以APT為代表的定向網(wǎng)絡(luò)攻擊具有攻擊手段復(fù)雜、潛伏期長、危害性高的特點(diǎn),已成為影響網(wǎng)絡(luò)安全的最大威脅,從多源異構(gòu)、存在噪聲的網(wǎng)絡(luò)空間數(shù)據(jù)中辨識出定向網(wǎng)絡(luò)攻擊行為、意圖和趨勢,是網(wǎng)絡(luò)空間安全態(tài)勢感知的重要研究內(nèi)容,對于網(wǎng)絡(luò)空間安全具有重要意義。本文針對多源異構(gòu)網(wǎng)絡(luò)安全數(shù)據(jù)體量巨大、格式異構(gòu)、語義多樣等特點(diǎn),研究了面向關(guān)聯(lián)分析的定向網(wǎng)絡(luò)攻擊檢測方法,分析歸納目前存在的主要問題,設(shè)計基于多源異構(gòu)數(shù)據(jù)的定向網(wǎng)絡(luò)攻擊檢測框架,相應(yīng)地提出了一整套數(shù)據(jù)關(guān)聯(lián)方法,可有效支持網(wǎng)絡(luò)安全態(tài)勢感知與分析決策。具體來說,本文成果包括以下幾個方面:1、針對面向關(guān)聯(lián)分析的定向網(wǎng)絡(luò)攻擊檢測缺乏標(biāo)準(zhǔn)框架的問題,設(shè)計了基于多源異構(gòu)數(shù)據(jù)的定向網(wǎng)絡(luò)攻擊檢測框架,通過分析定向網(wǎng)絡(luò)攻擊及其檢測過程,給出定向網(wǎng)絡(luò)攻擊的形式化定義,在此基礎(chǔ)上構(gòu)建基于多源異構(gòu)數(shù)據(jù)的定向網(wǎng)絡(luò)攻擊檢測分層框架,設(shè)計了相應(yīng)的數(shù)據(jù)分類模型與關(guān)聯(lián)分析方法,解決了目前研究中缺乏統(tǒng)一規(guī)范描述框架的問題。2、針對異常檢測模型缺少高質(zhì)量標(biāo)注數(shù)據(jù)集的現(xiàn)實問題,研究少標(biāo)注樣本環(huán)境下的流數(shù)據(jù)異常檢測方法,提出了基于孤立森林和PAL的自適應(yīng)異常檢測算法。在基于集成學(xué)習(xí)思想的孤... 

【文章來源】：戰(zhàn)略支援部隊信息工程大學(xué)河南省

【文章頁數(shù)】：152 頁

【學(xué)位級別】：博士

【部分圖文】：

金字塔（7）攻擊本體模型

戰(zhàn)略支援部隊信息工程大學(xué)博士學(xué)位論文第44頁圖2.5后續(xù)章節(jié)內(nèi)容與檢測框架對應(yīng)情況通過將下層異常檢測結(jié)果逐步向上層傳遞，可以逐漸增強(qiáng)數(shù)據(jù)語義信息，從而增強(qiáng)定向網(wǎng)絡(luò)攻擊檢測的時效性和精度；在數(shù)據(jù)通路中通過分析安全事件的關(guān)聯(lián)性，告警事件的置信度逐漸加深，可以將原本孤立分散的無關(guān)事件組成相對完整的攻擊片斷或攻擊場景；伴隨著對攻擊場景分析程度的不斷深入，跨層事件的關(guān)聯(lián)性不斷增強(qiáng)，通過建立人在回路的機(jī)制，以及安全知識的融入，可以大大減輕人工分析成本，不斷提升定向網(wǎng)絡(luò)攻擊分析檢測效率和準(zhǔn)確度，從而實現(xiàn)對安全威脅的實時把握和全面感知。2.6小結(jié)本章首先形式化描述了定向網(wǎng)絡(luò)攻擊及其檢測過程，通過分析定向網(wǎng)絡(luò)攻擊的實施流程，給出其一般定義，然后從防御方的角度研究提出了一種基于多源異構(gòu)數(shù)據(jù)的定向網(wǎng)絡(luò)攻擊檢測框架（HeteMSD），以幫助安全專業(yè)人員深入了解定向網(wǎng)絡(luò)攻擊，并對相應(yīng)技術(shù)組件和具體研究方法進(jìn)行了解釋，并將現(xiàn)有檢測技術(shù)進(jìn)行分類，建立了基于多源異構(gòu)數(shù)據(jù)的定向網(wǎng)絡(luò)攻擊檢測框架，結(jié)合數(shù)據(jù)分類模型，從事件-事件關(guān)聯(lián)、告警-告警關(guān)聯(lián)、上下文-知識關(guān)聯(lián)、告警-上下文關(guān)聯(lián)等4個關(guān)聯(lián)分析維度，總結(jié)提出了基于多源異構(gòu)數(shù)據(jù)的關(guān)聯(lián)分析思路。構(gòu)建了基于多源異構(gòu)數(shù)據(jù)的定向網(wǎng)絡(luò)攻擊檢測框架和流程，從而為后續(xù)數(shù)據(jù)關(guān)聯(lián)與檢測方法設(shè)計提供依據(jù)與模型支撐。

第五章基于知識圖譜表示學(xué)習(xí)的攻擊知識關(guān)聯(lián)方法第83頁不同的抽象層次決定了模型的表達(dá)能力和能夠覆蓋的概念的粒度，較高層的概念抽象可以從宏觀的角度給威脅事件進(jìn)行定性，并支持對安全風(fēng)險進(jìn)行評級；較底層的概念則更貼近攻擊細(xì)節(jié)，在實際分析過程中能夠給威脅事件更確切實際的解釋、指導(dǎo)和評估。圖5.1ATT&CK框架示意圖（2）CAPEC通用攻擊模式枚舉與分類模型CAPEC[119][120]（全稱CommonAttackPatternEnumerationandClassification）是MITRE托管的常見攻擊模式枚舉與分類集合，可以用來輔助安全專業(yè)人士理解攻擊模式，可以在CAPEC在線信息庫網(wǎng)站中搜索具體攻擊模型的特征描述。CAPEC提供了一個公共可用的常見攻擊模式目錄，其目的在于幫助用戶了解對手如何利用應(yīng)用程序和其他網(wǎng)絡(luò)功能中的弱點(diǎn)展開攻擊活動。在2020年7月發(fā)布的CAPECVersion3.3中，共列出了524種攻擊模式。這里的“攻擊模式”是對攻擊者利用網(wǎng)絡(luò)能力中已知弱點(diǎn)的共同屬性和方法的描述。攻擊模式定義了對手可能面臨的挑戰(zhàn)以及如何解決這些挑戰(zhàn)。它們源于在破壞性而非建設(shè)性的環(huán)境中應(yīng)用的設(shè)計模式的概念，并從對具體的實際開發(fā)實例的深入分析中生成。與ATT&CK不同，CAPEC專注于應(yīng)用程序安全，描述了對手利用網(wǎng)絡(luò)能力中已知弱點(diǎn)所采用的通用屬性和技術(shù)（例如SQL注入、XSS、會話固定、點(diǎn)擊劫持等）。CAPEC與CVE本體示例如圖5.2所示。(a)CAPEC本體(b)CVE本體圖5.2CAPEC與CVE本體示例（3）CVE安全漏洞是指系統(tǒng)中軟件、硬件或協(xié)議存在的錯誤或缺陷，攻擊者可能利用這些缺陷


本文編號：3318414