http入侵报告.docx

天津电子信息职业技术学院课程设计 题目 职业资格取证 姓 名李超专业班级计算机网络技术S14- 班学 号44完成时间2016年6月天津电子信息职业技术学院 制2016.6摘要： 随着互联网的快速发展、工业信息化的推进以及多种网络的融合，网络信息安全问题已经成为一个突出的社会性问题。近年来，受经济利益驱动而借助僵尸网络和木马进行网络攻击和信息窃取的事件数量快速增加。网络攻击范围已经由计算机互联网扩展到工业控制系统、通信、能源、航空和交通等各个领域。根据国家互联网急中心的网络安全态势报告针对网络基础设施的探测、渗透和攻击事件时有发生，网站被植入后门等隐蔽性攻击事件呈增长态势，网站用 户信息成为黑客窃取重点；火焰病毒(Flame)、 高斯病毒(Gauss)和红色十月(Red October)病毒 等实施的高级持续性威胁(Advanced Persistent Threat，APT)活动频现，对国家和企业的信息安全造成严重威胁。2012 年，我国境内至少有 4.1 万余台主机感染了具有 APT 特征的木马程序。 与此相呼应，2009 年以来，多起 APT 攻击事件 接连被曝光，部分确认受到国家级的支持。最近美国“棱镜(PRISM)”计划告密者斯诺登于 2013 年 11 月公开的机密材料显示，我国有大量用 户被美国通过计算机网络入侵(Computer Network Exploitation)方式安装恶意软件操控。网络攻击和信息窃取行为，已经对公民个人财产及信息安全乃至国家信息安全都造成了严重威胁。 目 录一、隐蔽式网络攻击的概念和特点 …………………………………………2（一）概 念…………………………………………………………………3（二）特 点…………………………………………………………………4二、隐蔽式网络攻击对当前安全体系的挑战 ………………………………5三、隐蔽式网络攻击的攻与防 ………………………………………………7四、隐蔽式网络攻击检测的未来 ……………………………………………9五、总结 ………………………………………………………………………10六、参考文献 …………………………………………………………………10一 、隐蔽式网络攻击的概念和特点(一)概 念 隐蔽式网络攻击是一种对抗性网络攻击，采用隐蔽的入侵手段，并将自身网络通信伪装或隐藏于合法的正常网络数据流中，以躲避主机和网络安全检测，从而长期驻留并控制受害主机，达到持续窃取信息或长期控制利用的目的。隐蔽式 网络攻击的概念核心点如下： (1)网络相关性。攻击必须有网络活动，因此单机上的恶意软件不属于此概念范畴。需要指出的是，本文讨论的网络一般限定为 IP 网络，但广义上讲此处所指网络的形式和协议是多种多样的。 (2)隐蔽性。入侵方式和通信行为伪装或隐藏是隐蔽式网络攻击的核心特征，因此，使用固定的非常用服务端口通信(加密或非加密)、网络 通信具有明显内容签名特征或者攻击过程容易被受害方感知的攻击(比如拒绝服务类)等不属于此 概念范畴。 (3)可控性。攻击者可以通过网络远程控制受害主机执行指定操作、记录、上传指定信息，因此一般意义上的蠕虫、病毒不属于此概念范畴。 (4)目的性。以持续窃取机密信息或长期控 制利用为目的，因此普通的后门程序、盗取个人信息的常规木马、恶意勒索软件等都不属于此范畴。目前流行的网络攻击中隐蔽型的木马(Trojan)及后门程序(Backdoor)、新型僵尸网络 (Botnet)和部分 APT 可归为此类攻击，而拒绝服务(DOS)攻击和 Web 入侵渗透 (SQL 注入、跨站脚本攻击)等一般不属于此概念范畴(部分可归结 为隐蔽式网络攻击采用的技术手段)。需要指 的是，早期的 IRC 僵尸网络大都采用具有明显特征的明文通信协议，而常规木马采用异常端口或 明文协议，容易被发现，不具备强隐蔽性特征， 显然不属于隐蔽式网络攻击。我们定义的隐蔽式 网络攻击与定向网络攻击[3]、APT 有较多重叠。 拒绝服务攻击虽然不具有一般意义的隐蔽性，但 其往往是由僵尸网络控制者(BotMaster)操纵数以万计的僵尸(Zombie)主机(俗称“肉鸡”)来实施 的，而 Web 入侵的目的通常是窃取网站用户信息或通过植入恶意软件控制更多的主机，因此他们与隐蔽式攻击经常有着密切的联系。典型僵尸网络的攻击流程包括利用漏洞入侵、命令与控制通信、信息窃取或实施攻击。典型木马的攻击流程包括利用漏洞、文件捆绑入侵、命令与控制通信和信息窃取。典型 APT 的攻击流程包括情报搜集、利用漏洞入口点突破，命令与控制通信、内部横向移动、资产/数据发 现和数据隐蔽泄露。上述三者及隐蔽式网络攻击 的技术特点、目的性和侧重点总结。可以看出，利用漏洞等隐蔽方式入侵、与命令控制服务器通信、实施信息窃取是他