近年來(lái),在互聯(lián)網(wǎng)通信技術(shù)快速發(fā)展的背景下,人們的信息生活愈加便利,各種企業(yè)與組織也更加依賴于信息化系統(tǒng)。在各種企業(yè)與組織利用信息化便利的同時(shí),由于信息化系統(tǒng)的脆弱性以及安全機(jī)制的不足,也增加了重要信息資產(chǎn)被竊取的風(fēng)險(xiǎn)。在這樣的背景下,針對(duì)企業(yè)與組織重要機(jī)密信息的攻擊,以包括且不限于竊密、破壞重要設(shè)施等目標(biāo)的高級(jí)持續(xù)性威脅(Advanced Persistent Threats,下文簡(jiǎn)稱APT)逐漸增多。APT攻擊一般可以通過(guò)躲避IDS系統(tǒng)的檢測(cè)來(lái)隱匿其攻擊過(guò)程。由于這一特點(diǎn)的存在,傳統(tǒng)的IDS系統(tǒng)在應(yīng)對(duì)APT攻擊時(shí)就有可能漏掉關(guān)鍵攻擊過(guò)程。使用全部網(wǎng)絡(luò)流量進(jìn)行分析可以保證攻擊中的網(wǎng)絡(luò)數(shù)據(jù)被完整保留下來(lái)。但是如果使用全流量作為分析的原始數(shù)據(jù),由于一次攻擊極有可能持續(xù)時(shí)間較長(zhǎng),從茫茫網(wǎng)絡(luò)流量中找出APT攻擊也對(duì)攻擊行為的檢測(cè)提出了挑戰(zhàn)。目前對(duì)APT攻擊相關(guān)的研究也存在著許多的問(wèn)題�；贗DS告警的APT攻擊發(fā)現(xiàn)方法往往由于攻擊者通過(guò)Oday漏洞等方式可以繞過(guò)IDS而導(dǎo)致攻擊關(guān)鍵步驟對(duì)應(yīng)警告的缺失,從而導(dǎo)致檢測(cè)分析的數(shù)據(jù)不夠完善,影響準(zhǔn)確率;另一方面,基于流量日志的分析方法使用的機(jī)器學(xué)習(xí)方法多采用有監(jiān)督的方法,然而有監(jiān)督的方法比較依賴訓(xùn)練數(shù)據(jù)的標(biāo)記準(zhǔn)確性和訓(xùn)練數(shù)據(jù)與預(yù)測(cè)數(shù)據(jù)同分布這一特性。考慮到APT攻擊往往涉及到機(jī)構(gòu)或組織重要信息資產(chǎn),并且涉及的數(shù)據(jù)量較大而不易標(biāo)注,高質(zhì)量的訓(xùn)練數(shù)據(jù)的獲取并不容易。針對(duì)以上問(wèn)題,本文進(jìn)行了深入研究,主要工作如下:(1)為了解決長(zhǎng)時(shí)間窗口下采集到的數(shù)據(jù)量巨大不便于分析的問(wèn)題,在對(duì)APT攻擊流量日志數(shù)據(jù)分析的基礎(chǔ)上,提出了基于流行度和連接方向的流量日志縮減算法,在此基礎(chǔ)上提供了一種高效的流量日志縮減技術(shù);(2)面對(duì)有標(biāo)記的真實(shí)數(shù)據(jù)缺乏的問(wèn)題,提出了利用匿名數(shù)據(jù)集針對(duì)APT攻擊中C2階段網(wǎng)絡(luò)行為的檢測(cè)模型:首先針對(duì)C2域名訪問(wèn)記錄,提出了多個(gè)基于DNS行為規(guī)律的特征,并將這些特征與流量特征進(jìn)行了融合;基于這些特征,模型使用iForest異常檢測(cè)算法評(píng)估數(shù)據(jù)集。(3)設(shè)計(jì)并實(shí)現(xiàn)一個(gè)APT攻擊檢測(cè)框架,將以上算法和模型納入其中,使其具有了線上處理數(shù)據(jù)的能力;提出了數(shù)據(jù)縮減算法的線上方案,使其具備擴(kuò)展能力和抗流量高峰能力;提供交互界面使框架具備對(duì)時(shí)間窗口等參數(shù)的靈活配置能力,也為安全人員提供了友好的操作接口。(4)通過(guò)大規(guī)模組織內(nèi)部采集的數(shù)據(jù)結(jié)合仿真數(shù)據(jù)進(jìn)行了實(shí)驗(yàn),對(duì)數(shù)據(jù)縮減算法和APT攻擊檢測(cè)模型進(jìn)行了驗(yàn)證,實(shí)驗(yàn)結(jié)果表明算法具備一定的在大數(shù)據(jù)量下對(duì)APT攻擊檢測(cè)的能力,并且可以給出疑似被感染主機(jī),為進(jìn)一步的檢測(cè)分析提供可靠的入手點(diǎn)。(5)在上文所提方法的基礎(chǔ)上,對(duì)方法和框架進(jìn)行總結(jié)分析,討論了其中存在的問(wèn)題,并提出了進(jìn)一步優(yōu)化的方向。
【學(xué)位單位】：北京郵電大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位年份】：2019
【中圖分類】：TP393.08;TP311.13
【部分圖文】：

