论文部分内容阅读
近年来,各种网络攻击事件不断发生,网络安全态势愈发紧张。高级持续性威胁(Advanced Persistent Phreat,APT)作为近些年新兴的网络攻击手段,因其针对性强,隐蔽性高,在目前的网络攻击中,占有着越来越高的比重。传统的网络威胁检测手段并不能有效的发现APT攻击,而针对APT攻击的沙箱检测技术和全流量回溯技术,由于反沙箱逃逸技术的出现以及全流量对于存储的极高要求,很难对APT攻击进行精确检测。因此本文针对攻击过程中DNS流量特点以及APT攻击阶段预测两方面,提出了以下APT攻击检测方法。
本文对APT攻击生命周期中C&C通信阶段进行研究,分析了攻击者与被感染主机之间通信的流量特点,以DNS请求流量为着手点,提出了针对可疑DNS流量的APT检测方法。首先该方法针对APT攻击时间跨度长,生命周期内DNS请求数据量过大的特点,对原始DNS请求记录应用数据预处理算法,将信任的DNS请求记录从原始数据中删除。然后该方法利用训练数据集对J48决策树进行训练,利用机器学习算法筛选出可疑APT攻击流量,最后利用可疑域名与流行域名的相似度作为打分依据,对可疑流量进行打分排名。在实验中对数据预处理算法以及机器学习算法中特征选取的必要性进行了验证,并通过对比实验,对利用信誉评价域名相似度的方法检测APT攻击的准确率进行了验证。本文提出的方法可以在APT攻击侵入外围设备,进行C&C通信时进行检测,解决了其他检测方法只有在目标系统被大规模感染时才能被有效检测的缺点,实现了APT攻击的早期检测。
为了实现对APT攻击的主动防御,本文提出了一种利用隐马尔可夫模型预测APT攻击阶段的方法。该方法以MLAPT(Machine-Learning Advanced Persistent Threat)检测框架输出的相关警报序列为可观测状态,以APT攻击阶段为隐藏状态,将警报结果与APT攻击阶段相关联,建立隐马尔可夫模型。利用BW算法对隐马尔可夫模型进行训练,利用维特比算法以及FW算法计算最有可能的攻击序列并对下一APT攻击阶段进行预测。该实验对比了不同观测次数以及对下一阶段预测中阶段数目选取对实验结果的影响,也在同等条件下与机器学习预测算法进行了对比实验。本文提出的预测方法具有良好的移植性,相对于其他方法,对网络环境无特殊需求。
本文对APT攻击生命周期中C&C通信阶段进行研究,分析了攻击者与被感染主机之间通信的流量特点,以DNS请求流量为着手点,提出了针对可疑DNS流量的APT检测方法。首先该方法针对APT攻击时间跨度长,生命周期内DNS请求数据量过大的特点,对原始DNS请求记录应用数据预处理算法,将信任的DNS请求记录从原始数据中删除。然后该方法利用训练数据集对J48决策树进行训练,利用机器学习算法筛选出可疑APT攻击流量,最后利用可疑域名与流行域名的相似度作为打分依据,对可疑流量进行打分排名。在实验中对数据预处理算法以及机器学习算法中特征选取的必要性进行了验证,并通过对比实验,对利用信誉评价域名相似度的方法检测APT攻击的准确率进行了验证。本文提出的方法可以在APT攻击侵入外围设备,进行C&C通信时进行检测,解决了其他检测方法只有在目标系统被大规模感染时才能被有效检测的缺点,实现了APT攻击的早期检测。
为了实现对APT攻击的主动防御,本文提出了一种利用隐马尔可夫模型预测APT攻击阶段的方法。该方法以MLAPT(Machine-Learning Advanced Persistent Threat)检测框架输出的相关警报序列为可观测状态,以APT攻击阶段为隐藏状态,将警报结果与APT攻击阶段相关联,建立隐马尔可夫模型。利用BW算法对隐马尔可夫模型进行训练,利用维特比算法以及FW算法计算最有可能的攻击序列并对下一APT攻击阶段进行预测。该实验对比了不同观测次数以及对下一阶段预测中阶段数目选取对实验结果的影响,也在同等条件下与机器学习预测算法进行了对比实验。本文提出的预测方法具有良好的移植性,相对于其他方法,对网络环境无特殊需求。