此外，目前公司復(fù)雜的網(wǎng)絡(luò)環(huán)境、大量有漏洞的應(yīng)用軟件，使得攻，目前公司復(fù)雜的網(wǎng)絡(luò)環(huán)境、大量有漏洞的應(yīng)用軟件，使得攻擊者更加容易找到薄弱環(huán)節(jié)和安全漏洞，再加上員工普遍使用智能擊者更加容易找到薄弱環(huán)節(jié)和安全漏洞，再加上員工普遍使用智能終端和社交應(yīng)用，為攻擊者提供了多種攻擊途徑。終端和

20、社交應(yīng)用，為攻擊者提供了多種攻擊途徑。3.APT攻擊分析20vvAPTAPT攻擊一般過(guò)程攻擊一般過(guò)程：vv1 1）信息偵查）信息偵查：vv在在入侵之前，攻擊者首先入侵之前，攻擊者首先會(huì)會(huì)使用使用技術(shù)和社會(huì)工程學(xué)技術(shù)和社會(huì)工程學(xué)手段手段對(duì)對(duì)特定目標(biāo)進(jìn)行偵查特定目標(biāo)進(jìn)行偵查。vv偵查偵查內(nèi)容主要包括兩個(gè)方面，一是對(duì)目標(biāo)網(wǎng)絡(luò)用戶的信息收集，例內(nèi)容主要包括兩個(gè)方面，一是對(duì)目標(biāo)網(wǎng)絡(luò)用戶的信息收集，例如高層領(lǐng)導(dǎo)、系統(tǒng)管理員或者普通職員等員工資料、系統(tǒng)管理制度、如高層領(lǐng)導(dǎo)、系統(tǒng)管理員或者普通職員等員工資料、系統(tǒng)管理制度、系統(tǒng)業(yè)務(wù)流程和使用情況等關(guān)鍵信息系統(tǒng)業(yè)務(wù)流程和使用情況等關(guān)鍵信息；vv二二是對(duì)目標(biāo)網(wǎng)絡(luò)脆

21、弱點(diǎn)的信息收集，例如軟件版本、開放端口等。是對(duì)目標(biāo)網(wǎng)絡(luò)脆弱點(diǎn)的信息收集，例如軟件版本、開放端口等。隨后，攻擊者針對(duì)目標(biāo)系統(tǒng)的脆弱點(diǎn)，研究隨后，攻擊者針對(duì)目標(biāo)系統(tǒng)的脆弱點(diǎn)，研究0 day0 day漏洞、定制木馬程漏洞、定制木馬程序、制訂攻擊計(jì)劃，用于在下一階段實(shí)施精確攻擊。序、制訂攻擊計(jì)劃，用于在下一階段實(shí)施精確攻擊。一般用戶一般用戶一般用戶一般用戶特權(quán)用戶特權(quán)用戶特權(quán)用戶特權(quán)用戶關(guān)關(guān)關(guān)關(guān) 鍵鍵鍵鍵 信信信信息資產(chǎn)息資產(chǎn)息資產(chǎn)息資產(chǎn)1 1 信息偵查信息偵查信息偵查信息偵查1 1 信息偵查信息偵查信息偵查信息偵查3.APT攻擊分析21vvAPTAPT攻擊一般過(guò)程攻擊一般過(guò)程：vv2 2）持續(xù)滲透：

