這是一個(gè)關(guān)于網(wǎng)絡(luò)信息安全論文PPT作品，主要介紹網(wǎng)絡(luò)安全？誰關(guān)注安全？網(wǎng)絡(luò)信息安全主講：唐屹 博士 教授辦公室：行政西前座440室電話：13808876629 誰關(guān)注安全？政府？誰關(guān)注安全？機(jī)構(gòu)？誰關(guān)注安全？個(gè)人？誰關(guān)注安全？大家都關(guān)注！區(qū)別只是角度不一樣！我們這個(gè)課程也關(guān)注！希望通過72學(xué)時(shí)，能夠關(guān)注并了解基本的網(wǎng)絡(luò)安全攻防技術(shù) 基本的系統(tǒng)安全攻防技術(shù) 基本的Web安全攻防技術(shù)當(dāng)然，沒有攻擊，就沒有防御。要了解網(wǎng)絡(luò)攻防技術(shù)攻是第一位的你不會攻擊，并不意味著別人不會攻擊你不知道攻擊的途徑，你又怎么知道如何防御呢？但是，法律，法規(guī)…… 教學(xué)方式與考試要求課堂教學(xué)信息安全技術(shù)實(shí)驗(yàn)項(xiàng)目杜絕抄襲成績計(jì)算 70%考試成績 20%信息安全技術(shù)實(shí)驗(yàn) 10%考勤參考資料雖然有本很實(shí)用的教材，但依然需要與時(shí)俱進(jìn)，歡迎點(diǎn)擊下載網(wǎng)絡(luò)信息安全論文PPT作品哦。

網(wǎng)絡(luò)信息安全論文PPT作品是由紅軟PPT免費(fèi)下載網(wǎng)推薦的一款學(xué)校PPT類型的PowerPoint.

網(wǎng)絡(luò)信息安全主講： 唐屹 博士 教授辦公室： 行政西前座440室電子郵件：13808876629@139.com 電話： 13808876629 誰關(guān)注安全？政府？誰關(guān)注安全？機(jī)構(gòu)？誰關(guān)注安全？個(gè)人？ 誰關(guān)注安全？大家都關(guān)注！區(qū)別只是角度不一樣！我們這個(gè)課程也關(guān)注！希望通過72學(xué)時(shí)，能夠關(guān)注并了解基本的網(wǎng)絡(luò)安全攻防技術(shù) 基本的系統(tǒng)安全攻防技術(shù) 基本的Web安全攻防技術(shù)當(dāng)然，沒有攻擊，就沒有防御。要了解網(wǎng)絡(luò)攻防技術(shù)攻是第一位的你不會攻擊，并不意味著別人不會攻擊你不知道攻擊的途徑，你又怎么知道如何防御呢？但是，法律，法規(guī)…… 教學(xué)方式與考試要求課堂教學(xué)信息安全技術(shù)實(shí)驗(yàn)項(xiàng)目杜絕抄襲成績計(jì)算 70%考試成績 20%信息安全技術(shù)實(shí)驗(yàn) 10%考勤參考資料雖然有本很實(shí)用的教材， 但依然需要與時(shí)俱進(jìn) ...... 慶幸的是，我們還有 維基百科 Wikipedia 還有 谷歌 Google 還有 開源的軟件在網(wǎng)絡(luò)安全領(lǐng)域， 我們都是摸象的盲人每個(gè)人的觀點(diǎn)都帶“偏見”，尤其在網(wǎng)絡(luò)安全領(lǐng)域 每個(gè)人生活的時(shí)間、空間都是有限的，對世界的認(rèn)識都是一小部分 只有每個(gè)人把自己的觀點(diǎn)表達(dá)出來，才能逐漸認(rèn)識事務(wù)的全貌讓我們從最熱門的安全話題 開始這門課程 APT1：一場網(wǎng)絡(luò)間諜行為引發(fā)的論戰(zhàn) 2013年的2月，春節(jié)假期剛過… 一切源于 的一份分析報(bào)告 Mandiant，總部位于Alexandria， VA 的一家美國公司，現(xiàn)被FireEye以10億美元收購 Mandiant報(bào)告摘要至少從2006年開始，一個(gè)黑客團(tuán)體“APT1”對美國等16個(gè)國家的至少141家企業(yè)發(fā)動過攻擊，它認(rèn)為這個(gè)團(tuán)體事實(shí)上屬于中國人民解放軍總參三部二局，編號為61398。 61398部隊(duì)“在使命上、擁有的技能和資源等方面，都與APT1類似”。報(bào)告補(bǔ)充說，這一部門的駐地與APT1活動的疑似發(fā)起地也處于同一個(gè)地區(qū)。研究人員對141個(gè)黑客攻擊的目標(biāo)做出反跟蹤分析，發(fā)現(xiàn) APT1所使用的兩套IP地址在上海注冊；其系統(tǒng)使用常見于中國的軟件編碼方式及惡意軟件工具；攻擊代碼在運(yùn)行簡體漢字的系統(tǒng)中寫出。名詞 Advanced Persistent Threat (APT，高級持續(xù)性威脅) 組織(特別是政府)或者小團(tuán)體使用先進(jìn)的攻擊手段對特定目標(biāo)進(jìn)行長期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式。 1. 情報(bào)搜集 2. 首次突破防線 3. 幕后操縱通訊 4. 橫向移動 5. 資產(chǎn) / 資料發(fā)掘 6. 資料外傳情報(bào)搜集黑客透過一些公開的數(shù)據(jù)源 (LinkedIn、Facebook等等) 搜尋和鎖定特定人員并加以研究，然后開發(fā)出定制化攻擊。 首次突破防線 通過電子郵件、實(shí)時(shí)通訊或網(wǎng)站下載等社會網(wǎng)絡(luò)工程，在用戶系統(tǒng)注入零日 (zero-day) 惡意軟件。 