ｓ，ａｒｅｏｓｏｎｖｙ加端口來(lái)對(duì)Ｃ２服務(wù)器進(jìn)行定位。對(duì)ＡＰＴ攻擊中涉及的惡意域名的檢然是一個(gè)挑戰(zhàn)。ＡＰＴ攻擊由于其攻擊目標(biāo)明確且花費(fèi)代價(jià)相對(duì)較大，因具有良好的隱蔽性，攻擊者刻意控制域名的行為，其域名行為往往很難域名行為進(jìn)行區(qū)分。ＡＰＴ攻擊中使用的域名也展現(xiàn)出了與僵尸網(wǎng)絡(luò)或軟件不一樣的特點(diǎn)：Ａｐｔ攻擊中使用的域名往往不使用惡意ｆｌｕｘ服務(wù)名［８］。同時(shí)針對(duì)大型機(jī)構(gòu)、企業(yè)或者ＩＳｐ的巨量的網(wǎng)絡(luò)流量進(jìn)行分析有挑戰(zhàn)的任務(wù)。??ＡＰＴ生命周期??于ＡＰＴ攻擊的生命周期在現(xiàn)有的研宄中有很多種劃分方式，其中殺傷最為著名的階段劃分方式。殺傷鏈模型將一次攻擊分為多個(gè)步驟：偵，投放，利用，植入，命令＆控制（Ｃｏｍｍａｎｄ＆Ｃｏｎｔｒｏｌ）、持續(xù)攻擊七個(gè)許多攻擊階段劃分模型在殺傷鏈模型的基礎(chǔ)上對(duì)階段劃分進(jìn)行了改善。??

無(wú)監(jiān)督異常檢測(cè)的思想主要是發(fā)現(xiàn)數(shù)據(jù)集中不同于正常數(shù)據(jù)的異常數(shù)據(jù)。對(duì)??于不同于正常數(shù)據(jù)這一概念，研究者［２１］提出了三種不同類型的異常：全局異常??點(diǎn)，局部異常點(diǎn)和微小簇［２７］，參考圖２－１中ｘ２，?ｘ３與Ｃ３。由于對(duì)異常的定義并??不是一種絕對(duì)的類別劃分，無(wú)監(jiān)督異常檢測(cè)方法通常僅能得到樣本數(shù)據(jù)的異常排??名。??１３??

