APT攻击的发现与防护方案的设计毕业论文

贵州大学毕业论文（设计） 第23页

过滤模块就会将该IP地址加入黑名单，禁止其在一定时间内访问，从而防止攻击者采用穷举法,最终攻破系统。 （2）验证所有的输入信息

将用户名和密码输入框中输入的信息进行一个验证处理，例如只能输入数值或字符，那么要登陆后台，则必须满足通过验证的条件后，才来也正该用户名和密码是否正确，确保用户输入的都是数字。如果可以接受字母，那就要检查是不是存在不可接受的字符。确保你的应用程序要检查以下字符：分号，等号，破折号，括号以及SQL关键字。使用正则表达式来进行复杂的模式匹配，限制用户输入的字符的长度[21]。所以验证用户输入的信息是一个防止SQL注射攻击的好方法，从而避免入侵者利用WEB的开放性对应用程序进行SQL注射攻击。 （3）用户权限

在应用程序中使用的连接数据库的账户应该是拥有必要的特权，这样可以有效地保护整个系统尽可能少地受到入侵者的危害通过限制用户权限，隔离了不同账户可执行的操作。不同的用户账户拥有不同的权限，执行查询插入更新删除等操作的用户可以是不同的用户，这样可以防止原本用于执行查询操作的地方却被用于执行插入、更新或删除等操作[8]。

4.9 防护方案后的拓扑图

加了防护设备后的网络拓补图如下图4.4所示：

贵州大学毕业论文（设计） 第24页

Internet外网PC192.168.1.3192.168.1.0192.168.1.5二层交换机路由器192.168.2.0内网入侵检测系统PC192.1568.1.6PC防火墙日志审计管理系统运维安全审计系统二层交换机数据审计系统行为管理系统192.168.2.1192.168.2.1192.168.2.3192.168.2.4192.168.2.7192.168.2.9192.168.2.5E.mealPCPCPC攻击机web服务器图4.4 加了防护方案的拓扑图

在路由出口架设大流量吞吐量的防火墙，可以有效地防御外部攻击者对外部路由进行DDoS攻击，做访问控制策略，保证内网的安全控制，在二层交换机上部署上网行为管理系统，网络入侵检测系统，日志审计管理系统，运行与维护安全审计系统。为服务器部署数据库审计系统。以保证数据和机密文件的安全。在员工办公的区域架设行为管理系统。

贵州大学毕业论文（设计） 第25页

第五章 ATP攻防实验

5.1 实验平台的搭建

5.1.1 平台拓扑图

搭建的环境网络拓扑图如下图5.1所示：

Internet192.168.2.0192.168.1.0路由器外网192.168.2.10二层交换机二层交换机192.168.1.3192.1568.1.6192.168.1.5192.168.2.1192.168.2.7192.168.2.1192.168.2.4192.168.2.3内网192.168.2.5WEB服务器web服务器PCPCPCPCPC攻击机PCE.meal图5.1 环境网络拓扑图

图5.1是攻击环境大概的网络拓扑，主要划分两个网段，其中192.168.1.0被划分为外网，192.168.2.0被划分为内网，是主要的攻击目标。其中内网包括PC机和服务器，外网就只有PC机。

5.1.2 web的搭建

搭建的web系统为“家庭理财管理系统”，系统开发规格如表5.1所示。

表5.1 环境设备

开发环境 数据库 系统框架 Visual Studio 2012 SQL Server2008 Frame 4.0

贵州大学毕业论文（设计） 第26页

由于需要搭建到Server 2003上，需要对Server 2003做如下工作：安装IIS，配置.netFrame 4.0系统框架，搭建WEB系统等。 （1）安装IIS

进行添加程序界面，单击“添加/删除Windows组件”，选中“应用程序服务器”，单击下一步，如下图5.2所示：

图5.2 应用程序界面

安装过程中需要插入系统安装光盘，插入光盘后继续运行。直到IIS安装完成。

（2）配置.netFrame 4.0系统框架

因为“家庭理财管理系统”是在Frame4.0下开发的，而Sever 2003系统默认只有1.1的框架，因而需要另外安装.netFrame4.0。安装步骤如下：从微软官方网站上下载安装.netFram4.0前必要安装的组件wic_x86_enu.exe。如下图5.3所示：