针对APT攻击的聚类挖掘方法

来源 :科学导报·科学工程与电力 | 被引量 : 0次 | 上传用户:wudouyuan
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  【摘 要】现阶段网络中存在着诸多攻击行为,APT攻击受到人们的重点关注。在安全日志的基础上对APT攻击的检测,通常会先构建攻击模型接着把日志和模型关联到一起,但是这对模型完整度的依赖性较高,不完整的模型会使一些警报不能匹配从而被遗漏,对于完整APT攻击模型的构建工作也是较为复杂的。就这个问题而言,本文研究和分析了从安全日志中挖掘攻击场景模型的方法,进行了一系列的相关研究工作,为检测APT提供有效依据。先介绍了杀伤链模型,接着对APT攻击以及模糊聚类做出了阐述,而后研究了攻击场景的挖掘方法,以供相关人员进行参考。
  【关键词】APT;杀伤链;模糊聚类;关联;攻击场景
  引言
  电力公司信息中心比较重视网络安全,信息化程度较高,网络架构在安全设计方面,目前已达到高强度的保护等级,在各职能部门网络部署如防火墙、入侵检测、防毒墙等多种安全设备,防御病毒和黑客等威胁对内网的入侵。但随着网络技术的快速发展,安全形势和特点已有所变化,网络威胁已从外部攻击向内部攻击转变、从恶意病毒码传播向异常行为攻击转变、从单一的通信协议伪装向高层的应用服务渗透……这些安全趋势的变化,已经给电力公司信息中心及下属各单位网络带来严重的潜在威胁和风险。如何对网络威胁即时检测,对网络风险主动评估与防范,已成为网络管理部门亟待解决的问题。本文正是在此基础上根据相关的理论数据以及相应有效的计算设计和研究了基于杀伤链和模糊聚类的APT攻击场景生成方法。
  1.杀伤链模型介绍
  杀伤链是一个攻击过程,对于过程中各个阶段都有各自的攻击行为与目的,通过日渐的完善与改进,主要包含以下几个阶段:发现、锁定、跟踪、定位、交战、评估。相关研究工作者提出了IKC,这是一种专门用于入侵的杀伤链模型,从入侵检测方面把攻击过程细化为几个方面,其中包括:侦查、武器化、散布、恶用、设置、命令与控制、目标达成。
  杀伤链模型能够表现出一个结构,这个结构能够分析入侵过程以及发现相关的攻击特征,其符合网络攻击的相关特点,给防御和检测攻击行为提供有效的依据,在APT相关研究工作中也会经常应用到它。安全防御人员可以通过杀伤链模型来检测攻击行为,并据此制定和实施相应的对策,并对其他类似攻击能有效进行防御,降低系统和网络在面对网络攻击时的损失。
  2.APT攻击
  2.1 相关概念
  2006年美国波音公司提出了APT攻击的概念,这是APT概念首次的提出,其主要是指具有明确目的性的、时间持续的、高级的复杂网络攻击。谷歌公司在2010年遭受到高级的复杂网络进攻,从那时开始相关的行业以及相应的研究工作者开始重点关注APT。
  现阶段来看APT攻击的定义存在差异,这主要源于不同机构对其有着不同的定义,美国NIST定义APT为:APT攻击是攻击者利用先进的专业知识和有效资源,通过多种攻击途径(如网络物理设施和欺骗等),在特定组织的信息技术基础设施上建立立足点并进行转移,以达到窃取敏感数据、破坏程序或关键系统、阻碍任务、驻留在组织的内部进行后续攻击的目的[1]。
  2.2 APT生命周期说明
  根据实施过程来划分APT生命周期的阶段,其中包括(a)攻击前奏(b)入侵实施(c)后续攻击。对于各个阶段来说其都有各自的攻击方法以及攻击目的,前期阶段的成果为后期阶段奠定基础,从而达到攻击者的目的。
  (a)攻击前奏是指通过全面的扫描和探测,收集信息的一个阶段。通常使用的技术手段有多种,其中包含以社会工程學为基础的方法、利用大数据提取公开信息、扫描探测目标网络系统。根据收集到的相关情报攻击者就能够有针对性地制订相应的计划。攻击者这个阶段的一系列操作都是为下一阶段奠定了技术基础。
  (b)入侵实施阶段包含三个具体环节:植入恶意代码、提升权限、命令与控制。主要就是指攻击方对目标开始实际上的攻击行为来获取更高级别的权限,接着利用收集到的更有意义的情报来进行渗透,从而达到增大影响范围的目的。
