信息安全工程師教程學(xué)習(xí)筆記五

信息安全工程師教程學(xué)習(xí)筆錄（五）

全國(guó)計(jì)算機(jī)技術(shù)與軟件專(zhuān)業(yè)技術(shù)資格（水平）考試，這門(mén)新開(kāi)的信息安全工

程師分屬該考試“信息系統(tǒng)”專(zhuān)業(yè)，位處中級(jí)資格。官方教材《信息安全工程師

教程》及考試大綱于7月1日初版，希賽小編整理了信息安全工程師教程學(xué)習(xí)

筆錄，供大家參照學(xué)習(xí)。

暗網(wǎng)

暗網(wǎng)，又稱(chēng)深網(wǎng)。據(jù)估計(jì)，暗網(wǎng)比表面網(wǎng)站大幾個(gè)數(shù)量級(jí)。

暗網(wǎng)（深網(wǎng)，不能夠見(jiàn)網(wǎng)，隱蔽網(wǎng)）是指那些存儲(chǔ)在網(wǎng)絡(luò)數(shù)據(jù)庫(kù)里、但不能夠通

過(guò)超鏈接接見(jiàn)而需要經(jīng)過(guò)動(dòng)向網(wǎng)頁(yè)技術(shù)接見(jiàn)的資源會(huì)集，不屬于那些能夠被標(biāo)準(zhǔn)

找尋引擎索引的表面網(wǎng)絡(luò)。

暗網(wǎng)的定義

暗網(wǎng)（深網(wǎng)，不能夠見(jiàn)網(wǎng)，隱蔽網(wǎng)）是指那些存儲(chǔ)在網(wǎng)絡(luò)數(shù)據(jù)庫(kù)里、不能夠經(jīng)過(guò)

超鏈接接見(jiàn)而需要經(jīng)過(guò)動(dòng)向網(wǎng)頁(yè)技術(shù)接見(jiàn)的資源會(huì)集，不屬于那些能夠被標(biāo)準(zhǔn)搜

索引擎索引的表面網(wǎng)絡(luò)。

邁克爾·伯格曼將現(xiàn)在互聯(lián)網(wǎng)上的找尋服務(wù)比喻為像在地球的海洋表面的拉

起一個(gè)大網(wǎng)的找尋，大量的表面信息誠(chéng)然能夠經(jīng)過(guò)這種方式被查找獲取，可是還

有相當(dāng)大量的信息由于隱蔽在深處而被找尋引擎錯(cuò)失掉。絕大部分這些隱蔽的信

息是須經(jīng)過(guò)動(dòng)向央求產(chǎn)生的網(wǎng)頁(yè)信息，而標(biāo)準(zhǔn)的找尋引擎卻無(wú)法對(duì)其進(jìn)行查找。