接著在系統(tǒng)開一個(gè)后門，網(wǎng)絡(luò)門戶因而洞開，后續(xù)滲透便輕而易舉。(有時(shí)，黑客也會攻擊網(wǎng)站的漏洞，或是直接入侵網(wǎng)絡(luò)。) 命令與控制 通過命令與控制 (Command & Control，C&C， C2) 服務(wù)器，操縱受感染計(jì)算機(jī)與惡意軟件以對內(nèi)部網(wǎng)絡(luò)發(fā)動后續(xù)攻擊。橫向移動 一旦進(jìn)入企業(yè)網(wǎng)絡(luò)，黑客就進(jìn)一步入侵更多計(jì)算機(jī)來搜集注冊信息，提高自己的權(quán)限，使計(jì)算機(jī)永遠(yuǎn)受到掌控。資產(chǎn) / 資料挖掘 黑客利用許多技術(shù) (如端口掃瞄)，挖掘有價(jià)數(shù)據(jù)所在的服務(wù)器或服務(wù)。資料外傳 一旦搜集到敏感信息，這些數(shù)據(jù)就會匯集到內(nèi)部的一個(gè)暫存服務(wù)器，然后再整理、壓縮，通常并經(jīng)過加密，然后外傳。回過頭，再看APT1 KEY FINDINGS APT1 is believed to be the 2nd Bureau of the People’s Liberation Army (PLA) General Staff Department’s(GSD) 3rd Department (總參三部二局)， which is most commonly known by its Military Unit Cover Designator (MUCD) as Unit 61398 (61398部隊(duì)). APT1確信屬于總參三部二局，其番號為61389部隊(duì) KEY FINDINGS APT1 has systematically stolen hundreds of terabytes of data from at least 141 organizations， and has demonstrated the capability and intent to steal from dozens of organizations simultaneously. APT1系統(tǒng)性地竊取了至少141家組織的數(shù)以百計(jì)TB的數(shù)據(jù)，并展現(xiàn)出同時(shí)對數(shù)十家組織進(jìn)行攻擊的能力和企圖。 KEY FINDINGS APT1 focuses on compromising organizations across a broad range of industries in English-speaking countries. APT1側(cè)重于攻擊英語國家中的大范圍的行業(yè)領(lǐng)域。 KEY FINDINGS APT1 maintains an extensive infrastructure of computer systems around the world. APT1保持著一個(gè)世界范圍的大量計(jì)算機(jī)系統(tǒng)構(gòu)成的基礎(chǔ)設(shè)施。 KEY FINDINGS In over 97% of the 1，905 times Mandiant observed APT1 intruders connecting to their attack infrastructure， APT1 used IP addresses registered in Shanghai and systems set to use the Simplified Chinese language. Mandiant發(fā)現(xiàn)的APT1入侵者到其攻擊基礎(chǔ)設(shè)施的1906次連接中的97%，是通過注冊于上海的IP地址而且系統(tǒng)設(shè)置為簡體漢字。 KEY FINDINGS The size of APT1’s infrastructure implies a large organization with at least dozens， but potentially hundreds of human operators. 由APT1的基礎(chǔ)設(shè)施的規(guī)模，可以推測出一個(gè)擁有數(shù)十甚至數(shù)百名人員的大的機(jī)構(gòu)。 KEY FINDINGS In an effort to underscore that there are actual individuals behind the keyboard， Mandiant is revealing three personas that are associated with APT1 activity. 為盡力說明鍵盤背后存在的實(shí)際人員，Mandiant 展示出了與APT1行為相關(guān)的三個(gè)人。 KEY FINDINGS Mandiant is releasing more than 3，000 indicators to bolster defenses against APT1 operations. Mandiant提出了超過3，000條指標(biāo)以加強(qiáng)對APT1的防護(hù)。 APT1是否與中國軍方相關(guān)？《紐約時(shí)報(bào)》2月20日的報(bào)道說，許多安全專家也承認(rèn)，即使不是完全不可能，也難以確切地知道網(wǎng)絡(luò)攻擊究竟源自何處，因?yàn)楹诳徒?jīng)�？