本书围绕网络攻击链7个阶段,系统地介绍了网络空间攻击活动在侦察目标、制作工具、传送工具、触发工具、安装木马、建立连接和目标行动中的常用攻击技术原理、方法和危害效果,并有针对性地分析了有效可靠的防御机制和防御措施,最后紧扣高级持续性威胁这种网络安全领域重点关注的安全威胁行为进行分析和应对研讨。本书观点新颖,构建攻击技术与防御方法对应分析,从攻击技术原理方法入手挖掘防御措施并指导防御行动的独特思路。
本书的创新之处在于其研究视角与方法论:以网络攻击者的视角切入,对网络与信息安 全问题进行深度剖析,研究有效的阻断攻击之法。视角突破了传统网络防御性研究的局限,通过逆向工程思维,以网络攻击过程中的典 型现象为主线,系统拆解攻击链的各关键节点。在此基础上,不仅深入探讨威胁的原理根源,更针对性研究每阶段的有效防护手段与机制,实现从“被动防御”到“主动应对”的跃迁。同时,本书还深度融合作者在网络信息安 全领域的丰富科研实践经验,将针对特殊网络环境的前沿研究成果与网络攻击过程的分析相结合,将理论化的有效防御方法与现实防护技术运用进行有机整合,形成具有技术价值与应用深度的内容体系。基于“以攻促防”的研究范式,构建“知攻善防、攻防兼备”的知识框架,为读者提供了从攻击视角理解防护逻辑的新路径。本书内容不仅具备理论深度,更强调实践指导意义,旨在填补同类书籍在攻击链分析与防御技术融合方面的空白,成为网络空间安 全领域的标志性创新之作。
祝宁
副教授,主要从事网络空间安 全、网络防御、信息安 全测评等领域的研究工作。主持863计划一项,完成国 家 级课题近三十项,主要涉及网络攻防、信息安 全测评、信息安 全发展战略研究等方向。曾经出版《信息安 全管理(第 二版)》《网络安 全通信协议》。
郭渊博
教授,主要从事网络安 全保密设计、容忍入侵与系统可生存性领域的研究工作。先后主持国家自然科学基金、863计划、河南省杰出青年基金、中国博士后科学基金等。曾经出版的《容忍入侵方法与应用》《无线局域网安 全:设计及实现》。
第1章 网络信息对抗 1
1.1 网络空间与网络空间安全 1
1.1.1 网络空间 2
1.1.2 网络空间安全 2
1.2 信息对抗与网络对抗 4
1.2.1 信息对抗 4
1.2.2 网络对抗 6
1.2.3 网络信息对抗过程 8
1.3 网络攻击与网络防御 10
1.3.1 网络攻击 11
1.3.2 网络防御 16
1.4 网络攻击链 19
1.5 本章小结 21
习题 22
第2章 网络侦察与反侦察 23
2.1 网络侦察 23
2.2 开源信息分析 24
2.2.1 Web公开信息 25
2.2.2 融合型的社交平台 25
2.2.3 搜索引擎服务 26
2.2.4 网络信息查询服务 27
2.3 社会工程攻击 28
2.3.1 网络安全领域的社会工程攻击 29
2.3.2 社会工程攻击的基本方法 30
2.3.3 利用社会工程攻击开展网络侦察 31
2.4 网络探测技术 33
2.4.1 网络嗅探 33
2.4.2 网络拓扑绘制 36
2.4.3 主机特征探测 40
2.4.4 漏洞信息挖掘 50
2.5 网络反侦察 55
2.5.1 网络分割技术 55
2.5.2 网络加密技术 57
2.5.3 网络诱骗技术 58
2.6 本章小结 61
习题 61
第3章 网络空间攻击武器与预警 62
3.1 网络空间攻击武器概述 62
3.2 窃取篡改类网络空间攻击武器:恶意代码 65
3.2.1 恶意代码概述 65
3.2.2 计算机病毒 67
3.2.3 网络蠕虫 71
3.2.4 木马 72
3.2.5 其他恶意代码 75
3.3 破坏摧毁类网络空间攻击武器:拒绝服务攻击 76
3.3.1 拒绝服务攻击概述 77
3.3.2 语义型拒绝服务攻击 77
