【摘要】：隨著網(wǎng)絡(luò)信息技術(shù)的高速發(fā)展,互聯(lián)網(wǎng)應(yīng)用的普及與深化,網(wǎng)絡(luò)已經(jīng)成為人類生產(chǎn)生活不可或缺的要素。然而,在信息網(wǎng)絡(luò)技術(shù)持續(xù)深入發(fā)展的過程中,網(wǎng)絡(luò)安全問題也逐漸突顯出來,并且已經(jīng)逐漸成為影響信息化社會(huì)良性發(fā)展的重要威脅。其中,高級(jí)持續(xù)性威脅(Advanced Persistent Threat,APT)因其先進(jìn)的攻擊手段以及巨大的危害性已然成為國家,政府,企業(yè)面臨的最重大的網(wǎng)絡(luò)威脅。從APT攻擊目標(biāo)來看,APT攻擊瞄準(zhǔn)得國家,政府,軍隊(duì),企業(yè)等最為核心,最具有價(jià)值的機(jī)密或者數(shù)據(jù),也有部分APT攻擊會(huì)在竊密之后對(duì)目標(biāo)網(wǎng)絡(luò),甚至工業(yè)設(shè)施采取破壞手段。從攻擊技術(shù)來看,APT攻擊是由資源豐富的團(tuán)體支持,由一群精通網(wǎng)絡(luò)技術(shù)的頂級(jí)科技人員共同展開的系列復(fù)雜攻擊過程。他們總能發(fā)現(xiàn)利用零日漏洞,創(chuàng)造出新的惡意軟件變體,使得傳統(tǒng)的基于特征匹配的入侵檢測系統(tǒng)、防火墻等網(wǎng)絡(luò)安全防御設(shè)施無法抵御APT攻擊。因此,針對(duì)APT攻擊的檢測已成為了當(dāng)今網(wǎng)絡(luò)安全領(lǐng)域的最重要的研究內(nèi)容之一。已有的研究表明,雖然APT攻擊使用的惡意軟件一直在更新?lián)Q代,但是惡意軟件與控制與命令(Control and Command,CC)服務(wù)器之間的通信模式卻往往是相似的。因此,本文以APT攻擊遠(yuǎn)控階段的異常通信行為作為研究的切入點(diǎn),并且從TCP流量與DNS流量的相關(guān)特征兩個(gè)角度出發(fā),分別設(shè)計(jì)了相應(yīng)的檢測系統(tǒng)模型。本文主要研究內(nèi)容及成果如下:1.研究了大量APT攻擊樣本流量,深入分析并且提取了APT攻擊惡意軟件與CC服務(wù)器通信時(shí)TCP流特征,基于這些特征設(shè)計(jì)了一種基于機(jī)器學(xué)習(xí)的APT攻擊深度流檢測原型系統(tǒng)。2.為了提高APT攻擊深度流檢測原型系統(tǒng)的檢測精度,提出了一種基于連續(xù)性假設(shè)檢驗(yàn)思想的多窗關(guān)聯(lián)檢測算法,以源/目IP為標(biāo)識(shí),存儲(chǔ)可疑會(huì)話流信息,只有通過多窗關(guān)聯(lián)檢測算法判別為攻擊的流量才發(fā)出告警,該方法大大提高了系統(tǒng)的檢測精度,降低誤報(bào)率。3.結(jié)合部分APT攻擊DNS樣本流量,從多個(gè)特征空間維度提取APT攻擊的DNS流量特征,并設(shè)計(jì)了一種基于惡意DNS流量特征的APT攻擊檢測模型。4.由于從基于單一特征空間描述的單分類器在檢測時(shí)候的往往忽略其他特征空間的信息因素導(dǎo)致模型檢測性能不佳,設(shè)計(jì)一種基于分類器置信度的投票法則,通過對(duì)每個(gè)特征空間檢測結(jié)果的投票與綜合決策,提高了模型檢測精度。
【圖文】：

浙江工業(yè)大學(xué)碩士學(xué)位論文 APT 攻擊鏈模型APT 攻擊鏈模型[31]是由洛克希德馬丁公司提出，以便于描述 APT 攻擊各個(gè)階段征，在對(duì) APT 攻擊的異常通信行為進(jìn)行分析之前，首先對(duì) APT 攻擊鏈模型進(jìn)行析。如圖 2-1 所示，根據(jù) APT 攻擊鏈模型描述，APT 攻擊過程可分為 6 個(gè)階段：情報(bào)手機(jī)，代碼植入，通信控制，橫向滲透，數(shù)據(jù)發(fā)現(xiàn)，，數(shù)據(jù)竊取。

