【摘要】：隨著網(wǎng)絡(luò)信息技術(shù)的高速發(fā)展,互聯(lián)網(wǎng)應(yīng)用的普及與深化,網(wǎng)絡(luò)已經(jīng)成為人類生產(chǎn)生活不可或缺的要素。然而,在信息網(wǎng)絡(luò)技術(shù)持續(xù)深入發(fā)展的過程中,網(wǎng)絡(luò)安全問題也逐漸突顯出來,并且已經(jīng)逐漸成為影響信息化社會良性發(fā)展的重要威脅。其中,高級持續(xù)性威脅(Advanced Persistent Threat,APT)因其先進的攻擊手段以及巨大的危害性已然成為國家,政府,企業(yè)面臨的最重大的網(wǎng)絡(luò)威脅。從APT攻擊目標(biāo)來看,APT攻擊瞄準(zhǔn)得國家,政府,軍隊,企業(yè)等最為核心,最具有價值的機密或者數(shù)據(jù),也有部分APT攻擊會在竊密之后對目標(biāo)網(wǎng)絡(luò),甚至工業(yè)設(shè)施采取破壞手段。從攻擊技術(shù)來看,APT攻擊是由資源豐富的團體支持,由一群精通網(wǎng)絡(luò)技術(shù)的頂級科技人員共同展開的系列復(fù)雜攻擊過程。他們總能發(fā)現(xiàn)利用零日漏洞,創(chuàng)造出新的惡意軟件變體,使得傳統(tǒng)的基于特征匹配的入侵檢測系統(tǒng)、防火墻等網(wǎng)絡(luò)安全防御設(shè)施無法抵御APT攻擊。因此,針對APT攻擊的檢測已成為了當(dāng)今網(wǎng)絡(luò)安全領(lǐng)域的最重要的研究內(nèi)容之一。已有的研究表明,雖然APT攻擊使用的惡意軟件一直在更新?lián)Q代,但是惡意軟件與控制與命令(Control and Command,CC)服務(wù)器之間的通信模式卻往往是相似的。因此,本文以APT攻擊遠(yuǎn)控階段的異常通信行為作為研究的切入點,并且從TCP流量與DNS流量的相關(guān)特征兩個角度出發(fā),分別設(shè)計了相應(yīng)的檢測系統(tǒng)模型。本文主要研究內(nèi)容及成果如下:1.研究了大量APT攻擊樣本流量,深入分析并且提取了APT攻擊惡意軟件與CC服務(wù)器通信時TCP流特征,基于這些特征設(shè)計了一種基于機器學(xué)習(xí)的APT攻擊深度流檢測原型系統(tǒng)。2.為了提高APT攻擊深度流檢測原型系統(tǒng)的檢測精度,提出了一種基于連續(xù)性假設(shè)檢驗思想的多窗關(guān)聯(lián)檢測算法,以源/目IP為標(biāo)識,存儲可疑會話流信息,只有通過多窗關(guān)聯(lián)檢測算法判別為攻擊的流量才發(fā)出告警,該方法大大提高了系統(tǒng)的檢測精度,降低誤報率。3.結(jié)合部分APT攻擊DNS樣本流量,從多個特征空間維度提取APT攻擊的DNS流量特征,并設(shè)計了一種基于惡意DNS流量特征的APT攻擊檢測模型。4.由于從基于單一特征空間描述的單分類器在檢測時候的往往忽略其他特征空間的信息因素導(dǎo)致模型檢測性能不佳,設(shè)計一種基于分類器置信度的投票法則,通過對每個特征空間檢測結(jié)果的投票與綜合決策,提高了模型檢測精度。
【圖文】：

浙江工業(yè)大學(xué)碩士學(xué)位論文 APT 攻擊鏈模型APT 攻擊鏈模型[31]是由洛克希德馬丁公司提出，以便于描述 APT 攻擊各個階段征，在對 APT 攻擊的異常通信行為進行分析之前，首先對 APT 攻擊鏈模型進行析。如圖 2-1 所示，根據(jù) APT 攻擊鏈模型描述，APT 攻擊過程可分為 6 個階段：情報手機，代碼植入，通信控制，橫向滲透，數(shù)據(jù)發(fā)現(xiàn)，，數(shù)據(jù)竊取。

