【摘要】：近年來(lái),隨著計(jì)算機(jī)網(wǎng)絡(luò)和信息系統(tǒng)的飛速發(fā)展,攻擊技術(shù)發(fā)生了巨大的變化,包括社工攻擊、工控攻擊和智能硬件攻擊等,其中最具有代表性的是APT (高級(jí)持續(xù)性威脅)攻擊技術(shù)。鑒于此,本文將在APT攻擊中的安全檢測(cè)和威脅評(píng)估兩個(gè)方向上展開(kāi)研究,在當(dāng)前安全防護(hù)技術(shù)領(lǐng)域具有顯著的現(xiàn)實(shí)意義。當(dāng)前新型APT攻擊對(duì)現(xiàn)有的安全防護(hù)系統(tǒng)提出了三大顯著難題和嚴(yán)峻挑戰(zhàn)。第一,如何高效利用攻擊知識(shí)庫(kù)。攻擊知識(shí)庫(kù)中存在大量的關(guān)聯(lián)關(guān)系且攻擊知識(shí)呈圖譜化,然而現(xiàn)有的檢測(cè)優(yōu)化技術(shù)尚未形成較好的并行化方案,難以在實(shí)時(shí)檢測(cè)中應(yīng)用攻擊知識(shí)圖譜。第二,如何高效檢測(cè)未知攻擊。目前,針對(duì)未知攻擊的檢測(cè),學(xué)術(shù)界和工業(yè)界展開(kāi)了廣泛的探討和研究,其中具有代表性的方向是根據(jù)自身業(yè)務(wù)特性進(jìn)行異常檢測(cè)。傳統(tǒng)的規(guī)則檢測(cè)技術(shù)難以應(yīng)對(duì)未知攻擊已成為不爭(zhēng)的事實(shí),因此越來(lái)越多的防護(hù)系統(tǒng)致力基于自身業(yè)務(wù),根據(jù)流量特性和行為特征構(gòu)建符合業(yè)務(wù)場(chǎng)景的異常檢測(cè)系統(tǒng),使得異常檢測(cè)能夠在發(fā)現(xiàn)未知威脅和降低誤報(bào)中找到最佳平衡。第三,如何準(zhǔn)確評(píng)估APT多步驟攻擊的威脅。APT攻擊多數(shù)呈現(xiàn)為多步驟的攻擊,并善于利用資產(chǎn)之間的關(guān)聯(lián)關(guān)系進(jìn)行滲透突破,而現(xiàn)有的威脅評(píng)估技術(shù)通�；诠裟０搴凸袒闹笜�(biāo)體系對(duì)當(dāng)前的網(wǎng)絡(luò)態(tài)勢(shì)進(jìn)行評(píng)估,并未完整運(yùn)用資產(chǎn)和脆弱性之間的關(guān)聯(lián)性,更難以應(yīng)對(duì)多步驟攻擊的評(píng)估與預(yù)測(cè)難題。因此,本文針對(duì)上述三個(gè)難題,分別提出大規(guī)模攻擊知識(shí)圖譜的高速處理框架和基于訪(fǎng)問(wèn)行為的建模和異常檢測(cè)技術(shù),同時(shí)提出結(jié)合攻擊依賴(lài)性和資產(chǎn)關(guān)聯(lián)性的威脅評(píng)估方法。具體而言,本文的主要研究成果包括:(1)基于攻擊圖的大規(guī)模告警關(guān)聯(lián)分析。首先,針對(duì)現(xiàn)有基于攻擊圖的關(guān)聯(lián)分析方法在圖關(guān)聯(lián)完整性和并行性上的缺陷,本文提出了一種基于攻擊圖的并行告警關(guān)聯(lián)框架及其實(shí)現(xiàn)方法。該框架通過(guò)綜合分析攻擊圖中的級(jí)聯(lián)前后件的關(guān)聯(lián)關(guān)系,提出了基于攻擊意圖傳播的分析方法;該方法將關(guān)聯(lián)過(guò)程分解成消息在不同方向上的傳遞,能夠根據(jù)多來(lái)源關(guān)聯(lián)消息推斷下一步攻擊動(dòng)作,增強(qiáng)告警分析的關(guān)聯(lián)預(yù)測(cè)能力并減少關(guān)聯(lián)預(yù)測(cè)帶來(lái)的誤報(bào)告警的數(shù)量。其次,本文還提出了基于攻擊圖的并行告警處理框架AG-PAP。該框架將映射過(guò)程和告警分析并行化,形成完整的基于攻擊圖的告警處理流程,解決了在以往在基于攻擊路徑的關(guān)聯(lián)分析中,攻擊圖數(shù)據(jù)存在過(guò)多冗余復(fù)制和難以實(shí)時(shí)更新的問(wèn)題。