隨著互聯(lián)網(wǎng)的迅猛發(fā)展,許多部門和企業(yè)的關(guān)鍵業(yè)務(wù)活動越來越多地依賴于網(wǎng)絡(luò),各種網(wǎng)絡(luò)攻擊和信息安全事件發(fā)生率在不斷攀升。APT（advanced persistent threat）高級持續(xù)性威脅已成為針對高度機(jī)密的政府、金融企業(yè)、軍事機(jī)構(gòu)等高安全等級網(wǎng)絡(luò)的最主要威脅之一。APT攻擊主目的是竊取敏感數(shù)據(jù)信息,APT攻擊一旦發(fā)生,會給受害主體帶來嚴(yán)重的經(jīng)濟(jì)、信譽(yù)的重大損失。甚至?xí)䦟覒?zhàn)略安全造成重大威脅。APT攻擊屬于攻擊時間鏈長,攻擊方式隱蔽、攻擊手段高級且不斷升級的高級網(wǎng)絡(luò)攻擊行為,對APT整個階段周期的檢測時間復(fù)雜度高且需要更高的硬件配置,根據(jù)攻擊時間鏈先后對APT攻擊進(jìn)行分階段分析則能有效降低檢測時間復(fù)雜度。論文對APT攻擊周期進(jìn)行階段劃分,分為定向情報(bào)收集、邊緣內(nèi)部主機(jī)入侵、建立監(jiān)控通道、高級內(nèi)部主機(jī)滲透、數(shù)據(jù)資源發(fā)現(xiàn)與上傳、入侵痕跡清除六個階段。APT攻擊目的比較固定,其攻擊中通信行為可找到一定規(guī)律,根據(jù)不同的階段攻擊行為,分析可能的攻擊檢測場景。在定向情報(bào)收集階段提出針對關(guān)聯(lián)網(wǎng)站的WebShell攻擊場景,在建立監(jiān)控通道階段和數(shù)據(jù)資源發(fā)現(xiàn)與上傳的階段提出在入侵過程中的C&am... 

【文章來源】：北京郵電大學(xué)北京市 211工程院校 教育部直屬院校

【文章頁數(shù)】：77 頁

【學(xué)位級別】：碩士

【部分圖文】：

APT攻擊的主要機(jī)構(gòu)目標(biāo)

??由圖１－１知，ＡＰＴ攻擊的都是政府、金融機(jī)構(gòu)、大型企業(yè)等，具有較高的價??值。采用的攻擊方式、攻擊工具都是最先進(jìn)的，攻擊過程會挖掘目標(biāo)關(guān)聯(lián)的系統(tǒng)??和網(wǎng)站等。甚至?xí)希洌幔┒催M(jìn)行滲透攻擊。??ＡＰＴ攻擊的主要目的是獲取企業(yè)的數(shù)據(jù)，由于攻擊目標(biāo)價值較高，攻擊者會??長期準(zhǔn)備，在攻擊的過程中又會具有高度的隱蔽性。有ＡＰＴ攻擊被發(fā)現(xiàn)時，受??害者己經(jīng)被攻擊了比較長的時間。攻擊的隱蔽性，大大提高了檢測的難度。ＡＰＴ??攻擊一旦發(fā)生，會給受害主體帶嚴(yán)重的經(jīng)濟(jì)、信譽(yù)的重大損失。近年來ＡＰＴ攻??擊事件的發(fā)生不斷增加，近十年某重要科研單位網(wǎng)絡(luò)攻擊趨勢如圖１－２年所示：??近十年網(wǎng)絡(luò)攻擊趨勢?ＯＡＰＴ■攻擊＿常職擊??１２０?ｍ??：?ｇ?１?ＩＩ??ｉＭｌｌｌｌｌｌｌ??２００９?年?２０１０?年?２０Ｕ年?２０１２?年?２０１３?年?２０１４?年?２０１５＃?２０１６?年?２０１７?年?２０１８年??圖１－２近十年ＡＰＴ與常規(guī)攻擊網(wǎng)絡(luò)攻擊對比趨勢圖??由圖１－２可知，ＡＰＴ相對于常規(guī)攻擊，增長迅速且攻擊次數(shù)較多。對于高度??機(jī)密的政府、科研單位、軍事機(jī)構(gòu)來講