傳統(tǒng)的找尋引擎“看”不到，也獲取不了這些存在于暗網(wǎng)的內(nèi)容，除非經(jīng)過(guò)特定

的找尋這些頁(yè)面才會(huì)動(dòng)向產(chǎn)生。于是相對(duì)的，暗網(wǎng)就隱蔽了起來(lái)。

本源和現(xiàn)狀

HiddenWeb最初由Dr．JillEllsworth于1994年提出，指那些沒(méi)有被任

何找尋引擎索引注冊(cè)的網(wǎng)站：

“這些網(wǎng)站可能已經(jīng)被合理地設(shè)計(jì)出來(lái)了，可是他們卻沒(méi)有被任何找尋引擎

編列索引，以致于事實(shí)上沒(méi)有人能找到他們。我能夠這樣對(duì)這些不能夠見(jiàn)的網(wǎng)站說(shuō)，

你們是隱蔽了的?！?/p>

其他早期使用“不能夠見(jiàn)網(wǎng)絡(luò)”這一術(shù)語(yǔ)，是一家叫做“個(gè)人圖書(shū)館軟件”公

司的布魯斯·芒特（產(chǎn)品開(kāi)發(fā)總監(jiān)）和馬修·B·科爾（首席執(zhí)行官和創(chuàng)辦人）發(fā)明

的。當(dāng)他們企業(yè)在1996年12月推出和刊行的一款軟件時(shí)，他們對(duì)暗網(wǎng)工具的

有過(guò)這樣的一番描述：

不能夠見(jiàn)網(wǎng)絡(luò)這一術(shù)語(yǔ)其實(shí)其實(shí)不正確,它描述的可是那些在暗網(wǎng)中，可被找尋

的數(shù)據(jù)庫(kù)不被標(biāo)準(zhǔn)找尋引擎索引和盤(pán)問(wèn)的內(nèi)容，而對(duì)于知道如何進(jìn)入接見(jiàn)這些內(nèi)

容的人來(lái)說(shuō)，它們又是相當(dāng)可見(jiàn)的。

第一次使用暗網(wǎng)這一特定術(shù)語(yǔ)，是2001年伯格曼的研究中間。

從信息量來(lái)講，與能夠索引的數(shù)據(jù)比較，“暗網(wǎng)”更是要弘大得多。依照

BrightPlanet企業(yè)此前宣布的一個(gè)名為《TheDeepWeb-SurfacingThe

HiddenValue》（深層次網(wǎng)絡(luò)，隱蔽的價(jià)值）白皮書(shū)中供應(yīng)的數(shù)據(jù)，“暗網(wǎng)”

包括100億個(gè)不重復(fù)的表單，其包括的信息量是“非暗網(wǎng)”的40倍，有效高質(zhì)

內(nèi)容總量最少是后者的1000倍到2000倍。更讓人慌張失措的是，BrightPlanet

發(fā)現(xiàn)，無(wú)數(shù)網(wǎng)站越來(lái)越像孤立的系統(tǒng)，憂(yōu)如沒(méi)有打算與其他網(wǎng)站共享信息，這樣

一來(lái)，“暗網(wǎng)”已經(jīng)成為互聯(lián)網(wǎng)新信息增添的最大本源，也就是說(shuō)，互聯(lián)網(wǎng)正在

變得“越來(lái)越暗”。

自然，所謂“暗網(wǎng)”，其實(shí)不是真實(shí)的“不能夠見(jiàn)”，對(duì)于知道如何接見(jiàn)這些內(nèi)

容的人來(lái)說(shuō)，它們無(wú)疑是可見(jiàn)的。2001年，ChristSherman、GaryPrice對(duì)

HiddenWeb定義為：誠(chéng)然經(jīng)過(guò)互聯(lián)網(wǎng)能夠獲取，但一般找尋引擎由于受技術(shù)

限制而不能夠或不作索引的那些文本頁(yè)、文件或其他平時(shí)是高質(zhì)量、聲威的信息。

依照對(duì)HiddenWeb的檢查文件獲取了以下有意義的發(fā)現(xiàn)：

HiddenWeb大概有307,000個(gè)站點(diǎn)，450,000個(gè)后臺(tái)數(shù)據(jù)庫(kù)和1,258,000

個(gè)盤(pán)問(wèn)接口。它仍在迅速增添，從2000年到2004年，它增添了3～7倍。

HiddenWeb內(nèi)容分布于多種不一樣樣的主題領(lǐng)域，電子商務(wù)是主要的驅(qū)動(dòng)力

量，但非商業(yè)領(lǐng)域相對(duì)占更大比重。

現(xiàn)在的爬蟲(chóng)其實(shí)不是圓滿(mǎn)爬行不到HiddenWeb后臺(tái)數(shù)據(jù)庫(kù)內(nèi)，一些主要的搜