最后通過(guò)本地網(wǎng)絡(luò)實(shí)驗(yàn)和模擬數(shù)據(jù)驗(yàn)證了關(guān)聯(lián)分析的有效性和在并行性能上的提升,其中關(guān)聯(lián)分析準(zhǔn)確率達(dá)到72%,同時(shí)在五百萬(wàn)節(jié)點(diǎn)量級(jí)的攻擊圖中,能夠在17秒內(nèi)完成5萬(wàn)告警的關(guān)聯(lián)分析。(2)基于Flow的訪(fǎng)問(wèn)行為建模和異常檢測(cè)。首先,本文提出了在企業(yè)網(wǎng)絡(luò)中應(yīng)用網(wǎng)絡(luò)Flow進(jìn)行自動(dòng)化行為建模和異常分析的方法。該方法提出了 一種自動(dòng)化被動(dòng)網(wǎng)絡(luò)服務(wù)應(yīng)用發(fā)現(xiàn)手段,在沒(méi)有先驗(yàn)知識(shí)的情況下能夠發(fā)現(xiàn)網(wǎng)絡(luò)中的服務(wù)端應(yīng)用,并將Flow聚合成為面向服務(wù)端應(yīng)用的訪(fǎng)問(wèn)流,解決了動(dòng)態(tài)的企業(yè)網(wǎng)絡(luò)中的網(wǎng)絡(luò)服務(wù)持續(xù)監(jiān)控問(wèn)題。其次,本文還提出了基于LGA算法改進(jìn)的PSOLGA線(xiàn)性聚類(lèi)方法,該方法能夠發(fā)現(xiàn)訪(fǎng)問(wèn)流中的線(xiàn)性模式,并以此為不同的服務(wù)端應(yīng)用建立不同的訪(fǎng)問(wèn)行為模型,進(jìn)而檢測(cè)異常。相比LGA算法,PSOLGA的聚類(lèi)結(jié)果穩(wěn)定性和計(jì)算復(fù)雜度更優(yōu)。同時(shí),該方法還能夠用內(nèi)存圖模型來(lái)對(duì)訪(fǎng)問(wèn)流中的高頻時(shí)間序列進(jìn)行挖掘,提取級(jí)聯(lián)時(shí)序規(guī)則,以檢測(cè)偏離訪(fǎng)問(wèn)關(guān)系的異常行為。在小型企業(yè)網(wǎng)中的實(shí)驗(yàn)結(jié)果表明,該方法能夠?qū)W(wǎng)絡(luò)服務(wù)行為進(jìn)行持續(xù)監(jiān)控,并有效地檢測(cè)Flow中的行為異常,檢測(cè)準(zhǔn)確率達(dá)到98.45%。(3)基于攻擊圖的多步驟攻擊的態(tài)勢(shì)威脅評(píng)估。首先,本文提出了基于威脅值和威脅距離的威脅評(píng)估方法,該方法結(jié)合主機(jī)狀態(tài)重要性和漏洞的CVSS分?jǐn)?shù),同時(shí)考慮了漏洞和狀態(tài)之間的因果關(guān)系和邏輯關(guān)系,提出了雙向威脅評(píng)估模型。該模型解決了攻擊圖中的滲透動(dòng)作相關(guān)性帶來(lái)的評(píng)估難題,形成一個(gè)兼顧滲透動(dòng)作危害性、滲透相關(guān)性和階段狀態(tài)重要性的雙向威脅評(píng)估方法。其次,本文還提出了一個(gè)基于雙向威脅評(píng)估模型的攻擊序列評(píng)估方法,該方法能夠在實(shí)時(shí)網(wǎng)絡(luò)檢測(cè)中評(píng)估當(dāng)前攻擊者已造成的危害和現(xiàn)階段對(duì)目標(biāo)造成的威脅。最后通過(guò)本地搭建網(wǎng)絡(luò)和模擬數(shù)據(jù)表明,以上所提概念和方法具備合理性與有效性。
[Abstract]:......
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級(jí)別】：博士
【學(xué)位授予年份】：2017
【分類(lèi)號(hào)】：TP393.08

【參考文獻(xiàn)】

相關(guān)期刊論文 前10條

1 萬(wàn)明;;工業(yè)控制系統(tǒng)信息安全測(cè)試與防護(hù)技術(shù)趨勢(shì)[J];自動(dòng)化博覽;2014年09期

2 吳迪;連一峰;陳愷;劉玉嶺;;一種基于攻擊圖的安全威脅識(shí)別和分析方法[J];計(jì)算機(jī)學(xué)報(bào);2012年09期

3 劉效武;王慧強(qiáng);禹繼國(guó);曹寶香;;基于多源融合的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型[J];解放軍理工大學(xué)學(xué)報(bào)(自然科學(xué)版);2012年04期

4 張怡;趙凱;來(lái)r，

本文編號(hào)：2417432