隨著網(wǎng)絡(luò)信息技術(shù)的日益成熟與普及應(yīng)用,依賴信息系統(tǒng)實施的網(wǎng)絡(luò)攻擊愈發(fā)多樣且復雜,為全世界多國家、多領(lǐng)域、多行業(yè)的信息安全、財產(chǎn)安全、數(shù)據(jù)安全帶來嚴峻挑戰(zhàn)。高級可持續(xù)性攻擊（Advanced Persistent Threat,APT攻擊）是近年來新出現(xiàn)的一種新型網(wǎng)絡(luò)攻擊模式,具有隱蔽性、先進性、持續(xù)性等特征,能夠?qū)δ繕讼到y(tǒng)造成嚴重損害,使得現(xiàn)有安全防護技術(shù)面臨嚴峻挑戰(zhàn)。為及時、有效、準確地實現(xiàn)APT攻擊的檢測與防御,本文以APT攻擊行為分析與防御決策為目標進行研究,具體研究工作如下:1.針對APT攻擊行為多樣、難以發(fā)現(xiàn)的問題,本文提出了一種APT攻擊行為的分類與性能分析方法。針對APT攻擊的階段性特征,提出基于階段特性的APT攻擊行為分類框架,對APT攻擊行為進行“細粒度”劃分;研究選取影響攻擊行為性能的關(guān)鍵因素,分析APT攻擊機理,提出APT攻擊行為性能評估方法,對不同類別的攻擊行為性能進行對比與分析,全面了解APT攻擊行為的本質(zhì)特征。2.針對APT攻擊持續(xù)時間長、攻擊評估難的問題,本文提出了一種APT攻擊鏈效能評估與攻擊者能力量化方法。目前,APT攻擊評估方法僅針對某一時刻、單個節(jié)... 

【文章來源】：戰(zhàn)略支援部隊信息工程大學河南省

【文章頁數(shù)】：71 頁

【學位級別】：碩士

【部分圖文】：

實驗分類統(tǒng)計結(jié)果

才有可能成功；iQ OR表示只要狀態(tài)iS 的任能成功。狀態(tài)發(fā)生函數(shù) bool ( s )。該函數(shù)用于標識攻擊狀態(tài)發(fā)生情況 ( s ) true；否則， bool ( s ) false。轉(zhuǎn)移等待窗口 。攻擊者對網(wǎng)絡(luò)的入侵一般有一個攻擊周續(xù)攻擊，則該攻擊者的能力無法利用網(wǎng)絡(luò)中出現(xiàn)的漏洞，識別，設(shè)置一個轉(zhuǎn)移等待窗口來衡量攻擊者的成功與否。行為 Alert利用攻擊關(guān)聯(lián)度進行聚類，得到不同攻擊場景的報警信息與生成的攻擊模式庫進行關(guān)聯(lián)分析，可能出現(xiàn)以其中 Alert代表實時攻擊行為，Vuln代表所需利用的漏洞，洞存在，虛線表示狀態(tài)未發(fā)生或漏洞不存在。攻擊的前提狀態(tài)為真，且目標主機中存在該攻擊所利用的。圖 3.4(b)為失敗狀態(tài)轉(zhuǎn)移情景，圖(b1)中被攻擊目標主機該攻擊的前提狀態(tài)不為真。圖 3.4(c)為與節(jié)點狀態(tài)轉(zhuǎn)移情景�；谏鲜龇治�，實時攻擊階段狀態(tài)識別算法的基本步

圖 3. 5 攻擊階段識別異常情況決以上問題，將狀態(tài)發(fā)生函數(shù) bool ( s )進行拓展，b ool ( s ) {t rue, false, middle態(tài)，用以保存可能發(fā)生的狀態(tài)轉(zhuǎn)移，并通過后續(xù)報警進行狀態(tài)更正。對算法的改進如下。 1 設(shè)置中間狀態(tài)。若Vuln HostInf，( )xbool s true，表示目標主機上不存在攻擊利用漏洞，狀態(tài)為真，該情景有可能出現(xiàn)零日漏洞問題。設(shè)置 ( )ybool s middle。若Vuln HostInf，( )xbool s false，表示目標主機上存在攻擊利用漏洞，但態(tài)不為真，該情景可以為漏報或報警亂序問題。查找狀態(tài)xs的發(fā)生主機所需漏洞使其達到該狀態(tài)，若存在，設(shè)置( )xbool s middle、 ( )ybool s mid 2 狀態(tài)更正。若Vuln HostInf，( )xbool s middle，表示目標主機上存在攻擊利用漏洞，態(tài)為中間狀態(tài)。由于攻擊者已經(jīng)能夠利用狀態(tài)xs為前提條件，則認為該發(fā)生，因此設(shè)置( )xbool s true、 ( )ybool s true。該情景是對漏報與零日漏更正。


本文編號：3333332