22、）持續(xù)滲透：vv利用利用目標(biāo)人員的疏忽、不執(zhí)行安全規(guī)范，以及利用系統(tǒng)應(yīng)目標(biāo)人員的疏忽、不執(zhí)行安全規(guī)范，以及利用系統(tǒng)應(yīng)用程序、網(wǎng)絡(luò)服務(wù)或主機(jī)的漏洞，攻擊者使用定制木馬用程序、網(wǎng)絡(luò)服務(wù)或主機(jī)的漏洞，攻擊者使用定制木馬等手段不斷滲透以潛伏在目標(biāo)系統(tǒng)，進(jìn)一步地在避免用等手段不斷滲透以潛伏在目標(biāo)系統(tǒng)，進(jìn)一步地在避免用戶覺察的條件下取得網(wǎng)絡(luò)核心設(shè)備的控制權(quán)戶覺察的條件下取得網(wǎng)絡(luò)核心設(shè)備的控制權(quán)。一般用戶一般用戶一般用戶一般用戶特權(quán)用戶特權(quán)用戶特權(quán)用戶特權(quán)用戶關(guān)關(guān)關(guān)關(guān) 鍵鍵鍵鍵 信信信信息資產(chǎn)息資產(chǎn)息資產(chǎn)息資產(chǎn)1 1 信息偵查信息偵查信息偵查信息偵查1 1 信息偵查信息偵查信息偵查信息偵查2 2 持續(xù)滲透持

23、續(xù)滲透持續(xù)滲透持續(xù)滲透2 2 持續(xù)滲透持續(xù)滲透持續(xù)滲透持續(xù)滲透3.APT攻擊分析22vvAPTAPT攻擊一般過(guò)程攻擊一般過(guò)程：vv3 3）長(zhǎng)期潛伏：）長(zhǎng)期潛伏：vv為了為了獲取有價(jià)值信息，攻擊者一般會(huì)在目標(biāo)網(wǎng)絡(luò)長(zhǎng)期潛伏，獲取有價(jià)值信息，攻擊者一般會(huì)在目標(biāo)網(wǎng)絡(luò)長(zhǎng)期潛伏，有的達(dá)數(shù)年之久有的達(dá)數(shù)年之久。vv潛伏期潛伏期間，攻擊者還會(huì)在已控制的主機(jī)上安裝各種木馬、間，攻擊者還會(huì)在已控制的主機(jī)上安裝各種木馬、后門，不斷提高惡意軟件的復(fù)雜度，以增強(qiáng)攻擊能力并后門，不斷提高惡意軟件的復(fù)雜度，以增強(qiáng)攻擊能力并避開安全檢測(cè)。避開安全檢測(cè)。一般用戶一般用戶一般用戶一般用戶特權(quán)用戶特權(quán)用戶特權(quán)用戶特權(quán)用戶關(guān)關(guān)關(guān)關(guān)

24、鍵鍵鍵鍵 信信信信息資產(chǎn)息資產(chǎn)息資產(chǎn)息資產(chǎn)1 1 信息偵查信息偵查信息偵查信息偵查1 1 信息偵查信息偵查信息偵查信息偵查2 2 持續(xù)滲透持續(xù)滲透持續(xù)滲透持續(xù)滲透2 2 持續(xù)滲透持續(xù)滲透持續(xù)滲透持續(xù)滲透3 3 長(zhǎng)期潛伏長(zhǎng)期潛伏長(zhǎng)期潛伏長(zhǎng)期潛伏3 3 長(zhǎng)期潛伏長(zhǎng)期潛伏長(zhǎng)期潛伏長(zhǎng)期潛伏3.APT攻擊分析23vvAPTAPT攻擊一般過(guò)程攻擊一般過(guò)程：vv4 4）竊取信息：）竊取信息：vv目前目前絕大部分絕大部分APTAPT攻擊的目的都是為了竊取目標(biāo)組織的攻擊的目的都是為了竊取目標(biāo)組織的機(jī)密信息機(jī)密信息。一般用戶一般用戶一般用戶一般用戶特權(quán)用戶特權(quán)用戶特權(quán)用戶特權(quán)用戶關(guān)關(guān)關(guān)關(guān) 鍵鍵鍵鍵 信信信信息資產(chǎn)

