信息安全工程师教程学习笔记五

信息安全工程师教程学习笔录（五）

全国计算机技术与软件专业技术资格（水平）考试，这门新开的信息安全工

程师分属该考试“信息系统”专业，位处中级资格。官方教材《信息安全工程师

教程》及考试大纲于7月1日初版，希赛小编整理了信息安全工程师教程学习

笔录，供大家参照学习。

暗网

暗网，又称深网。据估计，暗网比表面网站大几个数量级。

暗网（深网，不能够见网，隐蔽网）是指那些存储在网络数据库里、但不能够通

过超链接接见而需要经过动向网页技术接见的资源会集，不属于那些能够被标准

找寻引擎索引的表面网络。

暗网的定义

暗网（深网，不能够见网，隐蔽网）是指那些存储在网络数据库里、不能够经过

超链接接见而需要经过动向网页技术接见的资源会集，不属于那些能够被标准搜

索引擎索引的表面网络。

迈克尔·伯格曼将现在互联网上的找寻服务比喻为像在地球的海洋表面的拉

起一个大网的找寻，大量的表面信息诚然能够经过这种方式被查找获取，可是还

有相当大量的信息由于隐蔽在深处而被找寻引擎错失掉。绝大部分这些隐蔽的信

息是须经过动向央求产生的网页信息，而标准的找寻引擎却无法对其进行查找。

传统的找寻引擎“看”不到，也获取不了这些存在于暗网的内容，除非经过特定

的找寻这些页面才会动向产生。于是相对的，暗网就隐蔽了起来。

本源和现状

HiddenWeb最初由Dr．JillEllsworth于1994年提出，指那些没有被任

何找寻引擎索引注册的网站：

“这些网站可能已经被合理地设计出来了，可是他们却没有被任何找寻引擎

编列索引，以致于事实上没有人能找到他们。我能够这样对这些不能够见的网站说，

你们是隐蔽了的。”

其他早期使用“不能够见网络”这一术语，是一家叫做“个人图书馆软件”公

司的布鲁斯·芒特（产品开发总监）和马修·B·科尔（首席执行官和创办人）发明

的。当他们企业在1996年12月推出和刊行的一款软件时，他们对暗网工具的

有过这样的一番描述：

不能够见网络这一术语其实其实不正确,它描述的可是那些在暗网中，可被找寻

的数据库不被标准找寻引擎索引和盘问的内容，而对于知道如何进入接见这些内

容的人来说，它们又是相当可见的。

第一次使用暗网这一特定术语，是2001年伯格曼的研究中间。

从信息量来讲，与能够索引的数据比较，“暗网”更是要弘大得多。依照

BrightPlanet企业此前宣布的一个名为《TheDeepWeb-SurfacingThe

HiddenValue》（深层次网络，隐蔽的价值）白皮书中供应的数据，“暗网”

