本文選題：高級(jí)持續(xù)威脅　切入點(diǎn)：DNS請(qǐng)求數(shù)據(jù)　出處：《計(jì)算機(jī)研究與發(fā)展》2017年10期 　論文類型：期刊論文

【摘要】：近年來(lái),高級(jí)持續(xù)性威脅(advanced persistent threats,APT)危害企業(yè)、組織甚至國(guó)家安全,給目標(biāo)帶來(lái)了巨大的經(jīng)濟(jì)損失,其重要特征是攻擊持續(xù)時(shí)間跨度大,在目標(biāo)網(wǎng)絡(luò)內(nèi)長(zhǎng)期潛伏.現(xiàn)有的安全防御措施還無(wú)法有效檢測(cè)APT.現(xiàn)有研究認(rèn)為通過(guò)分析APT攻擊中目標(biāo)網(wǎng)絡(luò)的DNS請(qǐng)求,可以幫助檢測(cè)APT攻擊.增加DNS流量中的時(shí)間特征結(jié)合變化向量分析和信譽(yù)評(píng)分方法來(lái)檢測(cè)隱蔽可疑的DNS行為.提出一種協(xié)助檢測(cè)APT的框架APDD,通過(guò)分析大量的DNS請(qǐng)求數(shù)據(jù)檢測(cè)長(zhǎng)時(shí)間周期下APT中隱蔽可疑的DNS行為.將收集到的DNS請(qǐng)求數(shù)據(jù)執(zhí)行數(shù)據(jù)縮減并提取特征;利用變化向量分析方法(change vector analysis,CVA)和滑動(dòng)時(shí)間窗口方法分析待檢測(cè)域名訪問(wèn)記錄與現(xiàn)有APT相關(guān)域名之間的相似度;建立一個(gè)信譽(yù)評(píng)分系統(tǒng)對(duì)相似度較高的待檢測(cè)域名訪問(wèn)記錄進(jìn)行打分;APDD框架輸出一個(gè)可疑域名訪問(wèn)記錄排名列表,可用于后續(xù)人工優(yōu)先分析最可疑的記錄,從而提高APT攻擊的檢測(cè)效率;利用一個(gè)大型校園網(wǎng)中收集的包含1 584 225 274條DNS請(qǐng)求記錄的數(shù)據(jù)加入仿真攻擊數(shù)據(jù)來(lái)驗(yàn)證框架的有效性與正確性,實(shí)驗(yàn)結(jié)果表明:提出的框架可以有效地檢測(cè)到APT中隱蔽可疑的DNS行為.
[Abstract]:In recent years, advanced persistent threats (advanced persistent threats) have jeopardized enterprises, organizations and even national security, causing huge economic losses to targets. Existing security defense measures can not effectively detect APT.existing studies believe that by analyzing the DNS requests of the target network in APT attacks, It can help detect APT attacks. Add time characteristics in DNS traffic and combine change vector analysis and reputation scoring method to detect covert suspicious DNS behavior. A framework to assist detection of APT is proposed, by analyzing a large number of DNS requests. The data is used to detect the suspicious DNS behavior in the APT over a long period of time. The collected DNS request data is reduced and the features are extracted. Change vector analysis (CVA) and sliding time window method are used to analyze the similarity between the access record of domain name to be detected and the existing APT domain name. A reputation scoring system is established to evaluate the access records of domain names to be detected with high similarity. APDD framework outputs a list of suspicious domain name access records, which can be used to analyze the most suspicious records manually. In order to improve the efficiency of APT attack detection, the data collected from a large campus network including 1 584,225,274 DNS requests are added to the simulation attack data to verify the validity and correctness of the framework. Experimental results show that the proposed framework can effectively detect the hidden suspicious DNS behavior in APT.
【作者單位】： 吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院;符號(hào)計(jì)算與知識(shí)工程教育部重點(diǎn)實(shí)驗(yàn)室(吉林大學(xué));吉林大學(xué)大數(shù)據(jù)和網(wǎng)絡(luò)管理中心;
【基金】：國(guó)家自然科學(xué)基金項(xiàng)目(61472162,61772229)~~
【分類號(hào)】：TP309

【相似文獻(xiàn)】

相關(guān)期刊論文 前6條

1 王國(guó)慶;;數(shù)據(jù)預(yù)處理的數(shù)據(jù)縮減方法的研究[J];計(jì)算技術(shù)與自動(dòng)化;2008年02期

2 姚遠(yuǎn)達(dá);徐榕;;基于CAN總線仿真平臺(tái)的數(shù)據(jù)縮減算法的研究[J];計(jì)算機(jī)仿真;2007年02期

3 韓成勇;;基于數(shù)據(jù)縮減和存儲(chǔ)過(guò)程的ID3算法改進(jìn)設(shè)計(jì)[J];哈爾濱師范大學(xué)自然科學(xué)學(xué)報(bào);2013年04期

4 吳瓊,姚慶安;DNS服務(wù)應(yīng)用于小型網(wǎng)絡(luò)教學(xué)的研究[J];吉林省經(jīng)濟(jì)管理干部學(xué)院學(xué)報(bào);2004年06期

5 李紅;萬(wàn)吉;;基于Linux智能DNS系統(tǒng)的研究和實(shí)現(xiàn)[J];數(shù)字技術(shù)與應(yīng)用;2013年07期

6 馮忠偉,范國(guó)才;Linux下DNS的配置[J];黑龍江通信技術(shù);1999年03期

相關(guān)重要報(bào)紙文章 前4條

1 ;實(shí)現(xiàn)主存儲(chǔ)優(yōu)化的6個(gè)措施[N];網(wǎng)絡(luò)世界;2009年

2 王樂(lè)平;歐盟研究新技術(shù)應(yīng)對(duì)DNS漏洞[N];人民郵電;2008年

3 ;DNS漏洞再現(xiàn)互聯(lián)網(wǎng)[N];計(jì)算機(jī)世界;2008年

4 ;DNS曝重大漏洞 IT廠商聯(lián)手應(yīng)對(duì)[N];網(wǎng)絡(luò)世界;2008年

相關(guān)碩士學(xué)位論文 前1條

1 陸柯羽;DNS遞歸服務(wù)器推薦系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D];哈爾濱工業(yè)大學(xué);2015年

，

本文編號(hào)：1566936