索引擎已經(jīng)覆蓋HiddenWeb大概三分之一的內(nèi)容。可是，在覆蓋率被騙前搜

索引擎存在技術(shù)上的實(shí)質(zhì)弊端。

HiddenWeb中的后臺(tái)數(shù)據(jù)庫(kù)大多是結(jié)構(gòu)化的，其中結(jié)構(gòu)化的是非結(jié)構(gòu)化

的3．4

倍之多。

誠(chéng)然一些HiddenWeb目錄服務(wù)已經(jīng)開(kāi)始索引

Web

數(shù)據(jù)庫(kù)，可是它們的

覆蓋率比較小，僅為0．2%～15．6%。

Web

數(shù)據(jù)庫(kù)經(jīng)常位于站點(diǎn)淺層，多達(dá)

94%的

Web

數(shù)據(jù)庫(kù)能夠在站點(diǎn)前

3

層發(fā)現(xiàn)。

暗網(wǎng)的分類(lèi)

它分為兩種：

一種是技術(shù)的原因，好多網(wǎng)站自己不規(guī)范、也許說(shuō)互聯(lián)網(wǎng)自己缺少一致規(guī)則，

以致了找尋引擎的爬蟲(chóng)無(wú)法鑒別這些網(wǎng)站內(nèi)容并抓取，這不是找尋引擎自己就能

解決的問(wèn)題，而是有賴(lài)整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)的規(guī)范化，百度的“阿拉丁計(jì)劃”、谷歌的

“云計(jì)算”就是要從根本解決這一問(wèn)題。

另一個(gè)原因則是好多網(wǎng)站根本就不愿意被找尋引擎抓取，比方考慮到版權(quán)保

護(hù)內(nèi)容、個(gè)人隱私內(nèi)容等等，這更不是找尋引擎能解決的問(wèn)題了。若是他們能被

找尋引擎抓取到，就屬于違紀(jì)了。

數(shù)據(jù)顯示，能夠找尋到的數(shù)據(jù)僅占所有信息量的千分之二。而對(duì)暗網(wǎng)的挖掘

能擴(kuò)大找尋數(shù)據(jù)庫(kù)，令人們能夠在找尋引擎上找尋到更多的網(wǎng)頁(yè)、信息。

幾乎任何有理想的通用找尋引擎都有一個(gè)共同的夢(mèng)想：整合人類(lèi)所有信息，

并讓大家用最便利的方式各取所需。

對(duì)此，百度說(shuō)：“讓人們最便利地獲守信息，找到所求”；谷歌說(shuō)：“整合

全球信息，令人人皆可接見(jiàn)并從中受益”。這兩者表達(dá)的實(shí)際上是同一個(gè)愿景。

可是，這注定是一項(xiàng)不能夠能完成的任務(wù)。據(jù)科學(xué)家估測(cè)，人類(lèi)信息大概只有

0.2%實(shí)現(xiàn)了web化，并且這個(gè)比率很可能在連續(xù)降低。更其的是，即便在已經(jīng)

Web化的信息中，找尋引擎的蜘蛛能抓取到的和不能夠抓取到的比率為1:500。

APT

APT（AdvancedPersistentThreat）--------高級(jí)連續(xù)性威脅。利用先進(jìn)

的攻擊手段對(duì)特定目標(biāo)進(jìn)行長(zhǎng)遠(yuǎn)連續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式，APT攻擊的原理

有對(duì)于其他攻擊形式更為高級(jí)和先進(jìn)，其高級(jí)性主要表現(xiàn)在APT在發(fā)動(dòng)攻擊之

前需要對(duì)攻擊對(duì)象的業(yè)務(wù)流程和目標(biāo)系統(tǒng)進(jìn)行精確的收集。在此收集的過(guò)程中，

此攻擊會(huì)主動(dòng)挖掘被攻擊對(duì)象受信系統(tǒng)和應(yīng)用程序的漏洞，利用這些漏洞組建攻

擊者所需的網(wǎng)絡(luò)，并利用0day漏洞進(jìn)行攻擊。

高級(jí)連續(xù)性威脅(AdvancedPersistentThreat，APT)，威脅著企業(yè)的數(shù)據(jù)

