APT攻击行为分析与防御决策方法研究
发布时间:2021-08-10 03:10
随着网络信息技术的日益成熟与普及应用,依赖信息系统实施的网络攻击愈发多样且复杂,为全世界多国家、多领域、多行业的信息安全、财产安全、数据安全带来严峻挑战。高级可持续性攻击(Advanced Persistent Threat,APT攻击)是近年来新出现的一种新型网络攻击模式,具有隐蔽性、先进性、持续性等特征,能够对目标系统造成严重损害,使得现有安全防护技术面临严峻挑战。为及时、有效、准确地实现APT攻击的检测与防御,本文以APT攻击行为分析与防御决策为目标进行研究,具体研究工作如下:1.针对APT攻击行为多样、难以发现的问题,本文提出了一种APT攻击行为的分类与性能分析方法。针对APT攻击的阶段性特征,提出基于阶段特性的APT攻击行为分类框架,对APT攻击行为进行“细粒度”划分;研究选取影响攻击行为性能的关键因素,分析APT攻击机理,提出APT攻击行为性能评估方法,对不同类别的攻击行为性能进行对比与分析,全面了解APT攻击行为的本质特征。2.针对APT攻击持续时间长、攻击评估难的问题,本文提出了一种APT攻击链效能评估与攻击者能力量化方法。目前,APT攻击评估方法仅针对某一时刻、单个节...
【文章来源】:战略支援部队信息工程大学河南省
【文章页数】:71 页
【学位级别】:硕士
【部分图文】:
实验分类统计结果
才有可能成功;iQ OR表示只要状态iS 的任能成功。状态发生函数 bool ( s )。该函数用于标识攻击状态发生情况 ( s ) true;否则, bool ( s ) false。转移等待窗口 。攻击者对网络的入侵一般有一个攻击周续攻击,则该攻击者的能力无法利用网络中出现的漏洞,识别,设置一个转移等待窗口来衡量攻击者的成功与否。行为 Alert利用攻击关联度进行聚类,得到不同攻击场景的报警信息与生成的攻击模式库进行关联分析,可能出现以其中 Alert代表实时攻击行为,Vuln代表所需利用的漏洞,洞存在,虚线表示状态未发生或漏洞不存在。攻击的前提状态为真,且目标主机中存在该攻击所利用的。图 3.4(b)为失败状态转移情景,图(b1)中被攻击目标主机该攻击的前提状态不为真。图 3.4(c)为与节点状态转移情景。基于上述分析,实时攻击阶段状态识别算法的基本步
图 3. 5 攻击阶段识别异常情况决以上问题,将状态发生函数 bool ( s )进行拓展,b ool ( s ) {t rue, false, middle态,用以保存可能发生的状态转移,并通过后续报警进行状态更正。对算法的改进如下。 1 设置中间状态。若Vuln HostInf,( )xbool s true,表示目标主机上不存在攻击利用漏洞,状态为真,该情景有可能出现零日漏洞问题。设置 ( )ybool s middle。若Vuln HostInf,( )xbool s false,表示目标主机上存在攻击利用漏洞,但态不为真,该情景可以为漏报或报警乱序问题。查找状态xs的发生主机所需漏洞使其达到该状态,若存在,设置( )xbool s middle、 ( )ybool s mid 2 状态更正。若Vuln HostInf,( )xbool s middle,表示目标主机上存在攻击利用漏洞,态为中间状态。由于攻击者已经能够利用状态xs为前提条件,则认为该发生,因此设置( )xbool s true、 ( )ybool s true。该情景是对漏报与零日漏更正。
本文编号:3333332
【文章来源】:战略支援部队信息工程大学河南省
【文章页数】:71 页
【学位级别】:硕士
【部分图文】:
实验分类统计结果
才有可能成功;iQ OR表示只要状态iS 的任能成功。状态发生函数 bool ( s )。该函数用于标识攻击状态发生情况 ( s ) true;否则, bool ( s ) false。转移等待窗口 。攻击者对网络的入侵一般有一个攻击周续攻击,则该攻击者的能力无法利用网络中出现的漏洞,识别,设置一个转移等待窗口来衡量攻击者的成功与否。行为 Alert利用攻击关联度进行聚类,得到不同攻击场景的报警信息与生成的攻击模式库进行关联分析,可能出现以其中 Alert代表实时攻击行为,Vuln代表所需利用的漏洞,洞存在,虚线表示状态未发生或漏洞不存在。攻击的前提状态为真,且目标主机中存在该攻击所利用的。图 3.4(b)为失败状态转移情景,图(b1)中被攻击目标主机该攻击的前提状态不为真。图 3.4(c)为与节点状态转移情景。基于上述分析,实时攻击阶段状态识别算法的基本步
图 3. 5 攻击阶段识别异常情况决以上问题,将状态发生函数 bool ( s )进行拓展,b ool ( s ) {t rue, false, middle态,用以保存可能发生的状态转移,并通过后续报警进行状态更正。对算法的改进如下。 1 设置中间状态。若Vuln HostInf,( )xbool s true,表示目标主机上不存在攻击利用漏洞,状态为真,该情景有可能出现零日漏洞问题。设置 ( )ybool s middle。若Vuln HostInf,( )xbool s false,表示目标主机上存在攻击利用漏洞,但态不为真,该情景可以为漏报或报警乱序问题。查找状态xs的发生主机所需漏洞使其达到该状态,若存在,设置( )xbool s middle、 ( )ybool s mid 2 状态更正。若Vuln HostInf,( )xbool s middle,表示目标主机上存在攻击利用漏洞,态为中间状态。由于攻击者已经能够利用状态xs为前提条件,则认为该发生,因此设置( )xbool s true、 ( )ybool s true。该情景是对漏报与零日漏更正。
本文编号:3333332
本文链接:https://www.wllwen.com/guanlilunwen/lindaojc/3333332.html
