20242934 2024-2025-2 《网络攻防实践》课程总结

第1次实践 (网络攻防环境的搭建)[https://www.cnblogs.com/yifan123/p/18753850]：

本次实验系统地学习了如何利用VMware Workstation搭建完整的网络攻防实践环境。实验内容主要包括四个关键组件的配置：攻击机选用Kali Linux操作系统，集成了丰富的渗透测试工具；靶机采用Metasploitable漏洞测试平台，预置了多种安全漏洞；SEED虚拟机提供标准化的安全实验环境；蜜网网关（Honeynet）则用于模拟真实网络中的攻击监控。

在实践过程中，重点掌握了虚拟机网络配置技术，包括桥接模式、NAT模式和仅主机模式的选择与配置。通过系统安装与配置环节，深入理解了不同操作系统的安装流程和基本设置。在网络配置方面，学习了静态IP地址分配、子网划分以及网络连通性测试（如ping、traceroute等命令的使用），确保各虚拟机之间能够正常通信。

此外，实验还对各个平台的安全工具功能进行了初步探索，包括Kali Linux中的Metasploit框架、Nmap扫描工具，以及蜜网网关的数据捕获和分析功能。这些实践不仅加深了对网络安全基础知识的理解，更为后续开展更复杂的漏洞利用、渗透测试和入侵检测等攻防实践奠定了坚实的技术基础。整个实验过程培养了系统化的网络安全实验环境搭建能力，为今后的安全研究和实践工作提供了重要支撑。

第2次实践 (网络信息收集技术)[https://www.cnblogs.com/yifan123/p/18756193]：

本次实验系统性地学习了网络侦查和信息收集的关键技术，主要包括五个核心环节：首先通过DNS信息查询技术，掌握了域名注册人信息、IP地址解析及地理位置定位的方法；其次实践了网络追踪技术，能够获取目标主机的IP地址及其物理位置信息；第三是利用Nmap网络扫描工具，实现了对目标网络的活跃主机探测、开放端口扫描、操作系统识别和服务版本检测；第四是通过Nessus漏洞评估系统，对目标系统进行深度漏洞扫描，分析服务漏洞并规划潜在攻击路径；最后还实践了个人信息泄露检查技术，了解网络空间中的敏感信息暴露风险。

实验过程中，重点掌握了whois查询、dig/nslookup命令使用、traceroute路由追踪等基础网络侦查工具的操作技巧。通过Nmap的多种扫描模式（如TCP SYN扫描、UDP扫描）和脚本引擎的应用，提升了网络探测的精确度。在漏洞评估环节，学会了如何解读Nessus扫描报告，识别高危漏洞并评估其风险等级。这些实践不仅加深了对网络侦查技术原理的理解，更培养了系统化的信息安全风险评估能力，为后续的渗透测试和网络安全防护工作奠定了坚实基础，同时也增强了个人信息保护意识。

第3次实践 (网络嗅探与协议分析)[https://www.cnblogs.com/yifan123/p/18770803]：

本次实验系统学习了网络流量分析与安全审计的关键技术，主要包括三个核心实践环节：首先利用tcpdump工具进行网站访问流量嗅探，通过捕获和分析HTTP/HTTPS数据包，成功识别出访问的Web服务器数量及其对应IP地址，掌握了基础网络流量监控方法；其次借助Wireshark深度解析TELNET协议通信过程，通过数据包捕获与分析，完整还原了登录认证流程，清晰观察到用户名和密码以明文形式传输的安全风险，深入理解了不加密协议的安全缺陷；最后进行网络取证分析实战，从预先捕获的网络流量数据中成功识别出Nmap扫描行为，通过分析TCP SYN扫描特征、目标端口分布等关键信息，准确判断扫描工具类型及攻击者的操作系统指纹。

通过本次实验，不仅掌握了tcpdump和Wireshark等专业工具的配置与使用方法，更深入理解了常见网络协议的工作原理及安全特性。在实践过程中培养了敏锐的安全审计能力，能够通过流量特征识别潜在的网络扫描和攻击行为。这些技能对于网络安全监控、入侵检测和事件响应都具有重要价值，为后续开展更复杂的安全分析和防御工作奠定了扎实基础。