浙江工業(yè)大學(xué)碩士學(xué)位論文示，該算法以時(shí)間等參數(shù)為種子（seeds）輸入，使用偽隨機(jī)算法 成的域名 包括 前綴 和頂級(jí) 域名(Top Level Domain, TLD), cally-generation domain）。攻擊者只需要在這之前通過相同的算法表，并且選擇其中部分注冊為合法域名，便可讓惡意軟件通過的 IP 地址。通過這種方式改變惡意程序每次 DNS 請(qǐng)求的域名與了 APT 攻擊通信的隱蔽性。
【學(xué)位授予單位】：浙江工業(yè)大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2018
【分類號(hào)】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 劉民;劉利容;欒承;喻達(dá);;北京市某綜合醫(yī)院患者艾滋病病毒抗體無關(guān)聯(lián)檢測結(jié)果分析[J];中華流行病學(xué)雜志;2007年12期

2 王平,李莉,趙宏;網(wǎng)絡(luò)管理中事件關(guān)聯(lián)檢測機(jī)制的研究[J];通信學(xué)報(bào);2004年03期

3 劉天君;;雙向設(shè)計(jì) 關(guān)聯(lián)檢測 相互釋義——?dú)夤ΜF(xiàn)代科學(xué)研究的方法論探索[J];上海中醫(yī)藥雜志;2007年07期

4 龐海杰;;基于動(dòng)態(tài)共現(xiàn)的中文話題關(guān)聯(lián)檢測[J];計(jì)算機(jī)應(yīng)用與軟件;2012年03期

5 陽芬;常青;;基于FPGA的序列圖像目標(biāo)關(guān)聯(lián)檢測[J];計(jì)算機(jī)技術(shù)與發(fā)展;2009年04期

6 曹海;;基于時(shí)間Petri網(wǎng)的事件關(guān)聯(lián)檢測機(jī)制研究[J];計(jì)算機(jī)應(yīng)用;2008年05期

7 洪宇;張宇;范基禮;劉挺;李生;;基于語義域語言模型的中文話題關(guān)聯(lián)檢測[J];軟件學(xué)報(bào);2008年09期

8 楊玉珍;劉培玉;費(fèi)紹棟;張成功;;融合擴(kuò)展信息瓶頸理論的話題關(guān)聯(lián)檢測方法研究[J];自動(dòng)化學(xué)報(bào);2014年03期

9 趙旺飛;王齊;;基于事件關(guān)聯(lián)的網(wǎng)絡(luò)拓?fù)渥詣?dòng)發(fā)現(xiàn)研究[J];電信快報(bào);2011年01期

10 鄭學(xué)偉;;基于語義的信息時(shí)序檢測技術(shù)設(shè)計(jì)研究[J];電子測量技術(shù);2016年10期

相關(guān)會(huì)議論文 前1條

1 曠慶圓;武斌;伍淳華;;基于攻擊意圖的安全事件關(guān)聯(lián)算法[A];第十九屆全國青年通信學(xué)術(shù)年會(huì)論文集[C];2014年

相關(guān)博士學(xué)位論文 前3條

1 洪宇;基于語義結(jié)構(gòu)和時(shí)序特征的話題檢測與跟蹤技術(shù)研究[D];哈爾濱工業(yè)大學(xué);2009年

2 張海波;具象思維作業(yè)的腦電空間與頻域特征研究[D];北京中醫(yī)藥大學(xué);2011年

3 金城;基于理化—生物關(guān)聯(lián)檢測的中藥（板藍(lán)根）生產(chǎn)過程質(zhì)量控制方法初步研究[D];中國人民解放軍軍事醫(yī)學(xué)科學(xué)院;2009年

相關(guān)碩士學(xué)位論文 前5條

1 林紅;跨平臺(tái)固件漏洞關(guān)聯(lián)檢測算法研究[D];武漢理工大學(xué);2018年

2 方建輝;基于異常通信行為的高級(jí)持續(xù)性威脅檢測技術(shù)研究[D];浙江工業(yè)大學(xué);2018年

3 陽芬;紅外序列圖像目標(biāo)軌跡關(guān)聯(lián)檢測算法研究與硬件設(shè)計(jì)[D];國防科學(xué)技術(shù)大學(xué);2008年

4 魏景璇;基于KL距離的微博突發(fā)話題檢測研究[D];山東師范大學(xué);2015年

5 倪菁;天波超視距雷達(dá)信號(hào)處理檢測方法研究[D];南京理工大學(xué);2008年

本文編號(hào)：2692347