本文選題：高級持續(xù)威脅　切入點(diǎn)：DNS請求數(shù)據(jù)　出處：《計算機(jī)研究與發(fā)展》2017年10期 　論文類型：期刊論文

【摘要】：近年來,高級持續(xù)性威脅(advanced persistent threats,APT)危害企業(yè)、組織甚至國家安全,給目標(biāo)帶來了巨大的經(jīng)濟(jì)損失,其重要特征是攻擊持續(xù)時間跨度大,在目標(biāo)網(wǎng)絡(luò)內(nèi)長期潛伏.現(xiàn)有的安全防御措施還無法有效檢測APT.現(xiàn)有研究認(rèn)為通過分析APT攻擊中目標(biāo)網(wǎng)絡(luò)的DNS請求,可以幫助檢測APT攻擊.增加DNS流量中的時間特征結(jié)合變化向量分析和信譽(yù)評分方法來檢測隱蔽可疑的DNS行為.提出一種協(xié)助檢測APT的框架APDD,通過分析大量的DNS請求數(shù)據(jù)檢測長時間周期下APT中隱蔽可疑的DNS行為.將收集到的DNS請求數(shù)據(jù)執(zhí)行數(shù)據(jù)縮減并提取特征;利用變化向量分析方法(change vector analysis,CVA)和滑動時間窗口方法分析待檢測域名訪問記錄與現(xiàn)有APT相關(guān)域名之間的相似度;建立一個信譽(yù)評分系統(tǒng)對相似度較高的待檢測域名訪問記錄進(jìn)行打分;APDD框架輸出一個可疑域名訪問記錄排名列表,可用于后續(xù)人工優(yōu)先分析最可疑的記錄,從而提高APT攻擊的檢測效率;利用一個大型校園網(wǎng)中收集的包含1 584 225 274條DNS請求記錄的數(shù)據(jù)加入仿真攻擊數(shù)據(jù)來驗(yàn)證框架的有效性與正確性,實(shí)驗(yàn)結(jié)果表明:提出的框架可以有效地檢測到APT中隱蔽可疑的DNS行為.
[Abstract]:In recent years, advanced persistent threats (advanced persistent threats) have jeopardized enterprises, organizations and even national security, causing huge economic losses to targets. Existing security defense measures can not effectively detect APT.existing studies believe that by analyzing the DNS requests of the target network in APT attacks, It can help detect APT attacks. Add time characteristics in DNS traffic and combine change vector analysis and reputation scoring method to detect covert suspicious DNS behavior. A framework to assist detection of APT is proposed, by analyzing a large number of DNS requests. The data is used to detect the suspicious DNS behavior in the APT over a long period of time. The collected DNS request data is reduced and the features are extracted. Change vector analysis (CVA) and sliding time window method are used to analyze the similarity between the access record of domain name to be detected and the existing APT domain name. A reputation scoring system is established to evaluate the access records of domain names to be detected with high similarity. APDD framework outputs a list of suspicious domain name access records, which can be used to analyze the most suspicious records manually. In order to improve the efficiency of APT attack detection, the data collected from a large campus network including 1 584,225,274 DNS requests are added to the simulation attack data to verify the validity and correctness of the framework. Experimental results show that the proposed framework can effectively detect the hidden suspicious DNS behavior in APT.
【作者單位】： 吉林大學(xué)計算機(jī)科學(xué)與技術(shù)學(xué)院;符號計算與知識工程教育部重點(diǎn)實(shí)驗(yàn)室(吉林大學(xué));吉林大學(xué)大數(shù)據(jù)和網(wǎng)絡(luò)管理中心;
【基金】：國家自然科學(xué)基金項(xiàng)目(61472162,61772229)~~
【分類號】：TP309

【相似文獻(xiàn)】

相關(guān)期刊論文 前6條

1 王國慶;;數(shù)據(jù)預(yù)處理的數(shù)據(jù)縮減方法的研究[J];計算技術(shù)與自動化;2008年02期

2 姚遠(yuǎn)達(dá);徐榕;;基于CAN總線仿真平臺的數(shù)據(jù)縮減算法的研究[J];計算機(jī)仿真;2007年02期

3 韓成勇;;基于數(shù)據(jù)縮減和存儲過程的ID3算法改進(jìn)設(shè)計[J];哈爾濱師范大學(xué)自然科學(xué)學(xué)報;2013年04期

4 吳瓊,姚慶安;DNS服務(wù)應(yīng)用于小型網(wǎng)絡(luò)教學(xué)的研究[J];吉林省經(jīng)濟(jì)管理干部學(xué)院學(xué)報;2004年06期

5 李紅;萬吉;;基于Linux智能DNS系統(tǒng)的研究和實(shí)現(xiàn)[J];數(shù)字技術(shù)與應(yīng)用;2013年07期

6 馮忠偉,范國才;Linux下DNS的配置[J];黑龍江通信技術(shù);1999年03期

相關(guān)重要報紙文章 前4條

1 ;實(shí)現(xiàn)主存儲優(yōu)化的6個措施[N];網(wǎng)絡(luò)世界;2009年

2 王樂平;歐盟研究新技術(shù)應(yīng)對DNS漏洞[N];人民郵電;2008年

3 ;DNS漏洞再現(xiàn)互聯(lián)網(wǎng)[N];計算機(jī)世界;2008年

4 ;DNS曝重大漏洞 IT廠商聯(lián)手應(yīng)對[N];網(wǎng)絡(luò)世界;2008年

相關(guān)碩士學(xué)位論文 前1條

1 陸柯羽;DNS遞歸服務(wù)器推薦系統(tǒng)設(shè)計與實(shí)現(xiàn)[D];哈爾濱工業(yè)大學(xué);2015年

，

本文編號：1566936