安全。APT是黑客以盜取核心資料為目的，針對(duì)客戶(hù)所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲

行為，是一種蓄謀已久的“惡意商業(yè)間諜威脅”。這種行為經(jīng)常經(jīng)過(guò)長(zhǎng)遠(yuǎn)的經(jīng)營(yíng)

與策劃，并具備高度的隱蔽性。APT的攻擊手法，在于隱蔽自己，針對(duì)特定對(duì)

象，長(zhǎng)遠(yuǎn)、有計(jì)劃性和組織性地盜取數(shù)據(jù)，這種發(fā)生在數(shù)字空間的偷竊資料、搜

集情報(bào)的行為，就是一種“網(wǎng)絡(luò)間諜”的行為。

種類(lèi)

APT入侵客戶(hù)的路子多種多樣，主要包括以下幾個(gè)方面。

——以智妙手機(jī)、平板電腦和USB等搬動(dòng)設(shè)備為目標(biāo)和攻擊對(duì)象既而入侵

企業(yè)信息系統(tǒng)的方式。

——社交工程的惡意郵件是好多APT攻擊成功的要點(diǎn)因素之一，隨著社交

工程攻擊手法的日益成熟，郵件幾乎真假難辨。從一些碰到APT攻擊的大型企

業(yè)能夠發(fā)現(xiàn)，這些企業(yè)碰到威脅的要點(diǎn)因素都與一般員工遇到社交工程的惡意郵

件相關(guān)。黑客剛一開(kāi)始，就是針對(duì)某些特定員工發(fā)送垂釣郵件，以此作為使用

APT手法進(jìn)行攻擊的源泉。

——利用防火墻、服務(wù)器等系統(tǒng)漏洞既而獲取接見(jiàn)企業(yè)網(wǎng)絡(luò)的有效憑證信

息是使用APT攻擊的另一重要手段。

總之，高級(jí)連續(xù)性威脅(APT)正在經(jīng)過(guò)所有方式，繞過(guò)基于代碼的傳統(tǒng)安全

方案(如防病毒軟件、防火墻、IPS等)，并更長(zhǎng)時(shí)間地隱蔽在系統(tǒng)中，讓傳統(tǒng)防

御系統(tǒng)難以偵測(cè)。

“隱蔽性和連續(xù)性”是APT攻擊最大的威脅，其主要特色包括以下內(nèi)容。

——隱蔽性：這些新式的攻擊和威脅可能在用戶(hù)環(huán)境中存在一年以上或更

久，他們不斷收集各種信息，直到收集到重要情報(bào)。而這些發(fā)動(dòng)APT攻擊的黑

客目的經(jīng)常不是為了在短時(shí)間內(nèi)盈利，而是把“被控主機(jī)”看作跳板，連續(xù)找尋，

直到能圓滿(mǎn)掌握所針對(duì)的目標(biāo)人、事、物，因此這種APT攻擊模式,實(shí)質(zhì)上是一

種“惡意商業(yè)間諜威脅”。

——連續(xù)性：由于APT攻擊擁有連續(xù)性甚至長(zhǎng)達(dá)數(shù)年的特色，這讓企業(yè)的

管理人員無(wú)從察覺(jué)。在此時(shí)期，這種“連續(xù)性”表現(xiàn)在攻擊者不斷試一試的各種攻

擊手段，以及浸透到網(wǎng)絡(luò)內(nèi)部后長(zhǎng)遠(yuǎn)冬眠。

——鎖定特定目標(biāo)：針對(duì)特定政府或企業(yè)，長(zhǎng)遠(yuǎn)進(jìn)行有計(jì)劃性、組織性的

盜取情報(bào)行為,針對(duì)被鎖定對(duì)象寄送幾可亂真的社交工程惡意郵件，如冒充客戶(hù)