第4次实践 (TCP/IP网络协议攻击)[https://www.cnblogs.com/yifan123/p/18783352]：

本次实验系统性地研究了TCP/IP协议栈常见攻击技术及其防御方法，重点实践了五种典型网络攻击方式。在链路层攻击方面，通过ARP欺骗实现了中间人攻击（MITM），利用协议设计缺陷成功劫持了目标主机通信流量；在网络层攻击中，实施了ICMP重定向攻击，验证了路由欺骗对网络流量的劫持效果；针对传输层协议漏洞，分别开展了SYN Flood拒绝服务攻击、伪造RST包中断合法TCP连接以及TCP会话劫持三项实验，深入理解了TCP三次握手缺陷和序列号预测等安全问题。

实验过程中，综合运用了Wireshark、Scapy、Netwox等专业工具，掌握了网络嗅探、数据包伪造与注入等关键技术。通过分析各层协议的安全缺陷，不仅加深了对ARP协议无认证机制、ICMP协议信任问题、TCP协议状态机弱点等理论知识的理解，更培养了从攻击者视角分析协议安全性的能力。这些实践经验为后续构建纵深防御体系、部署入侵检测系统（IDS）等安全防护工作提供了重要参考，有效提升了网络安全风险评估和协议安全加固的实战能力。

第5次实践 (网络安全防范技术)[https://www.cnblogs.com/yifan123/p/18796456]：

本次实验系统性地掌握了网络安全防护的核心技术体系，重点围绕三大关键防护能力展开实践。在边界防御方面，通过对比实践Linux平台iptables与Windows防火墙的配置，深入掌握了基于协议类型(ICMP)和源IP地址的精细化访问控制策略部署方法，实现了网络流量的精准管控。在入侵检测环节，利用Snort开源IDS系统开展离线流量分析实验，通过编写和优化检测规则，成功识别出包括端口扫描、DoS攻击在内的多种网络攻击行为，培养了基于特征签名的威胁检测能力。

实验重点剖析了蜜网网关的纵深防御架构，通过分析其将防火墙的主动阻断能力与IDS/IPS的智能检测功能相结合的联动机制，深入理解了"监测-分析-响应"三位一体的动态防御理念。在实践过程中，不仅掌握了防火墙策略优化、入侵检测规则语法编写等基础技能，更通过安全设备联动实验，培养了构建多层次防御体系的系统化思维。这些实践有效提升了网络安全防护的实战能力。

第6次实践 (Windows操作系统安全攻防)[https://www.cnblogs.com/yifan123/p/18807466]：

本次实验系统性地完成了渗透测试全流程的实战演练，重点围绕漏洞利用、攻击分析和防御对抗三个维度展开。在漏洞利用阶段，基于Metasploit框架对Windows靶机的MS08-067漏洞实施远程攻击，通过精确配置攻击载荷成功获取系统级控制权限，并利用Meterpreter会话实现权限维持和后渗透操作。在攻击分析环节，通过系统日志审计和网络流量取证，完整还原了攻击链的各个环节：包括漏洞扫描、利用代码注入、特权提升以及横向移动等攻击行为特征。在团队对抗实践中，采用红蓝对抗模式，攻方运用Nmap扫描、漏洞利用等渗透技术，守方则通过Wireshark流量分析、日志审计等手段进行攻击检测和溯源取证。

实验过程中深入剖析了MS08-067漏洞的底层原理，包括Windows Server服务中的缓冲区溢出机制，以及ROP链构造等利用技术。通过分析攻击流量特征，掌握了检测异常SMB请求、识别Meterpreter会话等防御技术。这些实践不仅培养了完整的渗透测试思维，更建立了"以攻促防"的安全意识，有效提升了在真实网络环境中的攻防对抗能力。

第7次实践 (Linux操作系统攻防)[https://www.cnblogs.com/yifan123/p/18818200]：

本次实验系统性地完成了Linux环境下渗透测试技术的全流程实践，重点围绕漏洞利用和攻防对抗两个核心维度展开深入研究。在漏洞利用方面，针对Linux Samba服务的Usermap_script漏洞（CVE-2007-2447）进行了完整的渗透测试实践：首先使用Nmap识别目标系统开放的Samba服务端口；随后通过Metasploit框架精准配置攻击模块，选择反向TCP连接作为攻击载荷，成功实现远程代码执行并获取root权限；最后利用Meterpreter会话实施权限维持、敏感信息收集等后渗透操作，完整演练了从初始访问到权限提升的完整攻击链。

在攻防对抗环节，采用"红蓝对抗"模式：攻击方通过精心构造的恶意请求触发漏洞，防御方则综合运用tcpdump实时流量捕获、Wireshark深度协议分析以及Snort入侵检测系统，成功识别出攻击流量中的关键特征，包括异常的SMB协议请求格式、恶意载荷注入模式等。通过对比分析正常服务请求与攻击流量的差异，深入理解了Linux服务漏洞的利用原理及检测方法。