梢钥刂莆挥谠S多不同地點(diǎn)的電腦。 Jeffrey Carr也認(rèn)為Mandiant稱大量網(wǎng)絡(luò)間諜行為來自中國軍方的指控存在重要的分析漏洞。依照Mandiant的說法，如果一家公司遭受了APT攻擊，那它就是中國政府的受害者，因?yàn)樵贛andiant看來，APT就等同于中國。 Mandiant拒絕考慮情報(bào)界一個(gè)眾所周知的事實(shí)，即許多國家都從事網(wǎng)絡(luò)間諜活動，并非只有中國。如果Mandiant想把它所稱的APT1網(wǎng)絡(luò)間諜活動歸咎于中國，那么其分析報(bào)告就必須既公正又嚴(yán)密， 而從Mandiant目前的分析看，未能成功證明中國軍方61398部隊(duì)就是實(shí)施它所謂APT1網(wǎng)絡(luò)攻擊行動的那個(gè)機(jī)構(gòu)。我們，學(xué)習(xí)信息安全的， 關(guān)注Mandiant的分析過程與細(xì)節(jié) APT1: Years of Espionage APT1：間諜的歲月 證據(jù)顯示，APT1早在2006年開始，從至少141個(gè)跨行業(yè)的組織中竊取了數(shù)百TB的數(shù)據(jù)。我們也目擊了 APT1 能夠同時(shí)攻擊幾十個(gè)機(jī)構(gòu)，一旦他們建立了到受害者的連接，他們就能持續(xù)數(shù)月數(shù)年竊取大量有價(jià)值數(shù)據(jù)。 technology blueprints， proprietary manufacturing processes， test results， business plans， pricing documents， partnership agreements， emails and contact lists from victim organizations’ leadership. 我們確信這僅僅是APT1間諜活動行為的冰山一角。 APT1 的” 持久性”行為一旦 APT1 侵入網(wǎng)絡(luò)， 便成年累月從與受害者的通信中，反復(fù)監(jiān)控與竊取數(shù)據(jù)。 APT1保持的最長時(shí)間為 1，764 天， 即4年10個(gè)月，但并非每天進(jìn)行連接。大多數(shù)情況下，APT1 只要訪問受害者網(wǎng)絡(luò)，就連續(xù)竊取數(shù)據(jù)。 APT1看中的地點(diǎn) APT1的目標(biāo)主要以英語為語言的機(jī)構(gòu)。 87% 的 APT1 受害者為總部位于以英語為母語的國家。 APT1看中的行業(yè) APT1 展示了同時(shí)從完全不同的行業(yè)竊取數(shù)據(jù)的能力和意圖，其看中的行業(yè)相當(dāng)廣泛。進(jìn)一步的， APT1 并行攻擊行動顯示其具有大量的人力和技術(shù)資源。例如，2011年的第一個(gè)月， APT1 就成功新入侵了來自10個(gè)行業(yè)的 17個(gè)機(jī)構(gòu)。攻擊目標(biāo)與十二五計(jì)劃的關(guān)聯(lián)？我們相信APT1的目標(biāo)與中國的優(yōu)先發(fā)展策略相關(guān)。我們發(fā)現(xiàn)某些行業(yè)的目標(biāo)數(shù)量明顯較多，觀察顯示中國十二五計(jì)劃確定的7個(gè)戰(zhàn)略行業(yè)中，APT1的目標(biāo)有其中的4個(gè) APT1 數(shù)據(jù)竊取 APT1 竊取如下的數(shù)據(jù) product development and use， including information on test results， system designs， product manuals， parts lists， and simulation technologies; manufacturing procedures， such as descriptions of proprietary processes， standards， and waste management processes; business plans， such as information on contract negotiation positions and product pricing， legal events， mergers， joint ventures， and acquisitions; policy positions and analysis， such as white papers， and agendas and minutes from meetings involving high ranking personnel; emails of high-ranking employees; user credentials and network architecture information. APT1 數(shù)據(jù)竊取很難估計(jì) APT1 這幾年到底獲得了多少數(shù)據(jù): APT1 竊取數(shù)據(jù)后刪除了壓縮的文檔， 惟一留下的蹤跡證據(jù)又常常為正常的商業(yè)行為所覆蓋. 原有的網(wǎng)絡(luò)安全設(shè)備很少監(jiān)控或確認(rèn)數(shù)據(jù)竊取行為. 