本文關(guān)鍵詞：面向未知木馬的APT攻擊檢測方法研究，由筆耕文化傳播整理發(fā)布。

【摘要】：隨著互聯(lián)網(wǎng)規(guī)模的不斷增長以及計算機網(wǎng)絡(luò)的廣泛應(yīng)用,網(wǎng)絡(luò)在帶給人們極大便利的同時,也帶來了各種各樣的安全問題,網(wǎng)絡(luò)攻擊和入侵等問題與日俱增。自2010年Google承認(rèn)遭受嚴(yán)重黑客攻擊之后,APT高級持續(xù)性威脅便引起了安全界人士的廣泛關(guān)注。APT作為一種高效、精準(zhǔn)的網(wǎng)絡(luò)攻擊方式,在近幾年被頻繁用于各種網(wǎng)絡(luò)攻擊事件之中,并迅速成為企業(yè)信息安全最大的威脅之一。由于黑客普遍使用未知木馬進行遠(yuǎn)程控制,木馬攻擊行為特征難以提取,給傳統(tǒng)的入侵檢測技術(shù)帶來了巨大的挑戰(zhàn)。如何能夠準(zhǔn)確地檢測面向未知木馬的APT攻擊,提高APT的檢測能力,及時發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在的APT攻擊威脅,對于維護網(wǎng)絡(luò)秩序,保障社會安全有著重要的意義。 本文通過分析APT攻擊過程和特點以及木馬的通信行為特征,結(jié)合現(xiàn)有的APT攻擊檢測方法,提出了一種基于自定義模式的面向未知木馬的APT攻擊檢測方法,并對該方法進行了原型實現(xiàn)和實驗。本文的主要工作包括以下幾個方面： (1)研究了APT攻擊的攻擊過程和攻擊特點,并對現(xiàn)有的APT攻擊檢測方法及其優(yōu)缺點進行了分析,在此基礎(chǔ)上提出了一種基于自定義檢測模式的APT攻擊檢測方法的設(shè)計思路； (2)研究并歸納了木馬的通信行為特征,并在此基礎(chǔ)上制定了規(guī)則描述語言,研究了基于自定義檢測模式的網(wǎng)絡(luò)行為異常檢測方法,該方法支持對實時網(wǎng)絡(luò)流量和離線存儲流量的檢測；該方法面向用戶提供自定義的檢測規(guī)則接口,通過自定義檢測模式完成對網(wǎng)絡(luò)環(huán)境中存在的可疑APT攻擊事件的檢測； (3)實現(xiàn)了一個基于自定義檢測模式的網(wǎng)絡(luò)行為異常檢測實驗系統(tǒng),對系統(tǒng)中的各模塊的具體功能進行了詳細(xì)的論述,并對各模塊涉及到的關(guān)鍵技術(shù)進行了研究和實現(xiàn),最后,對系統(tǒng)的檢測能力和性能進行了測試。測試結(jié)果表明,該檢測方法是可行的。
【關(guān)鍵詞】：APT攻擊 檢測模式 規(guī)則語言 實時數(shù)據(jù)檢測 歷史數(shù)據(jù)分析
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2015
【分類號】：TP393.08
【目錄】：