实验特别注重攻防能力的平衡培养，在掌握漏洞利用技术的同时，重点强化了安全防御技能：包括Samba服务安全配置加固、网络访问控制策略优化、入侵检测规则编写等防御措施。通过本次实践，不仅建立了完整的Linux渗透测试知识体系，更培养了"以攻促防"的安全思维，有效提升了在复杂网络环境中的综合安全防护能力。

第8次实践 (恶意代码分析实践 )[https://www.cnblogs.com/yifan123/p/18830589]：

本次实验系统性地开展了恶意代码分析与僵尸网络追踪技术研究，通过完整的分析流程实践，培养了专业的恶意代码研究能力。在静态分析阶段，综合运用PEiD进行样本加壳检测，通过Strings工具提取关键字符串信息，成功定位到样本内嵌的作者标识、C&C服务器地址等关键特征；在动态分析环节，基于IDA Pro对Crackme程序进行逆向工程分析，通过控制流图重建、函数调用分析等技术，完整还原了注册验证算法逻辑，掌握了软件破解的核心方法。

实验将样本分析与网络行为检测相结合，通过对Snort入侵检测日志的深度分析，成功追踪到僵尸网络的IRC控制信道通信特征，识别出漏洞利用过程（如MS08-067漏洞攻击）和横向移动路径（如SMB暴力破解）。在分析过程中，特别注重关联分析技术的应用，将二进制样本中的硬编码信息与网络流量特征进行交叉验证，构建了从样本分析到网络行为检测的完整证据链。

通过本次实验，不仅掌握了基础的静态特征分析、动态调试技术，更深入理解了恶意代码的工作原理和僵尸网络的运作机制。这些实践有效提升了恶意代码分析、安全事件调查等专业能力，为后续开展威胁情报分析、APT攻击溯源等高级安全研究工作奠定了坚实基础，同时培养了结合逆向工程与网络取证的综合分析能力，形成了立体化的安全研究思维体系。

第9次实践 (软件安全攻防--缓冲区溢出和shellcode)[https://www.cnblogs.com/yifan123/p/18844365]：

本次实验系统掌握了二进制程序漏洞利用的核心技术，通过三个关键环节开展实践研究。首先采用十六进制编辑器直接修改PE文件机器码，通过调整跳转指令实现执行流劫持，直观理解了程序运行机制。其次针对栈溢出漏洞，通过构造超长输入数据精确覆盖返回地址，结合OllyDbg动态调试验证了攻击可行性，深入分析了x86架构下的函数调用约定和栈帧结构。最后创新性地结合Metasploit生成Shellcode，利用NOP雪橇技术绕过安全防护，成功实现代码执行。实验过程中综合运用IDA Pro静态分析和GDB动态调试，系统掌握了从漏洞定位、PoC构造到稳定利用的完整技术链条。通过本次实践，不仅培养了二进制逆向分析和漏洞利用的实战能力，更建立了从攻击者视角审视软件安全的思维方式，为后续漏洞挖掘和渗透测试工作奠定了坚实基础，同时为开发安全可靠的软件系统提供了重要参考。

第10次实践 (Web应用程序安全攻防)[https://www.cnblogs.com/yifan123/p/18866207]：

本次实验系统性地开展了Web安全攻防技术研究，围绕SQL注入和XSS两大核心漏洞进行了深入实践。在SQL注入环节，通过手工构造恶意输入，成功利用SELECT语句漏洞绕过登录验证，实现未授权访问；进一步通过UPDATE语句漏洞篡改数据库内容，掌握了基于错误回显和盲注的攻击技术。针对防御措施，重点实践了预编译语句、参数化查询等修复方案，理解了输入过滤和最小权限原则的重要性。

在XSS攻击研究中，从基础的alert弹窗测试入手，逐步深入实践了Cookie窃取、会话劫持等攻击手法，最终实现了具有自我传播能力的XSS蠕虫。通过分析DOM型、存储型和反射型XSS的差异，掌握了针对不同场景的攻击方法。在防御方面，重点研究了Content Security Policy策略配置、HttpOnly属性设置等防护措施，深入理解了纵深防御的理念。