數(shù)據(jù)竊取時(shí)刻與Mandiant的調(diào)查時(shí)刻的時(shí)間差，也使得蹤跡證據(jù)被湮沒。一些受害者更多地考慮恢復(fù)網(wǎng)絡(luò)安全防護(hù)而非調(diào)查、了解安全泄漏的影響。 APT1 數(shù)據(jù)竊取盡管有挑戰(zhàn)，依然發(fā)現(xiàn) APT1 在10個(gè)月內(nèi)，從單個(gè)公司竊取了 6.5 TB的壓縮數(shù)據(jù)，盡管我們沒有直接證據(jù)證明誰接收這些數(shù)據(jù)。例如，2008年， APT1入侵了一家批發(fā)公司，安裝工具，創(chuàng)建壓縮文件，提取電郵與附件，之后的兩年半，竊取不知數(shù)量的文件，并重復(fù)訪問包括CEO在內(nèi)的郵件帳戶。 APT1: Attack Lifecycle APT1：攻擊生命期 APT的生命周期初始入侵 使用社交工程和網(wǎng)絡(luò)釣魚，通過電子郵件，利用零日漏洞完成在受害方員工經(jīng)常訪問的網(wǎng)站上安裝木馬初始入侵 APT1 釣魚用的附件大多為 ZIP 格式，以下為 APT1 使用過的惡意 ZIP文件: 建落腳點(diǎn)向受害者網(wǎng)絡(luò)移植遠(yuǎn)程管理軟件，創(chuàng)建網(wǎng)絡(luò)后門以及與APT的基礎(chǔ)設(shè)施秘密通信的信道。建落腳點(diǎn)搶灘后門 搶灘后門通常具有最簡單的功能，為攻擊者提供完成簡單任務(wù)的功能，如取回文件， 收集基本系統(tǒng)信息，激活運(yùn)行具有更多功能的標(biāo)準(zhǔn)后門。搶灘后門 APT1的搶灘后門可稱為 WEBC2 后門. WEBC2 后門從C2服務(wù)器取回網(wǎng)頁，網(wǎng)頁包含特殊的 HTML 標(biāo)簽; 該后門將標(biāo)簽間的數(shù)據(jù)解釋成命令。舊版的 WEBC2 讀取 HTML 注釋間的數(shù)據(jù)，之后的 WEBC2 變種可以讀取包含于其他類型標(biāo)簽內(nèi)的數(shù)據(jù)。通過直接的觀察，可以斷定 APT1 早在2006年7月就使用 WEBC2 后門，然而，我們得到的 WEBC2-KT3 后門的首次編譯時(shí)間為 2004-01-23， 意味著 APT1自2004年初開始就制作 WEBC2 后門�；�于所收集的 400+ WEBC2 變形樣本，六年來，APT1 可以直接從WEBC2開發(fā)者那里獲得連續(xù)不斷發(fā)布的新型后門。 WEBC2 后門給 APT1 攻擊者提供面向受害系統(tǒng)的短且基本的命令集，包括: 開啟一個(gè)交互式的命令外殼 (通常為 Windows 的 cmd.exe) 下載并執(zhí)行一個(gè)文件 休眠 (i.e. 保持非活躍) 一段給定的時(shí)間 WEBC2 后門經(jīng)常與釣魚郵件一同打包，一旦安裝， APT1 入侵者具有選項(xiàng)告訴受害系統(tǒng)下載并執(zhí)行他們所選擇的附加惡意軟件。 WEBC2 后門為其期望的目標(biāo)而工作，但通常比所謂的 “標(biāo)準(zhǔn)后門” 具有較少的功能。標(biāo)準(zhǔn)后門標(biāo)準(zhǔn)的， 非 WEBC2 APT1 后門使用 HTTP 協(xié)議 (混雜于合法的Web流) 或惡意軟件作者定制的協(xié)議，使得 APT 入侵者可以采用多種手段控制受害者機(jī)器，這些手段包括: 創(chuàng)建/修改/刪除/運(yùn)行程序上載/下載數(shù)據(jù)創(chuàng)建/刪除目錄列表/啟動/停止進(jìn)程修改系統(tǒng)注冊表屏幕快照用戶桌面捕獲擊鍵動作 隱蔽通訊提升權(quán)限在受害者的機(jī)器上通過漏洞利用和口令解密獲得管理員權(quán)限，可能將其擴(kuò)充到 Windows 域系統(tǒng)管理員的帳戶。 APT1的權(quán)限提升提升權(quán)限包括獲取表項(xiàng)，主要為用戶名和口令字，以得以訪問網(wǎng)絡(luò)內(nèi)的更多資源。從這點(diǎn)來看， APT1 與其他的 APT 入侵者并無太大的差別。 APT1 主要通過可公開獲得的工具，從受害者的系統(tǒng)中窮舉口令字 hash 值，以獲得合法的用戶憑證。 APT1 使用的權(quán)限提升工具內(nèi)部偵察收集有關(guān)周圍基礎(chǔ)設(shè)施， 信任關(guān)系， Windows 域結(jié)構(gòu)等方面的信息。內(nèi)部偵察在這一階段，如同大多數(shù)的 APT(以及非APT) 入侵者， APT1 主要使用內(nèi)置操作系統(tǒng)的命令，探究所攻擊的系統(tǒng)及網(wǎng)絡(luò)環(huán)境。盡管他們通常只是向命令外殼輸入命令，入侵者也 可能使用批處理腳本以加速偵察過程 上述腳本的作用完成以下操作并將結(jié)果寫入一個(gè)文本文件: 顯示受害者的網(wǎng)絡(luò)配置信息 列表受害系統(tǒng)啟動的服務(wù) 列表當(dāng)前運(yùn)行的進(jìn)程 列表系統(tǒng)上的帳戶 列表系統(tǒng)管理員權(quán)限 列表當(dāng)前網(wǎng)絡(luò)連接 列表當(dāng)前連接的網(wǎng)絡(luò)共享 列表網(wǎng)絡(luò)上的其他系統(tǒng) 列表依據(jù)組分類的網(wǎng)絡(luò)計(jì)算機(jī)和帳戶，這些組包括 “domain controllers，” “domain users，” “domain admins，” 橫向移動擴(kuò)充控制到其他的工作站、服務(wù)器和基礎(chǔ)設(shè)施成員，并收集其中的信息。