浙江工業(yè)大學(xué)碩士學(xué)位論文示，該算法以時間等參數(shù)為種子（seeds）輸入，使用偽隨機算法 成的域名 包括 前綴 和頂級 域名(Top Level Domain, TLD), cally-generation domain）。攻擊者只需要在這之前通過相同的算法表，并且選擇其中部分注冊為合法域名，便可讓惡意軟件通過的 IP 地址。通過這種方式改變惡意程序每次 DNS 請求的域名與了 APT 攻擊通信的隱蔽性。
【學(xué)位授予單位】：浙江工業(yè)大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2018
【分類號】：TP393.08

【相似文獻】

相關(guān)期刊論文 前10條

1 劉民;劉利容;欒承;喻達;;北京市某綜合醫(yī)院患者艾滋病病毒抗體無關(guān)聯(lián)檢測結(jié)果分析[J];中華流行病學(xué)雜志;2007年12期

2 王平,李莉,趙宏;網(wǎng)絡(luò)管理中事件關(guān)聯(lián)檢測機制的研究[J];通信學(xué)報;2004年03期

3 劉天君;;雙向設(shè)計 關(guān)聯(lián)檢測 相互釋義——氣功現(xiàn)代科學(xué)研究的方法論探索[J];上海中醫(yī)藥雜志;2007年07期

4 龐海杰;;基于動態(tài)共現(xiàn)的中文話題關(guān)聯(lián)檢測[J];計算機應(yīng)用與軟件;2012年03期

5 陽芬;常青;;基于FPGA的序列圖像目標(biāo)關(guān)聯(lián)檢測[J];計算機技術(shù)與發(fā)展;2009年04期

6 曹海;;基于時間Petri網(wǎng)的事件關(guān)聯(lián)檢測機制研究[J];計算機應(yīng)用;2008年05期

7 洪宇;張宇;范基禮;劉挺;李生;;基于語義域語言模型的中文話題關(guān)聯(lián)檢測[J];軟件學(xué)報;2008年09期

8 楊玉珍;劉培玉;費紹棟;張成功;;融合擴展信息瓶頸理論的話題關(guān)聯(lián)檢測方法研究[J];自動化學(xué)報;2014年03期

9 趙旺飛;王齊;;基于事件關(guān)聯(lián)的網(wǎng)絡(luò)拓?fù)渥詣影l(fā)現(xiàn)研究[J];電信快報;2011年01期

10 鄭學(xué)偉;;基于語義的信息時序檢測技術(shù)設(shè)計研究[J];電子測量技術(shù);2016年10期

相關(guān)會議論文 前1條

1 曠慶圓;武斌;伍淳華;;基于攻擊意圖的安全事件關(guān)聯(lián)算法[A];第十九屆全國青年通信學(xué)術(shù)年會論文集[C];2014年

相關(guān)博士學(xué)位論文 前3條

1 洪宇;基于語義結(jié)構(gòu)和時序特征的話題檢測與跟蹤技術(shù)研究[D];哈爾濱工業(yè)大學(xué);2009年

2 張海波;具象思維作業(yè)的腦電空間與頻域特征研究[D];北京中醫(yī)藥大學(xué);2011年

3 金城;基于理化—生物關(guān)聯(lián)檢測的中藥（板藍(lán)根）生產(chǎn)過程質(zhì)量控制方法初步研究[D];中國人民解放軍軍事醫(yī)學(xué)科學(xué)院;2009年

相關(guān)碩士學(xué)位論文 前5條

1 林紅;跨平臺固件漏洞關(guān)聯(lián)檢測算法研究[D];武漢理工大學(xué);2018年

2 方建輝;基于異常通信行為的高級持續(xù)性威脅檢測技術(shù)研究[D];浙江工業(yè)大學(xué);2018年

3 陽芬;紅外序列圖像目標(biāo)軌跡關(guān)聯(lián)檢測算法研究與硬件設(shè)計[D];國防科學(xué)技術(shù)大學(xué);2008年

4 魏景璇;基于KL距離的微博突發(fā)話題檢測研究[D];山東師范大學(xué);2015年

5 倪菁;天波超視距雷達信號處理檢測方法研究[D];南京理工大學(xué);2008年

本文編號：2692347