3.3.3 泛洪型拒绝服务攻击 81
3.3.4 降质型拒绝服务攻击 83
3.3.5 分布式拒绝服务攻击 86
3.4 欺骗诱导类网络空间攻击武器:欺骗攻击 89
3.4.1 欺骗攻击概述 89
3.4.2 ARP欺骗攻击 90
3.4.3 ICMP重定向攻击 92
3.4.4 IP地址欺骗攻击 93
3.4.5 DNS欺骗攻击 94
3.4.6 SMB中间人攻击 95
3.4.7 重放攻击 96
3.5 网络攻击识别与预警 97
3.5.1 网络攻击识别与预警的要求 97
3.5.2 网络空间测绘系统 98
3.5.3 漏洞收集预警平台 98
3.5.4 威胁情报感知推送系统 98
3.5.5 安全监控综合预警系统 99
3.6 本章小结 99
习题 99
第4章 攻击载荷投送与阻断 100
4.1 攻击载荷投送概述 100
4.1.1 攻击载荷 100
4.1.2 载荷投送 101
4.2 口令攻击 101
4.2.1 口令攻击的基本方法 102
4.2.2 Windows口令存储攻击 108
4.2.3 Linux/UNIX系统口令存储攻击 111
4.3 缓冲区溢出攻击 113
4.3.1 缓冲区与缓冲区溢出 113
4.3.2 缓冲区溢出的类型 115
4.3.3 缓冲区溢出攻击的基本流程 120
4.3.4 缓冲区溢出攻击的关键技术 121
4.4 Web应用攻击 123
4.4.1 SQL注入攻击 124
4.4.2 跨站脚本攻击 128
4.4.3 跨站请求伪造 131
4.4.4 WebShell 132
4.5 攻击载荷投送的阻断方法 133
4.5.1 防病毒技术 133
4.5.2 访问控制技术 134
4.5.3 安全隔离技术 135
4.5.4 可信计算技术 136
4.5.5 拟态防御技术 137
4.6 本章小结 138
习题 138
第5章 攻击载荷触发与清理 139
5.1 程序自动加载 139
5.2 程序特征隐藏 142
5.2.1 程序文件隐藏 142
5.2.2 运行行为隐藏 143
5.2.3 传输信道隐藏 145
5.3 程序潜伏生存 147
5.3.1 反跟踪技术 147
5.3.2 加密技术 148
5.3.3 模糊变换混淆技术 148
5.3.4 互锁监视 149
5.3.5 免杀保护 150
5.4 威胁发现与清理 150
5.4.1 恶意代码检测 151
5.4.2 日志文件分析 151
5.4.3 运行监测与鉴别 152
5.4.4 容错与可靠性技术 152
5.5 本章小结 153
习题 153
第6章 攻击据点维持与反制 154
6.1 后门开辟 154
6.2 痕迹清理 155
6.2.1 Windows系统痕迹清理 156
6.2.2 Linux系统痕迹清理 160
6.2.3 安全设备痕迹清理 164
6.3 攻击反制与查证 164
6.3.1 安全审计 165
6.3.2 攻击追踪溯源 167
6.3.3 计算机取证 169
6.4 本章小结 171
习题 171
第7章 高级持续性威胁攻击 172
7.1 APT攻击概述 172
7.1.1 APT攻击的定义 172
7.1.2 APT攻击的过程 174
7.1.3 APT攻击的常用手段 175
7.2 典型APT攻击案例分析 176
7.2.1 Stuxnet蠕虫与伊朗核设施破坏事件 176
7.2.2 BlackEnergy与乌克兰停电事件 180
7.2.3 “落鹰行动”与产品供应链攻击事件 183
7.3 APT攻击的发展趋势与防范措施 186
7.3.1 APT攻击的发展趋势 187
7.3.2 APT攻击的防范措施 188
7.4 本章小结 189
习题 190
参考文献 191
书单推荐