橫向移動一旦 APT 入侵者在網(wǎng)絡(luò)內(nèi)部獲得落腳點(diǎn)及一組合法的配置，攻擊者可簡單地在網(wǎng)絡(luò)內(nèi)展開不被檢測的移動: 連接到其他系統(tǒng)的共享資源使用來自微軟的Sysinternals工具包或內(nèi)嵌的Windows 任務(wù)調(diào)度程序(“at.exe”)這些公開可用的“psexec”工具，在別的系統(tǒng)上運(yùn)行程序；這些行為難以發(fā)覺，因?yàn)楹戏ǖ南到y(tǒng)管理員也使用這些工具技術(shù)保持存在確保通過訪問信道的連續(xù)控制和之前步驟中所獲得的憑證。 APT1的保持控制的方法在這一階段，APT1入侵者采取行動以確保從網(wǎng)絡(luò)外部的系統(tǒng)中對進(jìn)入的網(wǎng)絡(luò)的連續(xù)、長期的控制。 APT1 采用了三種方法。方法1. 在多個(gè)系統(tǒng)里安裝新的后門為保持在網(wǎng)絡(luò)中的存在 ，APT1 通常盡量在網(wǎng)絡(luò)中的多個(gè)系統(tǒng)安裝新后門，以便被發(fā)現(xiàn)后，立刻還有另一個(gè)頂上。我們常�？梢詸z測出當(dāng)APT1存在若干星期后，會有多個(gè)APT1后門散播于受害者的網(wǎng)絡(luò)。方法2. 使用合法的 VPN 憑證 APT 通常希望能夠?qū)ふ液戏ǖ膽{證，以冒充合法的用戶。我們觀察到當(dāng)VPN使用單一的認(rèn)證時(shí)，APT1會 使用竊取的用戶名和口令字登入受害者的VPN系統(tǒng)，從而假冒用戶訪問該用戶可以訪問的資源。方法3. 登入web 門戶一旦獲取偷竊的憑證， APT1 入侵者也會嘗試登入網(wǎng)絡(luò)提供的Web門戶。不僅僅包括受限網(wǎng)站，也包括基于Web的郵件系統(tǒng)如 Outlook Web Access等. 完成任務(wù)從受害者網(wǎng)絡(luò)中傳回竊取的數(shù)據(jù)使用不同的方法，包括 FTP、定制的文件傳輸協(xié)議或已有的后門傳回文件。 ATP1的行為與我們所跟蹤的其他APT類似，一旦 APT1 發(fā)現(xiàn)有興趣的文件，會在偷竊之前將其壓縮為壓縮文件。 APT 基本上采用 RAR 壓縮并確保壓縮文件時(shí)口令字保護(hù)的. 有時(shí) APT1 入侵者使用批處理腳本進(jìn)行壓縮。 通過RAR創(chuàng)建壓縮文件后， APT1 攻擊者將向往外傳輸文件，其傳輸方法與其他的APT攻擊的方法一致，包括使用FTP協(xié)議或存在的后門。許多情況下，RAR 文件太大，攻擊者需要在傳輸前分割為塊。前述的 RAR 命令帶選項(xiàng) “-v200m”， 表示 RAR 文件被分割為 200MB/塊。 電子郵件的竊取 APT1 的特色之一是其電子郵件竊取技術(shù) GETMAIL， 用于從Microsoft Outlook 文檔中抽取 email 消息， 附件和文件夾. 由于 Microsoft Outlook 文檔可以存放數(shù)年的電郵，對于快速網(wǎng)絡(luò)傳輸而言過大，而攻擊者并不關(guān)心竊取每封電郵。 GETMAIL 使得攻擊者可以選取給定時(shí)間范圍內(nèi)的郵件。我們曾觀察到 APT1 每周返回被入侵的系統(tǒng)，連續(xù)4周僅竊取過去一周的電郵 MAPIGET， 用于尚未歸檔和依然駐留于Microsoft Exchange服務(wù)器的電郵竊取為成功操作， MAPIGET 需要Exchange 服務(wù)器接受的用戶名/口令字對； MAPIGET 將特定帳戶的電郵轉(zhuǎn)換為文本文件，如果有附件的話，還分離附件英語為第二語言 APT1: Infrastructure APT1：基礎(chǔ)設(shè)施 證據(jù)顯示 APT1 人工控制數(shù)千臺機(jī)器以支持他們的攻擊， 已經(jīng)直接觀察到他們控制超過數(shù)百臺這樣的系統(tǒng)。 盡管控制了數(shù)十個(gè)國家的系統(tǒng)，其攻擊源自上海的四個(gè)大型網(wǎng)絡(luò) — 其中的兩個(gè)位于浦東， 61398部隊(duì)的駐地. 在APT1攻擊系統(tǒng)中，IP 地址中的絕大多數(shù)集中在上海， 配以簡體漢字鍵盤布局設(shè)置， 泄露出操作者的真實(shí)位置和語言。為便于管理所控制的大量系統(tǒng)，APT1注冊了數(shù)百個(gè)域名，其大多數(shù)指向上海區(qū)域。域名及IP地址一起構(gòu)成 APT1 的命令和控制框架，并被協(xié)調(diào)管理以向英語國家目標(biāo)掩飾真正的來源。 APT1 的網(wǎng)絡(luò)源頭常被問到為何阻止來自中國的IP地址連接時(shí)無效的。簡單地說， APT1 攻擊者會利用中間節(jié)點(diǎn)作為跳站，使得被攻擊的系統(tǒng)幾乎不與上海的系統(tǒng)直接相連。 APT1龐大的基礎(chǔ)設(shè)施，使得對受害者的攻擊看上去可以來自世界的任一角落。跳站主要用于轉(zhuǎn)發(fā)攻擊。 依據(jù)APT1進(jìn)入美國站點(diǎn)的行為觀察，主要采用遠(yuǎn)程桌面和FTP訪問跳站。 