功的攻擊并在目標(biāo)系統(tǒng)內(nèi)找到相應(yīng)的立足點(diǎn)之后，攻擊者與目標(biāo)系統(tǒng)進(jìn)行的交互??都由目標(biāo)系統(tǒng)內(nèi)被感染主機(jī)發(fā)起的，之后交由Ｃ２服務(wù)器進(jìn)行中轉(zhuǎn)，再達(dá)到攻擊??者的。其模式如圖３－１所示。而Ｃ２服務(wù)器一般都是一臺(tái)或多臺(tái)被攻擊者控制的??肉雞服務(wù)器，通常處于目標(biāo)系統(tǒng)的外部。因此我們可以通過(guò)這一點(diǎn)來(lái)將采集的網(wǎng)??絡(luò)日志進(jìn)行一個(gè)簡(jiǎn)單的劃分，即通過(guò)網(wǎng)絡(luò)連接的方向?qū)⒕W(wǎng)絡(luò)流量日志進(jìn)行劃分：??由內(nèi)部主機(jī)發(fā)起并且目標(biāo)地址是外部主機(jī)的連接，由外部主機(jī)發(fā)起的連接以及內(nèi)??部主機(jī)向內(nèi)部主機(jī)發(fā)起的連接。由于本文提出的模型重點(diǎn)研宄被感染主機(jī)在Ｃ２??階段的行為，因此我們只需要保留由內(nèi)部主機(jī)發(fā)起并且目標(biāo)地址是外部主機(jī)的數(shù)??據(jù)，即上文中目的主機(jī)位于外網(wǎng)的日志記錄，這樣我們就在一定程度上縮減了數(shù)??據(jù)的總量。??目標(biāo)系統(tǒng)網(wǎng)絡(luò)?廠＇?—、＆二＆了―、??公開(kāi)服務(wù)１??Ｃ２服務(wù)器１??被控主機(jī)?１?、Ｉ???１?Ａ??，??：?擊??被控主機(jī)?２?，??????公開(kāi)服務(wù)２?｜??０２服務(wù)器２??被控主機(jī)３?—????｜??；??；?＇?＇?；??????、、?ｙ??圖３－１?Ｃ２工作方式??基于流行度的方法與我們針對(duì)網(wǎng)絡(luò)流日志的縮減算法的主要思想與對(duì)ＤＮＳ??日志的數(shù)據(jù)縮減算法思想基本相同
【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 ABENSTIN JP;TOMPKINS WJ;李長(zhǎng)運(yùn);;實(shí)時(shí)心電圖分析的新數(shù)據(jù)縮減算法[J];國(guó)外醫(yī)學(xué).生物醫(yī)學(xué)工程分冊(cè);1984年02期

2 田浩;孫劍偉;;基于衛(wèi)星數(shù)據(jù)縮減的傳輸優(yōu)化技術(shù)研究與實(shí)現(xiàn)[J];軟件;2017年02期

3 鄒濤;苗青;劉麗;張翠;;網(wǎng)絡(luò)文本內(nèi)容取證系統(tǒng)中的數(shù)據(jù)縮減性能分析[J];通信學(xué)報(bào);2009年S1期

4 楊祥清;;存儲(chǔ)系統(tǒng)數(shù)據(jù)去重策略研究[J];信息通信;2014年08期

5 ;SEPATON攜手Hifn提供業(yè)內(nèi)性能最高的數(shù)據(jù)縮減解決方案[J];現(xiàn)代通信;2007年Z3期

6 ;MPEG壓縮[J];今日電子;2007年07期

7 孫立新;高文;王實(shí);;數(shù)據(jù)挖掘中的三維縮減[J];計(jì)算機(jī)科學(xué);2000年07期

8 王曉琪;李強(qiáng);閆廣華;玄光哲;郭東;;高級(jí)持續(xù)性威脅中隱蔽可疑DNS行為的檢測(cè)[J];計(jì)算機(jī)研究與發(fā)展;2017年10期

9 姜紅德;;全閃存“大佬”進(jìn)軍中國(guó)的數(shù)據(jù)邏輯[J];中國(guó)信息化;2019年02期

10 李洪偉;劉君鵬;李濤;周云龍;孫斌;;基于相空間重構(gòu)與數(shù)據(jù)縮減分頻段小波的小通道氣液兩相流動(dòng)力學(xué)特性分析（英文）[J];Chinese Journal of Chemical Engineering;2015年06期

相關(guān)碩士學(xué)位論文 前4條

1 鐘瑤;基于數(shù)據(jù)挖掘的APT攻擊檢測(cè)方法研究與實(shí)現(xiàn)[D];北京郵電大學(xué);2019年

2 王曉琪;高級(jí)持續(xù)性威脅中隱蔽可疑DNS行為的檢測(cè)[D];吉林大學(xué);2018年

3 馮劍;空地?cái)?shù)據(jù)鏈系統(tǒng)中一種圖像數(shù)據(jù)縮減方案及關(guān)鍵算法的研究[D];吉林大學(xué);2005年

4 翁彬;B樣條曲線和圓域B樣條曲線數(shù)據(jù)縮減的研究[D];福建師范大學(xué);2006年

本文編號(hào)：2839964