• 摘要4-5
• ABSTRACT5-9
• 第一章 緒論9-13
• 1.1 研究背景9-10
• 1.2 國內(nèi)外研究現(xiàn)狀10-11
• 1.3 本文的研究內(nèi)容11-12
• 1.4 論文結(jié)構(gòu)12-13
• 第二章 APT檢測與木馬相關(guān)技術(shù)介紹13-24
• 2.1 入侵檢測技術(shù)13-14
• 2.1.1 根據(jù)數(shù)據(jù)源分類13
• 2.1.2 根據(jù)檢測方法分類13-14
• 2.2 木馬與木馬相關(guān)技術(shù)14-17
• 2.2.1 木馬的概念14-15
• 2.2.2 木馬傳播方式15-16
• 2.2.3 木馬通信技術(shù)16-17
• 2.3 APT攻擊與檢測技術(shù)17-23
• 2.3.1 APT攻擊介紹17-19
• 2.3.2 APT攻擊檢測方案19-22
• 2.3.3 現(xiàn)有檢測方案的分析總結(jié)22-23
• 2.4 本章小結(jié)23-24
• 第三章 基于自定義模式的檢測系統(tǒng)設(shè)計24-40
• 3.1 基于自定義模式的檢測方法24-26
• 3.1.1 方案設(shè)計思路24-25
• 3.1.2 設(shè)計原則和目標(biāo)25-26
• 3.2 系統(tǒng)的總體設(shè)計26-27
• 3.3 系統(tǒng)功能結(jié)構(gòu)設(shè)計27-30
• 3.3.1 規(guī)則語言解析引擎27
• 3.3.2 實時數(shù)據(jù)檢測引擎27-29
• 3.3.3 歷史數(shù)據(jù)分析引擎29
• 3.3.4 協(xié)同聯(lián)動引擎29-30
• 3.4 系統(tǒng)規(guī)則語言設(shè)計30-39
• 3.4.1 木馬通信行為分析與特征提取31-33
• 3.4.2 木馬通信行為特征總結(jié)33-34
• 3.4.3 規(guī)則描述語言34-39
• 3.4.4 檢測模式39
• 3.5 本章小結(jié)39-40
• 第四章 系統(tǒng)關(guān)鍵模塊設(shè)計與實現(xiàn)40-71
• 4.1 規(guī)則解析引擎40-42
• 4.1.1 規(guī)則解析模塊40-42
• 4.2 實時數(shù)據(jù)檢測引擎42-51
• 4.2.1 協(xié)議識別模塊43-48
• 4.2.2 黑白名單過濾模塊48-50
• 4.2.3 內(nèi)容提取模塊50-51
• 4.3 歷史數(shù)據(jù)檢測引擎51-57
• 4.3.1 多源協(xié)同分析模塊52-55
• 4.3.2 事件檢測模塊55-57
• 4.4 協(xié)同聯(lián)動引擎57-59
• 4.4.1 存儲部件57-58
• 4.4.2 接口模塊58
• 4.4.3 協(xié)同聯(lián)動模塊58-59
• 4.5 實驗59-70
• 4.5.1 實驗?zāi)繕?biāo)59
• 4.5.2 實驗環(huán)境59-60
• 4.5.3 檢測系統(tǒng)功能性測試60-61
• 4.5.4 已知木馬檢測能力測試61-65
• 4.5.5 自定義檢測模式檢測能力測試65-69
• 4.5.6 系統(tǒng)性能測試69-70
• 4.5.7 實驗結(jié)果分析70
• 4.6 本章小結(jié)70-71
• 第五章 總結(jié)與展望71-73
• 5.1 總結(jié)71
• 5.2 展望71-73
• 參考文獻(xiàn)73-76
• 致謝76-77
• 攻讀碩士學(xué)位期間發(fā)表論文77

【參考文獻(xiàn)】

中國期刊全文數(shù)據(jù)庫 前10條

1 李鳴亞;鄒曉峰;;淺談插件化軟件開發(fā)[J];廣西輕工業(yè);2009年08期

2 林龍成;陳波;郭向民;;傳統(tǒng)網(wǎng)絡(luò)安全防御面臨的新威脅:APT攻擊[J];信息安全與技術(shù);2013年03期

3 劉世棟,高峰,楊林;幾種入侵檢測規(guī)則語言分析[J];河北工業(yè)大學(xué)學(xué)報;2003年03期

4 呂鎮(zhèn)邦,吳廣茂;計算機網(wǎng)絡(luò)安全及安全審計技術(shù)研究[J];航空計算技術(shù);1999年04期

5 陳更力,張青;基于主機的入侵檢測系統(tǒng)的典型信息源研究[J];艦船電子工程;2005年02期

6 李承,王偉釗,程立,汪為農(nóng),李家濱;基于防火墻日志的網(wǎng)絡(luò)安全審計系統(tǒng)研究與實現(xiàn)[J];計算機工程;2002年06期

7 梁勇;;網(wǎng)絡(luò)TCP數(shù)據(jù)流重組技術(shù)研究[J];信息通信;2012年06期

8 李芳馨;劉嘉勇;;網(wǎng)絡(luò)數(shù)據(jù)流還原重組技術(shù)研究[J];通信技術(shù);2011年07期

9 江原;;APT攻擊的那些事[J];信息安全與通信保密;2011年11期

10 陳劍鋒;王強;伍淼;;網(wǎng)絡(luò)APT攻擊及防范策略[J];信息安全與通信保密;2012年07期

  本文關(guān)鍵詞：面向未知木馬的APT攻擊檢測方法研究，，由筆耕文化傳播整理發(fā)布。

本文編號：423349