兩年的時(shí)間內(nèi) (January 2011 - January 2013) ，我們確認(rèn)了1，905次APT1采用遠(yuǎn)程桌面，從832個(gè)IP不同地址中登入跳站點(diǎn)的情況。 832 IP地址中的 817 (98.2%) 屬于中國，占絕大多數(shù)的上海的四個(gè)網(wǎng)絡(luò)段，構(gòu)成 APT1的網(wǎng)絡(luò)源頭。 與后門的通信 APT1 攻擊者使用跳站連接并控制受害者的系統(tǒng); 后門程序定期連接到跳站，等待攻擊者發(fā)出指令，其具體過程取決于所使用的工具。人工 WEBC2 更新 WEBC2 后門下載解釋HTML標(biāo)簽中的數(shù)據(jù)作為命令，這些 HTML 網(wǎng)頁位于 APT1 跳站基礎(chǔ)設(shè)施內(nèi)的系統(tǒng)里。 已經(jīng)觀察到 APT1 入侵者登入 WEBC2 服務(wù)器，人工編輯后門下載的 HTML 頁面。由于命令通常編碼且難以由內(nèi)存拼寫，APT1入侵者并不敲入這些串，而是通過拷貝粘貼插入 HTML 文件。 在粘貼進(jìn)跳站點(diǎn)的HTML文件之前，ATP1入侵者可能在自己的機(jī)器上生成編碼命令。例如， 觀察到一個(gè) APT 攻擊者向HTML頁面粘貼串 “czo1NA==” ，即 “s:54” 的Base64編碼， 意思是 “睡眠 54 分鐘” (或小時(shí)， 取決于不同的后門). 除人工編輯跳站上的 HTML 文件外，我們還發(fā)現(xiàn) APT1 入侵者上載新的 HTML 文件。 HTRAN APT1 攻擊者不使用 WEBC2 時(shí)， 會要求 “command and control” (C2) 用戶接口以向后門發(fā)布命令，這個(gè)接口有時(shí)運(yùn)行于位于上海的個(gè)人攻擊系統(tǒng)。對于這類情形，后門聯(lián)系跳站，信息必須由跳站轉(zhuǎn)發(fā)至上海的系統(tǒng)中以實(shí)現(xiàn)后門與C2服務(wù)器的會話 767 個(gè)例子顯示 APT1 在跳站中使用 HTRAN，盡管這些是冰山一角。 C2 服務(wù)器軟件位于跳站 APT1 攻擊者也可能在跳站上安裝 C2 服務(wù)器，這時(shí)，無需使用 HTRAN 作為代理與受害系統(tǒng)交互，但這也意味著入侵者必須與運(yùn)行于跳站的C2服務(wù)器具有接口。已經(jīng)觀察到 APT1 攻擊者登入跳站，啟動 C2 服務(wù)器，等待進(jìn)入的連接 ，并隨后處理向受害系統(tǒng)發(fā)布的命令。 WEBC2 可以具有服務(wù)器組件以向入侵者提供簡單的 C2 接口。這意味著，服務(wù)器組件接收來自后門的連接請求，向入侵者顯示，然后將攻擊者的命令傳入HTML標(biāo)簽以便后門程序讀取。 APT1 服務(wù)器僅在過去的兩年，我們已確認(rèn)了 937 個(gè)APT1 C2 服務(wù)器 — 即主動偵聽或通信程序 — 運(yùn)行于 849 個(gè)不同的 IP 地址. 然而， 有證據(jù)說明 APT1 運(yùn)行著上百臺甚至上千臺服務(wù)器作為APT1服務(wù)器程序主要為: (1) FTP， 用于傳輸文件; (2) web， 用于 WEBC2; (3) RDP， 用于系統(tǒng)的遠(yuǎn)程圖形控制; (4) HTRAN，用作代理; (5) 與后門程序相關(guān)的C2 服務(wù)器。 域名 APT1的基礎(chǔ)設(shè)施除了IP地址外，還包括服務(wù)器域名FQDN 。FQDN被APT1嵌入作為后門內(nèi)的C2地址。 我們確認(rèn)了APT1使用的 2，551 個(gè)FQDN。使用 FQDN 而非 IP 地址作為 C2 地址，攻擊者可以動態(tài)確定給定的后門所對應(yīng)的C2連接，這使得他們即使丟失對某個(gè)跳站的控制，也能將C2的 FQDN 對應(yīng)不同的 IP 地址并恢復(fù)對后門的控制。這一靈活性允許攻擊者引導(dǎo)受害系統(tǒng)指向眾多的 C2 服務(wù)器并避免被阻止。 APT1 的FQDN 可以歸類如下: (1) 注冊的區(qū)域 (2) 第三方區(qū)域 (3) 劫持的域注冊的區(qū)域 DNS 區(qū)域表示一組合法的以同一名稱結(jié)束的域名集合，通常通過域名注冊公司注冊并由單個(gè)擁有者控制。例如 “hugesoft.org” 既是是一個(gè)合法域名也表示一個(gè)區(qū)域，而 “ug-co.hugesoft.org” and “7cback.hugesoft.org” 為 “hugesoft.org” 區(qū)的部分，稱為該區(qū)域的子域。 APT1 自2004年來注冊至少 107 個(gè)區(qū)。 非上海的APT1域名注冊地命名方案大約一半的 APT1 已知域名區(qū)依據(jù)news， technology 和 business 命名。這使得 APT1 的命令和控制地址一眼看去似乎無害 (這些方案也是其他 APT 常用的方案) 第三方服務(wù) APT1 使用最多的第三方服務(wù)為 “動態(tài) DNS.” 這類服務(wù)允許人們注冊子域，該子域?qū)��?yīng)的區(qū)域?yàn)槠渌�的人所注冊。多年來，APT1 以這種方式注冊了數(shù)百個(gè)域名，當(dāng)需要改變FQDN的地址解析時(shí)，僅需簡單地登錄服務(wù)，通過web界面改變地址解析。