25、息資產(chǎn)息資產(chǎn)息資產(chǎn)1 1 信息偵查信息偵查信息偵查信息偵查1 1 信息偵查信息偵查信息偵查信息偵查2 2 持續(xù)滲透持續(xù)滲透持續(xù)滲透持續(xù)滲透2 2 持續(xù)滲透持續(xù)滲透持續(xù)滲透持續(xù)滲透3 3 長(zhǎng)期潛伏長(zhǎng)期潛伏長(zhǎng)期潛伏長(zhǎng)期潛伏3 3 長(zhǎng)期潛伏長(zhǎng)期潛伏長(zhǎng)期潛伏長(zhǎng)期潛伏4 4 竊取信息竊取信息竊取信息竊取信息3.APT攻擊分析24vvAPTAPT攻擊與傳統(tǒng)攻擊比較攻擊與傳統(tǒng)攻擊比較：描述描述描述描述屬性屬性屬性屬性APTAPT攻擊攻擊攻擊攻擊傳統(tǒng)攻擊傳統(tǒng)攻擊傳統(tǒng)攻擊傳統(tǒng)攻擊WhoWho攻擊者攻擊者攻擊者攻擊者資金充足、有組織、有背景資金充足、有組織、有背景資金充足、有組織、有背景資金充足、有組織、有背景的

26、黑客團(tuán)隊(duì)的黑客團(tuán)隊(duì)的黑客團(tuán)隊(duì)的黑客團(tuán)隊(duì)大范圍尋找目標(biāo)大范圍尋找目標(biāo)大范圍尋找目標(biāo)大范圍尋找目標(biāo)WhatWhat目標(biāo)對(duì)象目標(biāo)對(duì)象目標(biāo)對(duì)象目標(biāo)對(duì)象國(guó)家重要基礎(chǔ)設(shè)施，重點(diǎn)組國(guó)家重要基礎(chǔ)設(shè)施，重點(diǎn)組國(guó)家重要基礎(chǔ)設(shè)施，重點(diǎn)組國(guó)家重要基礎(chǔ)設(shè)施，重點(diǎn)組織和人物織和人物織和人物織和人物在線用戶在線用戶在線用戶在線用戶目標(biāo)數(shù)據(jù)目標(biāo)數(shù)據(jù)目標(biāo)數(shù)據(jù)目標(biāo)數(shù)據(jù)價(jià)值很高的電子資產(chǎn)，如知價(jià)值很高的電子資產(chǎn)，如知價(jià)值很高的電子資產(chǎn)，如知價(jià)值很高的電子資產(chǎn)，如知識(shí)產(chǎn)權(quán)、國(guó)家安全數(shù)據(jù)、商識(shí)產(chǎn)權(quán)、國(guó)家安全數(shù)據(jù)、商識(shí)產(chǎn)權(quán)、國(guó)家安全數(shù)據(jù)、商識(shí)產(chǎn)權(quán)、國(guó)家安全數(shù)據(jù)、商業(yè)機(jī)密等業(yè)機(jī)密等業(yè)機(jī)密等業(yè)機(jī)密等信用卡數(shù)據(jù)、個(gè)人信信用卡數(shù)據(jù)、個(gè)人信信用卡

27、數(shù)據(jù)、個(gè)人信信用卡數(shù)據(jù)、個(gè)人信息等息等息等息等WhyWhy目的目的目的目的提升國(guó)家的戰(zhàn)略優(yōu)勢(shì)，操作提升國(guó)家的戰(zhàn)略優(yōu)勢(shì)，操作提升國(guó)家的戰(zhàn)略優(yōu)勢(shì)，操作提升國(guó)家的戰(zhàn)略優(yōu)勢(shì)，操作市場(chǎng)，摧毀關(guān)鍵設(shè)施等市場(chǎng)，摧毀關(guān)鍵設(shè)施等市場(chǎng)，摧毀關(guān)鍵設(shè)施等市場(chǎng)，摧毀關(guān)鍵設(shè)施等獲獲獲獲得得得得經(jīng)經(jīng)經(jīng)經(jīng)濟(jì)濟(jì)濟(jì)濟(jì)利利利利益益益益，身身身身份份份份竊取等竊取等竊取等竊取等HowHow手段手段手段手段深入調(diào)查研究公司員工信息、深入調(diào)查研究公司員工信息、深入調(diào)查研究公司員工信息、深入調(diào)查研究公司員工信息、商業(yè)業(yè)務(wù)和網(wǎng)絡(luò)拓?fù)洌羯虡I(yè)業(yè)務(wù)和網(wǎng)絡(luò)拓?fù)?，攻擊商業(yè)業(yè)務(wù)和網(wǎng)絡(luò)拓?fù)洌羯虡I(yè)業(yè)務(wù)和網(wǎng)絡(luò)拓?fù)?，攻擊終端用戶和終端設(shè)備終端用戶和終端