实验采用"攻防对抗"模式，通过Burp Suite等工具开展漏洞利用，同时结合WAF规则配置进行防御演练。这些实践不仅培养了Web漏洞挖掘和利用的能力，更建立了安全开发意识，为后续Web应用安全评估和防护工作奠定了扎实基础，形成了从攻击到防御的完整知识体系。

第11次实践 ( 浏览器安全攻防实践)[https://www.cnblogs.com/yifan123/p/18877443]：

本次实验系统性地开展了浏览器渗透攻击技术研究，围绕漏洞利用、攻击分析和防御对抗三个维度进行了深入实践。在漏洞利用环节，基于Metasploit框架构造了针对MS06-014漏洞的网页木马，通过精心设计的JavaScript代码触发IE浏览器内存破坏漏洞，成功实现远程代码执行并建立反向连接，掌握了浏览器漏洞利用的核心技术。

在攻击分析阶段，通过MD5哈希链追踪技术完整还原了多阶段攻击流程：从初始的诱导访问，到第二阶段的漏洞触发，再到最终的Payload投放，系统性地分析了现代网页木马的分段加载机制。实验创新性地结合网络流量分析和内存取证技术，识别出攻击各阶段的特征行为模式。

在攻防对抗实践中，一方面通过代码混淆、多态变形等技术增强攻击载荷的隐蔽性；另一方面运用逆向工程和动态分析技术进行攻击检测，掌握了JavaScript反混淆、Shellcode提取等关键技能。通过本次实验，不仅深入理解了浏览器漏洞的利用原理和防御方法，更培养了完整的浏览器安全研究能力。

最喜欢的且做的最好的一次实践是哪次？为什么？

"SEED XSS跨站脚本攻击实验"是我最喜爱的网络安全实践项目。这个实验构建了一个完整的XSS攻防知识体系，让我从最基础的alert弹窗测试开始，逐步深入到具有实际危害的高级攻击技术。在实验过程中，我首先掌握了反射型、存储型和DOM型XSS的差异与利用方法，通过精心构造的恶意脚本成功窃取用户cookie信息，实现了会话劫持。

实验最具挑战性也最令人兴奋的部分是XSS蠕虫的编写与传播。通过分析社交平台的AJAX接口，我成功实现了自动添加好友、修改个人资料等连锁攻击功能，亲眼见证了XSS蠕虫在模拟环境中快速传播的过程。这种"一触即发"的连锁反应让我深刻理解了Web安全威胁的扩散性和破坏力。

在防御环节，我系统实践了Content Security Policy的策略配置、输入过滤和输出编码等防护措施，通过对比攻击前后的系统状态，直观理解了各项防御机制的工作原理。这个实验最可贵之处在于形成了"攻击-分析-防御"的完整闭环，不仅教会我如何发动攻击，更让我学会如何有效防护，真正体现了"知己知彼，百战不殆"的安全理念。

本门课学到的知识总结（重点写）

1.网络攻防基础：

掌握了VMware虚拟环境搭建：通过学习与实践，我系统掌握了VMware虚拟化环境的搭建。

熟悉了Kali Linux等安全工具平台：在安全技术领域，我深入研究了Kali Linux渗透测试平台，掌握了Nmap漏洞扫描、Metasploit渗透框架、Wireshark流量分析等安全工具的组合应用，能够完成从信息收集到漏洞利用的完整测试流程。
理解了网络拓扑设计与连通性测试：在网络架构方面，我理解了三层网络拓扑设计原则，能通过VLAN划分、路由协议配置构建复杂网络环境，并运用Ping、Traceroute、Telnet等工具进行跨网段连通性测试，具备分析TCP/IP协议栈及排查网络层故障的能力。这些技能使我能够构建安全的虚拟化实验环境，为后续网络安全研究奠定坚实基础。

2.渗透测试技术：

在Metasploit框架的实战应用中，我掌握了针对典型漏洞（如MS08-067、Samba（CVE-2017-7494））的渗透测试流程，包括：
（1） 漏洞利用：使用search和use模块快速定位漏洞，配置RHOSTS、PAYLOAD等参数，执行攻击并获取初始Shell；
（2） 权限提升：通过getsystem、bypassuac或内核漏洞（如CVE-2016-0099）提权至SYSTEM/NT AUTHORITY；
（3）后渗透维持：借助Meterpreter的persistence模块创建持久化后门，或通过migrate注入关键进程（如explorer.exe）避免会话丢失。