??比較典型的ＡＰＴ攻擊場景如圖２－１所示：??ｃ＆ｃＭ信檢測??ｔｍｍｍｍ??ＷｅｂＳｈｅｌｌ?檢測?▲?Ｉ．?一?．??醒?ｊｐ：？ｃ?＼?？＿測??攻擊＼?！：?二＿?；?邊ｆ機(jī)??＼?＿?ｘｆｔ＾ｃ?／，銳機(jī)??數(shù)據(jù)中轉(zhuǎn)服務(wù)器?工作ＰＣ??圖２－１?ＡＰＴ攻擊場景圖??圖２－１中粗箭頭標(biāo)識的是攻擊者的攻擊時間鏈，攻擊者首先利用關(guān)聯(lián)網(wǎng)站漏??洞滲透到關(guān)聯(lián)網(wǎng)站（如單位機(jī)構(gòu)官方網(wǎng)站等），當(dāng)內(nèi)部員工登陸到關(guān)聯(lián)網(wǎng)站輸入??個人賬號信息的時候，攻擊者就可進(jìn)行采集，并以此為依據(jù)攻擊內(nèi)網(wǎng)中相應(yīng)的權(quán)??限的邊緣的主機(jī)。得到邊緣主機(jī)的權(quán)限后可以建立Ｃ＆Ｃ通道，以邊緣主機(jī)為跳??板通過監(jiān)聽內(nèi)網(wǎng)流量信息進(jìn)而得到核心主機(jī)的信息，最終達(dá)到入侵核心主機(jī)的目??的。ＡＰＴ攻擊的主要目的是進(jìn)行情報(bào)信息的獲取，得到核心主機(jī)的控制權(quán)限后，??會對核心主機(jī)上的情報(bào)信息收集和上傳。在上傳的過程中攻擊為了隱藏自己一般??會通過一個數(shù)據(jù)中轉(zhuǎn)服務(wù)器進(jìn)行中轉(zhuǎn)

【參考文獻(xiàn)】：
期刊論文
[1]基于流相似性的兩階段P2P僵尸網(wǎng)絡(luò)檢測方法[J]. 牛偉納,張小松,孫恩博,楊國武,趙凌園.  電子科技大學(xué)學(xué)報(bào). 2017(06)
[2]基于通信特征的APT攻擊檢測方法[J]. 戴震,程光.  計(jì)算機(jī)工程與應(yīng)用. 2017(18)
[3]智能檢測WebShell的機(jī)器學(xué)習(xí)算法[J]. 戴樺,李景,盧新岱,孫歆.  網(wǎng)絡(luò)與信息安全學(xué)報(bào). 2017(04)
[4]采用隨機(jī)森林改進(jìn)算法的WebShell檢測方法[J]. 賈文超,戚蘭蘭,施凡,胡榮貴.  計(jì)算機(jī)應(yīng)用研究. 2018(05)
[5]基于貝葉斯理論的Webshell檢測方法研究[J]. 胡必偉.  科技廣場. 2016(06)
[6]基于Web日志的Webshell檢測方法研究[J]. 石劉洋,方勇.  信息安全研究. 2016(01)
[7]基于支持向量機(jī)的Webshell黑盒檢測[J]. 葉飛,龔儉,楊望.  南京航空航天大學(xué)學(xué)報(bào). 2015(06)
[8]PHP webshell實(shí)時動態(tài)檢測[J]. 杜海章,方勇.  網(wǎng)絡(luò)安全技術(shù)與應(yīng)用. 2014(12)
[9]Linux下基于SVM分類器的WebShell檢測方法研究[J]. 孟正,梅瑞,張濤,文偉平.  信息網(wǎng)絡(luò)安全. 2014(05)
[10]基于決策樹的Webshell檢測方法研究[J]. 胡建康,徐震,馬多賀,楊婧.  網(wǎng)絡(luò)新媒體技術(shù). 2012(06)

碩士論文
[1]基于機(jī)器學(xué)習(xí)的WebShell檢測關(guān)鍵技術(shù)研究[D]. 潘杰.中國民航大學(xué) 2015



本文編號：3249140