  (c)在后续攻击这个阶段,攻击者会开展潜伏工作为的就是可以取得更好的渗透效果、获得更多数量的相关数据,在完成目标之后攻击者也许会开展破坏工作来抹除相应的痕迹,从而增加查证的难度。
  2.3 APT检测技术说明
  APT与传统攻击进行比较,其具备诸多特点,其中包括方法的多样化、持续时间久、较高的隐藏能力、攻击路径变化较快等方面。根据APT的这些特点以及在传统技术的基础上,相关工作者开发了适用于APT的检测技术:(a)基于网络流量的检测(b)基于沙箱的检测(c)基于恶意代码的检测(d)基于网络安全事件挖掘的检测(e)基于记忆的检测技术
  对于上述的检测技术,重点讲述一下“基于记忆的检测技术”,这种技术所运用的策略是通过时间来对抗时间,将单点进行改变的一种方式。一些较为麻烦的多步骤攻击只有经过漫长时间日志进行关联才能检测出,但问题也随之出现,需要用到相关的因果理论知识,攻击规则和攻击模型的构建具备一定的主观性,因此相关工作者开始自动构建、自动更新的研究工作,降低相关人工操作,不用工作人员增添相应的规则来完成更新。
  3.模糊聚类
  模糊聚类中关键的一步就是模糊相似度的函数计算,通常来讲IDS警报为非数值型,对其进行度量所使用的方法如下:
  为警报集, 和 模糊聚类的隶属函数定义为 ,其中m为一条警报的属性个数, 为每个属性对应的权值, 为每个属性的相似度隶属函数,需要根据每个属性的具体含义制定[1]。
  接下来我们进行模糊聚类的过程。对于一条新的警报 ,它与已得到的聚类中的警报 的距离,或者相似度用下式表示:
  其中, 为属性k的权重。
  (1)攻击事件。
  (2)IP地址   多个主机攻击统一目标主机、一个主机攻击多个目标主机、跳板式攻击。
  (3)时间戳
  最终总的相似度为
  4.攻击场景挖掘方法
  4.1 筛选攻击序列
  根据相关的攻击序列集合来看,每个集合中警报间都有着一定的联系,这可能开展APT攻击时所产生的,但并不是全部的集合都是APT,这就需要我们通过对有效数据和信息的比对分析来进行挖掘。
  主要筛选以下几种情况:将独立的报警删除;保留攻击序列的完整程度;保留相关IP地址;保留DNS恶意分析警报。
  4.2 攻击场景生成
  在攻击序列向有向图发生转变时将接近攻击时间的相同报警进行合并,将警报合并为一个节点,由于攻击者在进行攻击时会应用到一些自动化,接连发送恶意请求,导致出现一些时间相近、事件相同的警报。
  攻击场景挖掘流程:
  —返回第取出ASS攻击序列一步。满足的话则——ASi转换为有向图;
  不存在的话——多个有向图通过转移矩阵合并为一个概率攻击场景图。
  5.结语
  综上所述,通过对杀伤链模型以及APT攻击的了解之后,研究了挖掘攻击场景的相关技术,接着介绍了APT场景生成方法的相关流程,介绍了相应模块的处理和计算方法。本次研究对于网络威胁检测系统的部署,内网安全机制的强化有着一定的积极意义。还要不断加强即时检测用户异常行为,监测网络设备的运行状况,对网络安全风险自动评估和响应,应对信息网络环境变迁迅速及业务多元发展所带来的隐藏安全威胁,以此确保内部网络系统相关信息资产的机密性、完整性与可用性。
  参考文献:
  [1]霍彦宇. 基于杀伤链和模糊聚类的APT攻击场景生成方法的研究与设计[D]. 2018.
  [2]张玉刚. 基于模糊聚类和因果关联的攻击场景构造方法的研究与实现[D]. 华中师范大学, 2009.
  [3]蔡虹, 叶水生. 一种基于模糊聚类的组合BP神经网络数据挖掘方法[J]. 南昌航空大学学报(自然科学版), 2005, 19(1):19-23.
  [4]齐惠英. 一种基于主成分分析和模糊聚类的入侵检测方法[J]. 科技通报, 2012, 28(12):51-53.
  [5]杨苹. 基于聚焦式模糊聚类算法的数据挖掘故障诊断方法[J]. 动力工程学报, 2006, 26(4):511-515.
  [6]蔡丽萍, 李茂青. 一种基于模糊聚类的日志挖掘方法及应用[C]// 中国数据库学术会议. 2004.