包括100亿个不重复的表单，其包括的信息量是“非暗网”的40倍，有效高质

内容总量最少是后者的1000倍到2000倍。更让人慌张失措的是，BrightPlanet

发现，无数网站越来越像孤立的系统，忧如没有打算与其他网站共享信息，这样

一来，“暗网”已经成为互联网新信息增添的最大本源，也就是说，互联网正在

变得“越来越暗”。

自然，所谓“暗网”，其实不是真实的“不能够见”，对于知道如何接见这些内

容的人来说，它们无疑是可见的。2001年，ChristSherman、GaryPrice对

HiddenWeb定义为：诚然经过互联网能够获取，但一般找寻引擎由于受技术

限制而不能够或不作索引的那些文本页、文件或其他平时是高质量、声威的信息。

依照对HiddenWeb的检查文件获取了以下有意义的发现：

HiddenWeb大概有307,000个站点，450,000个后台数据库和1,258,000

个盘问接口。它仍在迅速增添，从2000年到2004年，它增添了3～7倍。

HiddenWeb内容分布于多种不一样样的主题领域，电子商务是主要的驱动力

量，但非商业领域相对占更大比重。

现在的爬虫其实不是圆满爬行不到HiddenWeb后台数据库内，一些主要的搜

索引擎已经覆盖HiddenWeb大概三分之一的内容。可是，在覆盖率被骗前搜

索引擎存在技术上的实质弊端。

HiddenWeb中的后台数据库大多是结构化的，其中结构化的是非结构化

的3．4

倍之多。

诚然一些HiddenWeb目录服务已经开始索引

Web

数据库，可是它们的

覆盖率比较小，仅为0．2%～15．6%。

Web

数据库经常位于站点浅层，多达

94%的

Web

数据库能够在站点前

3

层发现。

暗网的分类

它分为两种：

一种是技术的原因，好多网站自己不规范、也许说互联网自己缺少一致规则，

以致了找寻引擎的爬虫无法鉴别这些网站内容并抓取，这不是找寻引擎自己就能

解决的问题，而是有赖整个网络结构的规范化，百度的“阿拉丁计划”、谷歌的

“云计算”就是要从根本解决这一问题。

另一个原因则是好多网站根本就不愿意被找寻引擎抓取，比方考虑到版权保

护内容、个人隐私内容等等，这更不是找寻引擎能解决的问题了。若是他们能被

找寻引擎抓取到，就属于违纪了。

数据显示，能够找寻到的数据仅占所有信息量的千分之二。而对暗网的挖掘

能扩大找寻数据库，令人们能够在找寻引擎上找寻到更多的网页、信息。

几乎任何有理想的通用找寻引擎都有一个共同的梦想：整合人类所有信息，

并让大家用最便利的方式各取所需。

对此，百度说：“让人们最便利地获守信息，找到所求”；谷歌说：“整合

全球信息，令人人皆可接见并从中受益”。这两者表达的实际上是同一个愿景。

可是，这注定是一项不能够能完成的任务。据科学家估测，人类信息大概只有

0.2%实现了web化，并且这个比率很可能在连续降低。更其的是，即便在已经

Web化的信息中，找寻引擎的蜘蛛能抓取到的和不能够抓取到的比率为1:500。

APT

APT（AdvancedPersistentThreat）--------高级连续性威胁。利用先进

的攻击手段对特定目标进行长远连续性网络攻击的攻击形式，APT攻击的原理

有对于其他攻击形式更为高级和先进，其高级性主要表现在APT在发动攻击之

前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，

此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻

击者所需的网络，并利用0day漏洞进行攻击。

高级连续性威胁(AdvancedPersistentThreat，APT)，威胁着企业的数据

安全。APT是黑客以盗取核心资料为目的，针对客户所发动的网络攻击和侵袭

行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为经常经过长远的经营

与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐蔽自己，针对特定对

象，长远、有计划性和组织性地盗取数据，这种发生在数字空间的偷窃资料、搜

集情报的行为，就是一种“网络间谍”的行为。

种类

APT入侵客户的路子多种多样，主要包括以下几个方面。

——以智妙手机、平板电脑和USB等搬动设备为目标和攻击对象既而入侵

企业信息系统的方式。

——社交工程的恶意邮件是好多APT攻击成功的要点因素之一，随着社交

工程攻击手法的日益成熟，邮件几乎真假难辨。从一些碰到APT攻击的大型企

业能够发现，这些企业碰到威胁的要点因素都与一般员工遇到社交工程的恶意邮

件相关。黑客刚一开始，就是针对某些特定员工发送垂钓邮件，以此作为使用

APT手法进行攻击的源泉。

——利用防火墙、服务器等系统漏洞既而获取接见企业网络的有效凭证信

息是使用APT攻击的另一重要手段。

总之，高级连续性威胁(APT)正在经过所有方式，绕过基于代码的传统安全