動態(tài)DNS之外，APT1 也創(chuàng)建以“appspot.com”結(jié)束的域名，顯示他們使用 Google’s App Engine 服務(wù). 劫持的域名 APT1 入侵者也常使用跳站點(diǎn)合法網(wǎng)站相關(guān)的域名，這些域名我們稱為被劫持的。 APT1 使用劫持域名有兩個(gè)目的在跳站點(diǎn)的合法網(wǎng)站上放置惡意代碼 (通常是 ZIP 文件)并發(fā)送帶有該鏈接的釣魚郵件嵌入劫持域名作為后門里的 C2 地址浩大的基礎(chǔ)設(shè)施如前所述，我們看到了937個(gè)服務(wù)器位于849個(gè)不同的IP地址，其中大多數(shù)注冊于中國境內(nèi)的機(jī)構(gòu)(709)， 跟著的是美國(109). 過去的三年，我們發(fā)現(xiàn) APT1 的域名被解析到988個(gè)IP地址： United States: 559 China: 263 Taiwan: 25 Korea: 22 United Kingdom: 14 Canada: 12 Other: 83 APT1: Identities APT1：身份 APT1 黑客特征: Ugly Gorilla (Wang Dong/汪東) APT1 黑客特征: DOTA APT1 黑客特征: SuperHard Mei Qiang/梅強(qiáng)通過APT1軟件作者名稱追溯得到。通過rootkit.com泄露的帳戶 “SuperHard_M” 得知其注冊源自 58.247.237.4， 位于已知的APT1向外的網(wǎng)絡(luò)段，使用email地址 “mei_qiang_82@sohu.com”. 同時(shí)也發(fā)現(xiàn) DOTA 的私人通信也包括用戶名 mei_qiang_82. 這個(gè)email地址與多個(gè)論壇和網(wǎng)站相關(guān)，且顯示該人為金錢而寫木馬程序，包括針對 Windows 內(nèi)核系統(tǒng)的惡意研究。結(jié)論 APT1與61398部隊(duì)的對比 APT1與61398部隊(duì)的對比 Mandiant的推測結(jié)合我們所進(jìn)行的仔細(xì)研究的觀察與相關(guān)發(fā)現(xiàn)，我們覺得事實(shí)只有兩種可能: 或者一個(gè)秘密具有充足資源的且由中國大陸人構(gòu)成的機(jī)構(gòu)可以直接訪問基于上海的基礎(chǔ)設(shè)施，多年來剛好在61398部隊(duì)門外從事大規(guī)模的計(jì)算機(jī)間諜行為，進(jìn)行著與 61398 部隊(duì)已知行為相似的工作或者 APT1 就是 61398 部隊(duì).uoI紅軟基地

網(wǎng)絡(luò)信息安全的重要性PPT作品：這是一個(gè)關(guān)于網(wǎng)絡(luò)信息安全的重要性PPT作品，主要介紹了什么是信息、什么是網(wǎng)絡(luò)、什么是網(wǎng)絡(luò)信息安全、學(xué)科內(nèi)容、授課內(nèi)容等內(nèi)容。網(wǎng)絡(luò)信息安全緒論：什么是網(wǎng)絡(luò)信息安全本節(jié)內(nèi)容什么是信息什么是網(wǎng)絡(luò)什么是網(wǎng)絡(luò)信息安全學(xué)科內(nèi)容授課內(nèi)容什么是信息科學(xué)家說：信息是不確定性的減少，是負(fù)熵老百姓說：信息是讓你知道些什么的東西安全專家說：信息是一種資產(chǎn)，它意味著一種風(fēng)險(xiǎn)老百姓說：不怕賊偷，就怕賊惦記信息內(nèi)容和信息載體信息內(nèi)容和信息載體的關(guān)系，好比靈魂和肉體的關(guān)系同一個(gè)內(nèi)容，可以用多種載體承載不同的內(nèi)容，可以用同一載體承載信息可以被—— 創(chuàng)建輸入存儲輸出傳輸（發(fā)送，接收，截取）處理（編碼，解碼，計(jì)算）銷毀 一個(gè)例子: S先生和P先生的故事一個(gè)例子: S先生和P先生的故事信息的要害是改變知識狀態(tài)什么是網(wǎng)絡(luò)網(wǎng)絡(luò)確保信息按需有序流動的基礎(chǔ)設(shè)施傳輸網(wǎng)絡(luò)基礎(chǔ)電信網(wǎng)、基礎(chǔ)廣電網(wǎng)互聯(lián)網(wǎng)絡(luò)互聯(lián)網(wǎng)（因特網(wǎng)）、內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)人際網(wǎng)絡(luò)關(guān)系網(wǎng)、銷售網(wǎng)、間諜網(wǎng)什么是安全 Security: 信息的安全 Safety: 物理的安全 Security的含義在有敵人（Enemy）/對手（Adversary）/含敵意的主體（Hostile Agent）存在的網(wǎng)絡(luò)空間中，確保己方的信息、信息系統(tǒng)和通信不受竊取和破壞，按照需要對敵方的信息、信息系統(tǒng)和通信進(jìn)行竊取和破壞的“機(jī)制”（Mechanism）什么是網(wǎng)絡(luò)信息安全在網(wǎng)絡(luò)環(huán)境下信息資產(chǎn)（信息、信息系統(tǒng)、通信）的可能面臨的風(fēng)險(xiǎn)的評估、防范、應(yīng)對、化解措施。