的來(lái)信,獲取在計(jì)算機(jī)植入惡意軟件的第一個(gè)時(shí)機(jī)。

——安裝遠(yuǎn)程控制工具：攻擊者建立一個(gè)近似僵尸網(wǎng)絡(luò)Botnet的遠(yuǎn)程控制

架構(gòu)，攻擊者會(huì)如期傳達(dá)有隱蔽價(jià)值文件的副本給命令和控制服務(wù)器(C&C

Server)審查。將過(guò)濾后的敏感機(jī)密數(shù)據(jù)，利用加密的方式外傳。

APT攻擊三個(gè)階段

初始感染：初始感染能夠有以下三種方式：

1.攻擊者發(fā)送惡意軟件電子郵件給一個(gè)組織內(nèi)部的收件人。比方，

Cryptolocker就是一種感染方式，它也稱(chēng)為欺騙軟件，其攻擊目標(biāo)是Windows

個(gè)人電腦，會(huì)在看似正常的電子郵件附件中假裝。一旦收件人打開(kāi)附件，

Cryptolocker就會(huì)在當(dāng)?shù)卮疟P(pán)上加密文件和照射網(wǎng)絡(luò)磁盤(pán)。若是你不乖乖地交

贖金，惡意軟件就會(huì)刪除加密密鑰，從而使你無(wú)法接見(jiàn)自己的數(shù)據(jù)。

2.攻擊者會(huì)感染一個(gè)組織中用戶(hù)經(jīng)常經(jīng)過(guò)DNS接見(jiàn)的網(wǎng)站。出名的端到端

戰(zhàn)網(wǎng)GameoverZeus就是一個(gè)例子，一旦進(jìn)入網(wǎng)絡(luò)，它就能使用P2P通信去

控制受感染的設(shè)備。

3.攻擊者會(huì)經(jīng)過(guò)一個(gè)直連物理連接感染網(wǎng)絡(luò)，如感生病毒的U盤(pán)。

下載真實(shí)的APT：一旦進(jìn)入組織內(nèi)部，幾乎在所有的攻擊案例中，惡意軟

件執(zhí)行的第一個(gè)重要操作就是使用DNS從一個(gè)遠(yuǎn)程服務(wù)器上下載真實(shí)的APT。

在成功實(shí)現(xiàn)惡意目標(biāo)方面，真實(shí)的APT比初始感染要興隆好多。

流傳和連回攻擊源：一旦下載和安裝此后，APT會(huì)禁用運(yùn)行在已感染計(jì)算

機(jī)上的反病毒軟件或近似軟件。不幸的是，這個(gè)操作其實(shí)不難。此后，APT平時(shí)

會(huì)收集一些基礎(chǔ)數(shù)據(jù)，此后使用DNS連接一個(gè)命令與控制服務(wù)器，接收下一步

的指令。

數(shù)據(jù)盜?。汗粽呖赡茉谝淮纬晒Φ腁PT中發(fā)現(xiàn)數(shù)量達(dá)到TB級(jí)的數(shù)據(jù)。在

一些案例中，APT會(huì)經(jīng)過(guò)接收指令的相同命令與控制服務(wù)器接收數(shù)據(jù)?？墒牵?/p>

平時(shí)這些中介服務(wù)器的帶寬和存儲(chǔ)容量不足以在有限的時(shí)間范圍內(nèi)傳輸完數(shù)據(jù)。

其他，傳統(tǒng)數(shù)據(jù)還需要更多的步驟，而步驟越多就越簡(jiǎn)單被人發(fā)現(xiàn)。因此，APT

平時(shí)會(huì)直接連接另一個(gè)服務(wù)器，將它作為數(shù)據(jù)存儲(chǔ)服務(wù)器，將所有盜取的數(shù)據(jù)上

傳到這個(gè)服務(wù)器中。最后這個(gè)階段相同會(huì)使用DNS。

APT攻擊防范方式

使用威脅情報(bào)。這包括APT操作者的最新信息；從剖析惡意軟件獲取的威

脅情報(bào)；已知的C2網(wǎng)站；已知的不良域名、電子郵件地址、惡意電子郵件附件、

電子郵件主題行；以及惡意鏈接和網(wǎng)站。威脅情報(bào)在進(jìn)行商業(yè)銷(xiāo)售，并由行業(yè)網(wǎng)