28、設(shè)備終端用戶和終端設(shè)備終端用戶和終端設(shè)備傳傳傳傳統(tǒng)統(tǒng)統(tǒng)統(tǒng)技技技技術(shù)術(shù)術(shù)術(shù)手手手手段段段段，重重重重點(diǎn)點(diǎn)點(diǎn)點(diǎn)攻擊安全邊界攻擊安全邊界攻擊安全邊界攻擊安全邊界工具工具工具工具針對(duì)目標(biāo)漏洞定制攻擊工具針對(duì)目標(biāo)漏洞定制攻擊工具針對(duì)目標(biāo)漏洞定制攻擊工具針對(duì)目標(biāo)漏洞定制攻擊工具常用掃描工具、木馬常用掃描工具、木馬常用掃描工具、木馬常用掃描工具、木馬0day0day攻擊攻擊攻擊攻擊使用使用使用使用普遍普遍普遍普遍極少極少極少極少遇到阻力遇到阻力遇到阻力遇到阻力構(gòu)造新的方法或工具構(gòu)造新的方法或工具構(gòu)造新的方法或工具構(gòu)造新的方法或工具轉(zhuǎn)到其它脆弱機(jī)器轉(zhuǎn)到其它脆弱機(jī)器轉(zhuǎn)到其它脆弱機(jī)器轉(zhuǎn)到其它脆弱機(jī)器3.APT攻擊

29、分析vvAPTAPT攻擊與傳統(tǒng)攻擊比較攻擊與傳統(tǒng)攻擊比較：vv通過(guò)表通過(guò)表6-16-1的比較可以更加清晰地認(rèn)識(shí)的比較可以更加清晰地認(rèn)識(shí)APTAPT攻擊的兩個(gè)顯攻擊的兩個(gè)顯著特點(diǎn)：著特點(diǎn)：vv1 1）目標(biāo)明確）目標(biāo)明確：攻擊者一般在攻擊之前會(huì)有明確的攻擊目：攻擊者一般在攻擊之前會(huì)有明確的攻擊目標(biāo)，這里的目標(biāo)主要包括兩個(gè)方面標(biāo)，這里的目標(biāo)主要包括兩個(gè)方面，一一是組織目標(biāo)，如針對(duì)某個(gè)特定行業(yè)或某國(guó)政府的重是組織目標(biāo)，如針對(duì)某個(gè)特定行業(yè)或某國(guó)政府的重要基礎(chǔ)設(shè)施要基礎(chǔ)設(shè)施；二二是行動(dòng)目標(biāo)，例如竊取機(jī)密信息或是破壞關(guān)鍵系統(tǒng)。是行動(dòng)目標(biāo)，例如竊取機(jī)密信息或是破壞關(guān)鍵系統(tǒng)。253.APT攻擊分析vvAPTAP

30、T攻擊與傳統(tǒng)攻擊比較攻擊與傳統(tǒng)攻擊比較：vv通過(guò)表通過(guò)表6-16-1的比較可以更加清晰地認(rèn)識(shí)的比較可以更加清晰地認(rèn)識(shí)APTAPT攻擊的兩個(gè)顯攻擊的兩個(gè)顯著特點(diǎn)：著特點(diǎn)：vv2 2）手段多樣）手段多樣：攻擊攻擊者在信息偵查階段主要采用社會(huì)工程學(xué)方法，會(huì)花較長(zhǎng)時(shí)間者在信息偵查階段主要采用社會(huì)工程學(xué)方法，會(huì)花較長(zhǎng)時(shí)間深入調(diào)查公司員工、業(yè)務(wù)流程、網(wǎng)絡(luò)拓?fù)涞然拘畔?，通過(guò)社交深入調(diào)查公司員工、業(yè)務(wù)流程、網(wǎng)絡(luò)拓?fù)涞然拘畔?，通過(guò)社交網(wǎng)絡(luò)收集目標(biāo)或目標(biāo)好友的聯(lián)系方式、行為習(xí)慣、業(yè)余愛好、計(jì)網(wǎng)絡(luò)收集目標(biāo)或目標(biāo)好友的聯(lián)系方式、行為習(xí)慣、業(yè)余愛好、計(jì)算機(jī)配置等基本信息，以及分析目標(biāo)系統(tǒng)的漏洞算機(jī)配置等基本信息，以