技術(shù)措施（采用特定功能的設(shè)備或系統(tǒng)）管理措施（法律、規(guī)章制度、檢查）三分技術(shù)七分管理網(wǎng)絡(luò)信息安全的要害網(wǎng)絡(luò)信息安全的要害就是防止通過改變知識狀態(tài)來造成不希望的后果對信息進(jìn)行竊取，會使竊取者知道信息擁有者不希望他知道的事情對信息進(jìn)行破壞，會使信息的擁有者失去對信息的擁有，不再知道他本來知道的事情背景網(wǎng)絡(luò)的普及對網(wǎng)絡(luò)的依賴加深攻擊的門檻降低攻擊資源的廣泛存在實(shí)施攻擊的難度大大降低維護(hù)國家主權(quán)和社會穩(wěn)定、打擊網(wǎng)上犯罪、引導(dǎo)青少年健康上網(wǎng)（過濾與監(jiān)控）網(wǎng)絡(luò)信息資源的綜合利用（情報(bào)獲取與分析）網(wǎng)絡(luò)信息對抗和網(wǎng)絡(luò)信息戰(zhàn)網(wǎng)絡(luò)信息安全的CIA模型，歡迎點(diǎn)擊下載網(wǎng)絡(luò)信息安全的重要性PPT作品哦。

企業(yè)網(wǎng)絡(luò)信息安全的重要性PPT：這是一個(gè)關(guān)于企業(yè)網(wǎng)絡(luò)信息安全的重要性PPT，主要介紹了企業(yè)信息網(wǎng)絡(luò)安全問題概述、企業(yè)信息網(wǎng)絡(luò)安全分析、市場競爭需要加強(qiáng)信息安全管理、如何解決企業(yè)信息網(wǎng)絡(luò)安全問題、重點(diǎn)要解決的問題、內(nèi)網(wǎng)安全監(jiān)控軟件介紹、產(chǎn)品種類及服務(wù)介紹等內(nèi)容。如何加強(qiáng) 企業(yè)信息網(wǎng)絡(luò)安全管理 融信科技 程孝龍合作方：公安部第三研究所信息網(wǎng)絡(luò)安全研發(fā)中心國家反計(jì)算機(jī)入侵和防病毒研究中心一、企業(yè)信息網(wǎng)絡(luò)安全問題概述 信息是一種資源。客戶信息、財(cái)務(wù)信息、人事信息和技術(shù)信息等對一個(gè)企業(yè)來說是十分重要的。信息與物質(zhì)和能量一起構(gòu)成企業(yè)生存和發(fā)展的基礎(chǔ)。電腦網(wǎng)絡(luò)、辦公自動化、電子政務(wù)帶來高效、方便。也帶來信息安全問題。 在處理、使用和保存信息的過程中存在那些不可忽略的安全問題？例如：對內(nèi)部網(wǎng)絡(luò)的電腦上網(wǎng)、聊天、游戲等行為難以管理。對機(jī)密文件上傳下載等管理漏洞較大。經(jīng)常存在惡意代碼、病毒和黑客的攻擊。不能及時(shí)進(jìn)行漏洞掃描和補(bǔ)丁管理。二、企業(yè)信息網(wǎng)絡(luò)安全分析 隨之而來的網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄密、客戶資料被竊、辦公室變成網(wǎng)上游樂場、計(jì)算機(jī)黑客或病毒入侵公司，以及電郵泛濫等問題和事件時(shí)有發(fā)生。那么如何才能充分滿足對機(jī)密數(shù)據(jù)的安全防護(hù)和電腦非法行為的監(jiān)控與管理？ 目前我國有幾十萬個(gè)政府機(jī)關(guān)和大中型企業(yè)都在思考，如何才能很好地解決內(nèi)網(wǎng)的安全監(jiān)控管理問題。尤其象各級黨政機(jī)關(guān)、軍隊(duì)、金融、公安、電信、民航、鐵路、交通、大中型企業(yè)等用戶的需求更為迫切，歡迎點(diǎn)擊下載企業(yè)網(wǎng)絡(luò)信息安全的重要性PPT哦。

網(wǎng)絡(luò)信息安全防護(hù)措施PPT課件：這是一個(gè)關(guān)于網(wǎng)絡(luò)信息安全防護(hù)措施PPT課件，主要介紹網(wǎng)絡(luò)信息安全基礎(chǔ)知識、網(wǎng)絡(luò)安全解決方案、網(wǎng)絡(luò)安全相關(guān)法規(guī)。信息安全與防護(hù)學(xué)習(xí)重點(diǎn)網(wǎng)絡(luò)信息安全基礎(chǔ)知識網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全相關(guān)法規(guī)世界信息安全回顧 2005年世界信息安全總體態(tài)勢計(jì)算機(jī)病毒感染率出現(xiàn)近幾年來的首次下降，但垃圾郵件、網(wǎng)絡(luò)掃描、拒絕服務(wù)、網(wǎng)頁篡改等安全攻擊依然呈增長趨勢。<技術(shù)上> 信息網(wǎng)絡(luò)安全管理人員缺乏培訓(xùn)、機(jī)構(gòu)信息安全防范技術(shù)措施不完善、缺乏安全預(yù)警信息等問題比較突出，信息網(wǎng)絡(luò)安全工作需要進(jìn)一步重視和加強(qiáng)。 <管理上> 舉幾個(gè)例子看不見的網(wǎng)絡(luò)“黑手” 2005.5，為萬事達(dá)、威薩和美國運(yùn)通卡等主要信用卡服務(wù)的數(shù)據(jù)處理中心CardSystems的網(wǎng)絡(luò)遭黑客植入間諜軟件，造成約4000萬賬戶的號碼和有效期信息被惡意黑客截獲。過去計(jì)算機(jī)用戶面臨的只是網(wǎng)絡(luò)病毒和蠕蟲，而現(xiàn)在則面臨著黑客攻擊以及間諜軟件的威脅。間諜軟件成最大威脅 2005年中國有將近90%的用戶遭受間諜軟件的襲擊，比起2004年的30%提高了6成。間諜軟件已超過傳統(tǒng)的病毒成為互聯(lián)網(wǎng)安全的最大威脅，歡迎點(diǎn)擊下載網(wǎng)絡(luò)信息安全防護(hù)措施PPT課件哦。