  作者简介:
  罗震宇,男,汉族,云南,大学本科,网络及网络安全运维;
  李寒箬,女,云南,大学本科, 网络及网络安全运维。
  (作者單位:1云南电网有限责任公司信息中心;2云南电网有限责任公司信息中心)
其他文献
【摘要】随着我国社会经济及科技水平的迅速发展,推动了各行各业的稳定前进,当前时代,对飞机制造业的需求量及质量要求也越来越高,该行业只有针对目前时代发展需求不断加强对新技术的有效应用,才能提升自身的竞爭力,满足社会的多元化需求。基于此,文章将简要分析一下飞机数字柔性装配关键技术及其发展工作。  【关键词】飞机;数字柔性装配;关键技术;发展  前言  社会经济及科技水平的迅速发展,带动了飞机装配行业的
期刊
【摘 要】以一已建成电厂独栋配电室建筑为模型,采用鸿业全年负荷计算及能耗分析软件(HP-EP)对其在不同墙体和屋面形式下的自然室温进行模拟,通过对哈尔滨、乐山、广州三个地区全年总冷热负荷的模拟分析得出,对于室内设备发热量较大的配电室,采用热阻较小的围护结构形式,有利于减少全年总冷热负荷。  【关键词】自然室温模拟;全年负荷计算;配电室;围护结构;  中途分类号:TF  随着我国城市化的加速发展,建
期刊
【摘 要】随着我们国家经济的发展,电气自动化技术在不同的行业里都获得普遍认可,不管是对于航空飞机亦或是设计开关上进行的研究,其都能够在很大程度上对于科学技术的发展起到非常主要的作用。因此,本文分析了电气工程及其自动化技术的设计原则,并对电气自动化技术的应用及电气自动化的发展方向进行探讨。  【关键词】电气自动化技术;设计;应用  电气自动化可以说是选择继电器和感应器等相关的元件去完成顺序以及时间上
期刊
【摘 要】科技在快速的发展,社会在不断的进步,我国的新技术在不断的提升,大数据、云计算、物联网、移动互联、人工智能等新技术快速发展,给电网领域发展带来新的机遇。为探究此类新技术在电网的应用状况、存在的问题以及下一步应用推广策略,文章提出新技术应用研究模型,并结合Gartner技术成熟度曲线等多种分析工具,充分分析新技术发展态势及在电网领域应用实践,确定目前新技术在电网领域应用推广过程中存在的共性问
期刊
【摘 要】信息时代的发展使人们的生活离不开互联网的运用,互联网是人们生活中重要的媒介,很大程度上便利了人们的生活。在这种背景下,人们对网络业务的需求也不断增多,家庭宽带得到巨大的发展。家庭宽带的安置过程中光纤接入技术得到运用和发展,但由于不同用户对宽带的要求的不同和各种因素的影响,家庭宽带光纤接入技术得到了不断地改进和变革。在实际的运用当中,光纤接入网根据用户的不同需求程度分成多种类型,不同类型对
期刊
【摘 要】现阶段,随着我国社会的不断发展,科技的不断进步,我国各个领域均得到了很好的发展。在化工行业中,为了保障化工产品的质量,需要完善化工生产的各个流程,化工仪表作为化工生产的设备组成部分,在化工生产中起到了重要作用。在当前的技术水平下,化工仪表已经逐渐实现了智能化与自动化,能够通过智能化控制技术自动化的实现仪表功能,促进了化工行业良好的发展,不断促使化工行业的自动化水平得到提升。为了更好地了解
期刊
【摘 要】通过某电厂6kV开关室母线由于遗落铜排搭接在A、B相上,导致母线对绝缘护套放电而导致A、B相短路的原因分析,阐明了故障原因,并提出了有效的预防措施和处理方法。  【关键词】母线;短路;原因;预防处理  一 事件经过  2017年5月28日18:24时某电厂2号机6kV开关室602B备用进线开关跳闸,导致2B段母线失电。经检查发现首先是2B汽机变母线室弧光报警,然后602B开关跳闸。通过对
期刊
【摘 要】某电厂660MW机组自投产以来,由于#1锅炉再热汽温两侧偏差大,机侧再热汽温达不到设计值600℃,且#1锅炉运行中还存在如下问题:总的送风量偏大,省煤器出口氧量偏差较大;磨煤机出力达不到设计值;一次风管风速不均匀,一次风速高;空气预热器积灰及低温腐蚀严重,阻力较大;高负荷锅炉易结焦;锅炉排烟温度偏高;高温再热器低温段壁温易超限;再热器减温水量较大;锅炉转机电耗率高等一系列影响机组正常运性
期刊
【摘要】电力系统运维理过程中,工作人员应当对日常电力系统运行中存在的危险点以及控制情况等综合分析,并且采取有效的措施避免出现电力故障问题。本文先对危险点进行概述,并在此基础上就如何进行预控,提出一些建议。  【关键词】变电系统;运维管理;危险点;预防控制;研究  从目前国内变电运维情况来看,正确审视现状以及准确定位实践中存在的问题与弊端是非常有必要的,这有利于变电系统整体安全稳定性。就电网系统的稳
期刊
【摘 要】近年来,随着社会经济的迅猛发展及能源需求的日益增长,能源供应的压力不断增大。同时,大量煤炭、石油等非清洁能源的使用所带来的环境污染问题也日益严重。因此,未来的电力系统必然将为可持续的全球经济增长提供高渗透率的清洁分布式能源。大量分布式能源的不断接入给电力系统的经济运行和安全管理提出了前所未有的挑战。物联网技术正处于应对这一挑战的最前沿,它可以通过泛在的感知技术赋予电力系统动态的灵活感知、
期刊