此外，我熟悉MSFvenom生成定制化木马，并结合社会工程学（如钓鱼邮件）进行横向移动，实现从漏洞利用到权限维持的完整攻击链。

3.Web安全：

（1）SQL注入攻击与防御
SQL注入（SQLi）通过构造恶意输入（如' OR 1=1 --）篡改数据库查询逻辑，可能导致数据泄露、篡改甚至服务器控制。典型攻击方式包括联合查询注入（UNION SELECT）、布尔盲注和时间盲注。
防御措施：

• 预编译（Prepared Statements）：使用参数化查询避免SQL拼接。
• 输入过滤与白名单：过滤特殊字符（'、"、--）。
• 最小权限原则：数据库账户仅授予必要权限。
• Web应用防火墙（WAF）：拦截恶意SQL语法。

（2）XSS（跨站脚本）攻击链构建
XSS分为存储型（恶意脚本持久化到数据库）、反射型（通过URL参数触发）和DOM型（前端代码动态执行漏洞）。攻击者可窃取Cookie、发起钓鱼攻击或传播恶意脚本。
防御方法：

• 输出编码：对动态内容进行HTML/JS转义（如<→<）。
• CSP（内容安全策略）：限制脚本加载源。
• HttpOnly Cookie：防止JavaScript读取敏感Cookie。

（3） CSRF（跨站请求伪造）漏洞原理
CSRF利用用户已登录的会话，诱导其访问恶意页面以伪造请求（如修改密码、转账）。攻击方式包括GET型CSRF（图片标签触发）和POST型CSRF（自动提交表单）。
防护策略：

• CSRF Token：服务端生成随机Token校验请求合法性。
• SameSite Cookie属性：限制跨域Cookie发送。
• 关键操作二次验证：如短信/邮箱验证码确认。

4.逆向分析：

（1）PE文件结构分析
PE（Portable Executable）是Windows可执行文件的标准格式，其结构包括：

• DOS头（IMAGE_DOS_HEADER）：兼容旧系统，含e_magic（"MZ"标识）和e_lfanew（指向PE头偏移）。
• PE头（IMAGE_NT_HEADERS）：含签名（"PE\0\0"）、文件头（机器架构、节区数量）和可选头（入口点、内存/文件对齐）。
• 节区表（Section Table）：定义代码（.text）、数据（.data）、资源（.rsrc）等节区的内存/文件偏移及权限。
• 导入表（IAT）和导出表（EAT）：记录依赖的DLL函数及暴露的API。

分析工具：PEview、CFF Explorer、010 Editor。

（2）恶意代码脱壳技术
壳（Packers）用于压缩/加密代码，常见类型包括UPX、ASPack、VMProtect。脱壳步骤：

• 识别壳类型：通过熵值分析或工具（Exeinfo PE、Detect It Easy）。
• 内存转储（Dump）：调试器（x64dbg/OllyDbg）运行至OEP（Original Entry Point）后提取进程内存。
• 修复IAT：使用ImportREC重建导入函数表。
• 调试对抗：处理反调试（IsDebuggerPresent）、代码混淆（花指令）等。

高级技术：动态加载（API哈希调用）、虚拟机壳（VMP）需逆向虚拟机逻辑。

（3）IDA Pro静态/动态分析

• 静态分析：
  • 反汇编生成控制流图（CFG），识别函数、字符串及交叉引用（Xrefs）。
  • 插件辅助：Hex-Rays反编译C伪代码、FindCrypt检测加密算法。
• 动态分析：
  • 结合调试器（IDA内置/GDB）下断点，监控寄存器/内存变化。
  • 脚本自动化：IDAPython提取恶意行为特征（如C2通信IP）。
• 对抗分析：
  • 处理混淆（控制流平坦化）、动态API解析（GetProcAddress）。

应用场景：漏洞挖掘、恶意样本分析（勒索软件、Rootkit）。

总结：PE分析是逆向基础，脱壳与IDA结合可高效解密恶意代码行为。
5.防御技术：

iptables防火墙配置：Linux内核级防火墙，通过规则链（INPUT/OUTPUT/FORWARD）控制流量。支持端口过滤（如-p tcp --dport 22）、IP黑名单（-s 192.168.1.100 -j DROP）及NAT转换（如MASQUERADE）。默认策略（-P DROP）增强安全性，适用于访问控制与攻击防护。

Snort入侵检测： 开源的实时网络IDS/IPS，通过规则引擎检测攻击（如SQL注入、端口扫描）。支持流量分析、日志告警及主动阻断（内联模式），规则语法灵活（如content:"恶意特征"），适用于网络安全监控与威胁防御。