絡(luò)安全組共享。企業(yè)必定保證情報(bào)的相關(guān)性和及時(shí)性。威脅情報(bào)被用來(lái)建立“絆

網(wǎng)”來(lái)提示你網(wǎng)絡(luò)中的活動(dòng)。

建立興隆的出口規(guī)則。除網(wǎng)絡(luò)流量（必定經(jīng)過(guò)代理服務(wù)器）外，阻截企業(yè)的

所有出站流量，阻截所有數(shù)據(jù)共享、誒網(wǎng)站和未分類(lèi)網(wǎng)站。阻截SSH、FTP、Telnet

或其他端口和協(xié)議走開(kāi)網(wǎng)絡(luò)。這能夠打破惡意軟件到C2主機(jī)的通信信道，阻截

未經(jīng)授權(quán)的數(shù)據(jù)溢出網(wǎng)絡(luò)。

收集興隆的日志剖析。企業(yè)應(yīng)該收集和剖析對(duì)要點(diǎn)網(wǎng)絡(luò)和主機(jī)的詳細(xì)日志記

錄以檢查異常行為。日志應(yīng)保留一段時(shí)間以便進(jìn)行檢查。還應(yīng)看作立與威脅情報(bào)

般配的警報(bào)。

邀請(qǐng)安全剖析師。安全剖析師的作用是配合威脅情報(bào)、日志剖析以及提示對(duì)

APT的積極防守。這個(gè)職位的要點(diǎn)是經(jīng)驗(yàn)。

是風(fēng)的細(xì)語(yǔ)、是雨的柔順、斑駁了一道道古老的傷心，刻在了燈火闌

珊處?

是橋的滄桑、是石的印跡、流年了一首首迂腐的詩(shī)韻，銘在了秋月三

更天?

海棠紅袖添香，墨跡染血悲涼。寧?kù)o中，晨曦相伴花香，展一箋前生

的千秋歌遙;

清雨深巷幽笛，揮灑寒月銀裝。情濃處，夕陽(yáng)西落桃源，留一篇今生

的婉艷霓裳。

挽細(xì)風(fēng)拂墨，潑灑一秋雨紅，撥開(kāi)海棠的花事，聆聽(tīng)花瓣細(xì)語(yǔ)呢喃，

深情里，香醉十里桃花，溪留百畝婉藍(lán)。

搖晃的風(fēng)鈴，恍然的倩影。沉月入水禪心未改，凝霜了一夜煙波的傷

夢(mèng)。靈潤(rùn)如玉的杏花黃似菊染的絲雨，陣陣飄瑩、落琴弦瑟。

拂墨細(xì)風(fēng)，筆尖瑩繞了一圈年輪，輕輕的描出了圓圓的印跡，淡色中，

雅致的輕雨，穿巷飄過(guò)，留下了一串串流香的詩(shī)花。模糊的撇捺、不清的

橫豎，送走著殘血的歲月。

摘一支輕雨，鋪一箋墨跡，在燈火闌珊處窺探一葉欞窗，熟悉的倩影

淡淡一笑，傾城了歲月的柔情，暖雨中深情了情侶的夢(mèng)香。

一杯細(xì)風(fēng)，半壺墨跡。捧著寧?kù)o的角落，獨(dú)飲墨香，留韻素白。細(xì)風(fēng)

拂過(guò)，開(kāi)滿(mǎn)了一園禪意，一片櫻花。