隨著信息時代的到來和網(wǎng)絡技術的飛速發(fā)展,當今社會產(chǎn)生了翻天覆地的變化,越來越多的人開始享受著網(wǎng)絡技術所帶來的便利,如微博、微信、Facebook、Twitter等的廣泛使用。與此同時,很多組織、公司、政府機關等也越來越重視自身的網(wǎng)絡建設。但是,伴隨著網(wǎng)絡技術的普及和飛速發(fā)展,多種新型的網(wǎng)絡安全問題逐漸顯現(xiàn)出來。尤其是近年來興起的高級持續(xù)性威脅(APT,advanced persistent threat),它與傳統(tǒng)的網(wǎng)絡攻擊方式存在顯著的差別,對網(wǎng)絡基礎設施構成嚴重威脅,逐漸成為高等級安全網(wǎng)絡的主要威脅之一。本文圍繞著高級持續(xù)性威脅的檢測和防御技術,分析了高級持續(xù)性威脅的特征,并提出了基于流量數(shù)據(jù)特征的檢測方法,主要內容和貢獻如下:1、介紹了高級持續(xù)性威脅的概況,包括攻擊階段模型和攻擊特點。本文介紹了APT攻擊階段模型的相關工作,分析了兩種常見的描述高級持續(xù)性威脅的攻擊階段模型。闡述了APT攻擊的概念,指出了與表征APT攻擊主要特征相關的三個主要階段。結合三個主要階段的攻擊過程,詳細分析了APT攻擊的針對性、組織性、持續(xù)性、隱蔽性、間接性等特點。2、闡述了現(xiàn)有的APT攻擊防御策略。本文詳細闡述了現(xiàn)有的APT攻擊防御策略,其中包括安全意識培訓、傳統(tǒng)防御機制、高級惡意軟件檢測以及異常行為檢測。針對APT攻擊初次入侵前的信息收集過程,本文指出要提高網(wǎng)絡用戶自身的安全意識,避免遭受網(wǎng)絡釣魚、仿冒詐騙等社會工程學方面的攻擊。介紹了傳統(tǒng)防御機制中的防火墻技術,比較和分析了計算機防火墻與網(wǎng)絡防火墻的原理和結構。分別闡述了傳統(tǒng)防御機制中基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡的入侵檢測系統(tǒng)的工作原理,分析了它們在檢測APT攻擊時表現(xiàn)出的局限性。3、提出一種基于網(wǎng)絡流量特征的APT攻擊檢測方法。本文在基于網(wǎng)絡流量的入侵檢測技術的基礎上,提出了一種基于多種數(shù)據(jù)特征屬性的入侵檢測方法,通過機器學習中聚類和分類的相關算法構建入侵檢測模型,實現(xiàn)了APT攻擊中異常數(shù)據(jù)的檢測。實驗中分別使用了j48算法、NaiveBayes算法和k-means算法對源數(shù)據(jù)進行訓練分類,構建了三種異常檢測模型,并結合weka系統(tǒng)輸出的評價結果繪制了相應模型的ROC曲線。本文綜合分析了三種檢測模型的ROC曲線,驗證了基于網(wǎng)絡數(shù)據(jù)特征的檢測方法能夠檢測出APT攻擊中的異常數(shù)據(jù),并且達到了較高的精確度和極低的誤判率。
【學位單位】：吉林大學
【學位級別】：碩士
【學位年份】：2018
【中圖分類】：TP393.08
【部分圖文】：

們的查準率和查全率都高達 99%。由表 5.2 的評價結果，我們繪制了 j48 算法 ROC 曲線，如圖 5.2 所示。表 5.2 采用 j48 算法的評價結果TPRateFPRatePrecision Recall F-Measure MCC ROCAreaPRCAreaClass0.999 0.001 0.999 0.999 0.999 0.998 0.999 0.999 good0.999 0.001 0.999 0.999 0.999 0.998 0.999 0.999 bad從圖 5.2 可以看出，隨著負樣本中被預測為正樣本的數(shù)量的增加，被預測為樣本的比率基本保持不變，并且接近于 1。這說明該算法有著非常高的準確率，夠精準識別數(shù)據(jù)集中的正常數(shù)據(jù)和異常數(shù)據(jù)，有著較高的精確度和低誤報率。

圖 5.3 NaiveBayes 算法的 ROC 曲線（3）當我們用聚類分析中的 k-means 算法對同樣的數(shù)據(jù)集進行聚類分析后，到表 5.5 所示的混淆矩陣。表 5.5 k-means 算法的混淆矩陣=== Confusion Matrix ===a b <--classified as56144 93 | a = good91 43672 | b = bad表 5.5 的混淆矩陣顯示，有 56144 條正常數(shù)據(jù)被準確判定為正常，93 條正常據(jù)被誤判為異常；有 43672 條異常數(shù)據(jù)被準確判定為異常，91 條異常數(shù)據(jù)被

在入侵檢測上表現(xiàn)出了優(yōu)良的性能。同樣，結合表 5.6 的評價結果繪制了圖 5.4所示的 ROC 曲線。表 5.6 k-means 算法的分析結果TPRateFPRatePrecision Recall F-Measure MCC ROCAreaPRCAreaClass0.998 0.002 0.998 0.998 0.998 0.996 0.999 0.998 good0.998 0.002 0.998 0.998 0.998 0.996 0.999 0.999 bad如圖 5.4 所示，隨著誤報率的增加，檢測率幾乎保持不變，并且檢測率無限接近于 1，這表明該方法訓練的模型能夠做到對數(shù)據(jù)集的精準分類，保證了入侵檢測的高精確度和低誤判率。
【參考文獻】

相關期刊論文 前4條

1 付鈺;李洪成;吳曉平;王甲生;;基于大數(shù)據(jù)分析的APT攻擊檢測研究綜述[J];通信學報;2015年11期

2 周濤;;基于統(tǒng)計學習的網(wǎng)絡異常行為檢測技術[J];大數(shù)據(jù);2015年04期

3 高赟;周薇;韓冀中;孟丹;;一種基于文法壓縮的日志異常檢測算法[J];計算機學報;2014年01期

4 李戈,邵峰晶,朱本浩;基于神經(jīng)網(wǎng)絡聚類的研究[J];青島大學學報(工程技術版);2001年04期

相關碩士學位論文 前2條

1 佟海奇;面向未知木馬的APT攻擊檢測方法研究[D];北京郵電大學;2015年

2 吳孔;基于分布式網(wǎng)絡的APT攻擊與防御技術研究[D];北京郵電大學;2015年

本文編號：2871956