蜜网部署与分析：主动防御系统，通过模拟真实服务（如FTP/Web）诱捕攻击者，记录其行为（扫描、漏洞利用）。结合蜜罐（Honeypot）与流量分析工具，用于攻击溯源、威胁情报收集及安全策略优化。

6.二进制安全：

缓冲区溢出漏洞利用：通过向程序输入超出预定缓冲区长度的数据（如超长字符串），覆盖相邻内存（返回地址、函数指针），劫持程序执行流程。常见于未做边界检查的C/C++程序（如strcpy）。利用方式包括：

• 覆盖返回地址：跳转至Shellcode（如获取系统权限）。
• ROP攻击：复用已有代码片段绕过DEP防护。
• 堆溢出：操纵堆内存结构（如unlink攻击）。
  防御措施：栈保护（Canary）、DEP（数据执行保护）、ASLR（地址随机化）。

Shellcode编写与注入：Shellcode是一段用于漏洞利用的机器码，通常实现特定功能（如反弹Shell、文件操作）。其编写需规避空字符（\x00）并适配目标架构（x86/ARM）。注入方式包括：

• 栈溢出注入：覆盖返回地址指向Shellcode。
• 堆喷射：在内存中大量填充Shellcode提高命中率。
• ROP链调用：绕过DEP执行内存中的Shellcode。
  关键技术：动态获取API地址（如GetProcAddress）、编码混淆（XOR加密）及反调试（INT3检测）。

程序流劫持技术：程序流劫持是指通过漏洞利用篡改正常执行流程，使攻击者控制程序行为。主要技术包括：

• 栈溢出劫持：覆盖返回地址或函数指针，跳转至恶意代码（Shellcode）。
• 堆溢出利用：操纵堆块元数据（如unlink），触发任意写或代码执行。
• ROP（面向返回编程）：复用程序自身代码片段（Gadgets）绕过DEP防护。
• 格式化字符串漏洞：利用printf等函数修改内存（如GOT表）。
  防御手段：栈保护（Canary）、ASLR（地址随机化）、CFI（控制流完整性）。

课堂的收获与不足

收获：

在系统化的学习和实践中，我成功构建了覆盖网络攻防全领域的知识体系，从基础协议分析到高级漏洞利用，从防御策略设计到安全架构评估，形成了"理论指导实践-实践验证理论"的良性闭环。通过搭建数百个虚拟化实验环境，完成了包括渗透测试、应急响应、恶意代码分析等实战训练，培养了精准发现漏洞、快速实施攻击和有效部署防御的硬核能力。

在研究方法上，我掌握了从攻击面分析、漏洞定位到PoC开发的标准流程，能够运用逆向思维和系统性方法剖析安全问题。通过参与红蓝对抗演练，不仅提升了在压力环境下快速定位和解决问题的能力，更培养了团队协作意识，学会了如何将个人技术专长融入整体安全防御体系，形成有效的协同作战能力。这些经历使我对网络安全形成了立体化的认知，为应对真实世界复杂威胁打下了坚实基础。

不足：

在网络攻防实践中，我逐渐认识到自身存在若干需要提升的短板。首先，在漏洞挖掘方面，虽然能熟练运用现有工具进行扫描检测，但对底层原理的掌握深度不足，例如对二进制漏洞中的堆内存管理机制理解不够透彻，导致难以独立发现零日漏洞。其次，在对抗高级威胁时，针对混淆代码和虚拟机保护的分析能力有待加强，面对复杂的APT攻击样本时常感到力不从心。

在防御体系建设方面，虽然能够配置安全设备和规则，但对整体安全架构的纵深防御设计缺乏实战经验，特别是在云原生环境和混合架构中的安全策略部署仍需积累。此外，在团队协作中，作为防守方时的应急响应流程不够熟练，攻击溯源和威胁狩猎的效率需要提高。这些不足促使我持续深化对系统底层和新兴技术的学习，通过参与更多实战攻防演练来积累经验。
[参考文献1]《网络攻防技术与实践》课本及学习通上的视频
[参考文献2]https://blog.csdn.net/Evil_invisible/article/details/82901529
[参考文献3]https://www.cnblogs.com/lxh2cwl/p/14949665.html
[参考文献4]https://blog.csdn.net/sxr__nc/article/details/142355527
[参考文献5]https://blog.csdn.net/robertzhang10/article/details/1575707
[参考文献6]https://www.cnblogs.com/JianHuang/p/12274220.html