方案(如防病毒软件、防火墙、IPS等)，并更长时间地隐蔽在系统中，让传统防

御系统难以侦测。

“隐蔽性和连续性”是APT攻击最大的威胁，其主要特色包括以下内容。

——隐蔽性：这些新式的攻击和威胁可能在用户环境中存在一年以上或更

久，他们不断收集各种信息，直到收集到重要情报。而这些发动APT攻击的黑

客目的经常不是为了在短时间内盈利，而是把“被控主机”看作跳板，连续找寻，

直到能圆满掌握所针对的目标人、事、物，因此这种APT攻击模式,实质上是一

种“恶意商业间谍威胁”。

——连续性：由于APT攻击拥有连续性甚至长达数年的特色，这让企业的

管理人员无从察觉。在此时期，这种“连续性”表现在攻击者不断试一试的各种攻

击手段，以及浸透到网络内部后长远冬眠。

——锁定特定目标：针对特定政府或企业，长远进行有计划性、组织性的

盗取情报行为,针对被锁定对象寄送几可乱真的社交工程恶意邮件，如冒充客户

的来信,获取在计算机植入恶意软件的第一个时机。

——安装远程控制工具：攻击者建立一个近似僵尸网络Botnet的远程控制

架构，攻击者会如期传达有隐蔽价值文件的副本给命令和控制服务器(C&C

Server)审查。将过滤后的敏感机密数据，利用加密的方式外传。

APT攻击三个阶段

初始感染：初始感染能够有以下三种方式：

1.攻击者发送恶意软件电子邮件给一个组织内部的收件人。比方，

Cryptolocker就是一种感染方式，它也称为欺骗软件，其攻击目标是Windows

个人电脑，会在看似正常的电子邮件附件中假装。一旦收件人打开附件，

Cryptolocker就会在当地磁盘上加密文件和照射网络磁盘。若是你不乖乖地交

赎金，恶意软件就会删除加密密钥，从而使你无法接见自己的数据。

2.攻击者会感染一个组织中用户经常经过DNS接见的网站。出名的端到端

战网GameoverZeus就是一个例子，一旦进入网络，它就能使用P2P通信去

控制受感染的设备。

3.攻击者会经过一个直连物理连接感染网络，如感生病毒的U盘。

下载真实的APT：一旦进入组织内部，几乎在所有的攻击案例中，恶意软

件执行的第一个重要操作就是使用DNS从一个远程服务器上下载真实的APT。

在成功实现恶意目标方面，真实的APT比初始感染要兴隆好多。

流传和连回攻击源：一旦下载和安装此后，APT会禁用运行在已感染计算

机上的反病毒软件或近似软件。不幸的是，这个操作其实不难。此后，APT平时

会收集一些基础数据，此后使用DNS连接一个命令与控制服务器，接收下一步

的指令。

数据盗取：攻击者可能在一次成功的APT中发现数量达到TB级的数据。在

一些案例中，APT会经过接收指令的相同命令与控制服务器接收数据。可是，

平时这些中介服务器的带宽和存储容量不足以在有限的时间范围内传输完数据。

其他，传统数据还需要更多的步骤，而步骤越多就越简单被人发现。因此，APT

平时会直接连接另一个服务器，将它作为数据存储服务器，将所有盗取的数据上

传到这个服务器中。最后这个阶段相同会使用DNS。

APT攻击防范方式

使用威胁情报。这包括APT操作者的最新信息；从剖析恶意软件获取的威

胁情报；已知的C2网站；已知的不良域名、电子邮件地址、恶意电子邮件附件、

电子邮件主题行；以及恶意链接和网站。威胁情报在进行商业销售，并由行业网

络安全组共享。企业必定保证情报的相关性和及时性。威胁情报被用来建立“绊

网”来提示你网络中的活动。

建立兴隆的出口规则。除网络流量（必定经过代理服务器）外，阻截企业的

所有出站流量，阻截所有数据共享、诶网站和未分类网站。阻截SSH、FTP、Telnet

或其他端口和协议走开网络。这能够打破恶意软件到C2主机的通信信道，阻截

未经授权的数据溢出网络。

收集兴隆的日志剖析。企业应该收集和剖析对要点网络和主机的详细日志记

录以检查异常行为。日志应保留一段时间以便进行检查。还应看作立与威胁情报

般配的警报。

邀请安全剖析师。安全剖析师的作用是配合威胁情报、日志剖析以及提示对

APT的积极防守。这个职位的要点是经验。

是风的细语、是雨的柔顺、斑驳了一道道古老的伤心，刻在了灯火阑

珊处?

是桥的沧桑、是石的印迹、流年了一首首迂腐的诗韵，铭在了秋月三

更天?

海棠红袖添香，墨迹染血悲凉。宁静中，晨曦相伴花香，展一笺前生

的千秋歌遥;

清雨深巷幽笛，挥洒寒月银装。情浓处，夕阳西落桃源，留一篇今生

的婉艳霓裳。

挽细风拂墨，泼洒一秋雨红，拨开海棠的花事，聆听花瓣细语呢喃，

深情里，香醉十里桃花，溪留百亩婉蓝。

摇晃的风铃，恍然的倩影。沉月入水禅心未改，凝霜了一夜烟波的伤

梦。灵润如玉的杏花黄似菊染的丝雨，阵阵飘莹、落琴弦瑟。

拂墨细风，笔尖莹绕了一圈年轮，轻轻的描出了圆圆的印迹，淡色中，

雅致的轻雨，穿巷飘过，留下了一串串流香的诗花。模糊的撇捺、不清的

横竖，送走着残血的岁月。

摘一支轻雨，铺一笺墨迹，在灯火阑珊处窥探一叶棂窗，熟悉的倩影

淡淡一笑，倾城了岁月的柔情，暖雨中深情了情侣的梦香。

一杯细风，半壶墨迹。捧着宁静的角落，独饮墨香，留韵素白。细风

拂过，开满了一园禅意，一片樱花。