31、及分析目標(biāo)系統(tǒng)的漏洞；在在持續(xù)滲透階段，攻擊者會(huì)開發(fā)相應(yīng)的漏洞利用工具，尤其是針持續(xù)滲透階段，攻擊者會(huì)開發(fā)相應(yīng)的漏洞利用工具，尤其是針對(duì)對(duì)0 day0 day安全漏洞的利用工具，而針對(duì)安全漏洞的利用工具，而針對(duì)0 day0 day漏洞的攻擊是很難漏洞的攻擊是很難防范的防范的；在在竊取信息階段，攻擊者會(huì)運(yùn)用先進(jìn)的隱藏和加密技術(shù)，在被控竊取信息階段，攻擊者會(huì)運(yùn)用先進(jìn)的隱藏和加密技術(shù)，在被控制的主機(jī)長(zhǎng)期潛伏，并通過(guò)隱秘信道向外傳輸數(shù)據(jù)，從而不易被制的主機(jī)長(zhǎng)期潛伏，并通過(guò)隱秘信道向外傳輸數(shù)據(jù)，從而不易被管理員和安全軟件發(fā)現(xiàn)管理員和安全軟件發(fā)現(xiàn)。26本講要點(diǎn)：27v1.1.認(rèn)識(shí)黑客認(rèn)識(shí)黑客v2.2.網(wǎng)絡(luò)

32、攻擊一般步驟網(wǎng)絡(luò)攻擊一般步驟v3.APT3.APT攻擊分析攻擊分析推薦閱讀：28知己知彼，百戰(zhàn)不殆知己知彼，百戰(zhàn)不殆知己知彼，百戰(zhàn)不殆知己知彼，百戰(zhàn)不殆不知彼而知己，一勝一負(fù)不知彼而知己，一勝一負(fù)不知彼而知己，一勝一負(fù)不知彼而知己，一勝一負(fù)不知彼，不知己，每戰(zhàn)必殆不知彼，不知己，每戰(zhàn)必殆不知彼，不知己，每戰(zhàn)必殆不知彼，不知己，每戰(zhàn)必殆 孫子兵法孫子兵法孫子兵法孫子兵法本講思考與練習(xí)29v簡(jiǎn)答：簡(jiǎn)答：v1.1.1.1.黑客黑客黑客黑客攻擊的一般步驟包括哪些？各個(gè)步驟的主要工攻擊的一般步驟包括哪些？各個(gè)步驟的主要工攻擊的一般步驟包括哪些？各個(gè)步驟的主要工攻擊的一般步驟包括哪些？各個(gè)步驟的主要工作是什么作是什么作是什么作是什么？v2.2.2.2.什么什么什么什么是是是是APTAPTAPTAPT攻擊？什么是攻擊？什么是攻擊？什么是攻擊？什么是0 day0 day0 day0 day攻擊？搜集攻擊？搜集攻擊？搜集攻擊？搜集0 day0 day0 day0 day攻攻攻攻擊和擊和擊和擊和APTAPTAPTAPT攻擊的一些案例攻擊的一些案例攻擊的一些案例攻擊的一些案例。v更多資源請(qǐng)?jiān)L問(wèn)南京師范大學(xué)信息化教學(xué)網(wǎng)更多資源請(qǐng)?jiān)L問(wèn)南京師范大學(xué)信息化教學(xué)網(wǎng)本課程本課程主頁(yè)主頁(yè)