高级持续性威胁（APT）的攻防技术研究

发布时间：2017-10-14 01:24

  本文关键词：高级持续性威胁（APT）的攻防技术研究

  更多相关文章： APT检测 攻击链阻断 APT缓解 取证和响应 APT防御 沙箱回避

【摘要】：本文介绍高级持续性威胁(APT)使用的攻击技巧和性质,分析近些年发生的APT攻击案例的技术细节。从攻击者暴露几率、实施攻击的代价、被检测出的可能、实施补救的代价、防御手段的多少和取证调查的难度方面分析APT攻击的危险阶段的特点。结合常见的四种APT检测技术,总结出APT防御策略的演变规律,提出基于APT攻击链阻断的防御策略,在不同的攻击阶段利用不同的检测组合手段可以有效的阻断APT攻击。通过对APT攻击的持续跟进,发现APT攻击的新动向和新手段,包括:精准钓鱼、高级隐遁技术、水坑攻击、利用社交攻击和Tor网络、远程控制更加多样和精细、先进挥发性威胁等。提出运用“主动技术”和“活性技术”的思想的APT缓解策略,从构建弹性网络和安全系统工程方面,缓解APT攻击带来的影响。文章重点分析新型APT逃避沙箱检测的技术细节,从人机交互、特殊设定、特殊环境、典型虚拟机系统特征方面阐述方面剖析回避沙箱检测的手段;指出现有APT沙箱检测系统的不足,提出新型APT沙箱检测系统的技术要点和基于漏洞诱饵的新型APT防御模式。从取证和响应角度防御,提出基于多级端点取证和响应的高级威胁防御,对高级威胁防御的体系架构、证据链模型和D-S证据理论的融合诊断决策模型详细阐述,构建实时取证和快速响应协同的整体防御体系。
【关键词】：APT检测 攻击链阻断 APT缓解 取证和响应 APT防御 沙箱回避
【学位授予单位】：上海交通大学
【学位级别】：硕士
【学位授予年份】：2015
【分类号】：TP393.08
【目录】：

• 摘要3-4
• ABSTRACT4-11
• 第一章 绪论11-17
• 1.1 研究背景11-12
• 1.2 研究现状12-14
• 1.3 研究内容14-15
• 1.4 论文结构15-17
• 第二章 高级持续性威胁（APT）17-26
• 2.1 APT命名17-18
• 2.2 APT攻击案例18-20
• 2.3 APT特征20-23
• 2.3.1 采用社交欺骗20
• 2.3.2 利用零日漏洞20-21
• 2.3.3 开发高级恶意软件21
• 2.3.4 善于逃避检测21
• 2.3.5 利用授权用户和可信链接21-22
• 2.3.6 隐蔽的C& C通信22
• 2.3.7 组织化、模块化和智能化22-23
• 2.4 APT性质23-25
• 2.4.1 针对性23
• 2.4.2 持续性23-24
• 2.4.3 阶段性24-25
• 2.4.4 间接性25
• 2.5 本章小结25-26
• 第三章 新型APT的攻击技术26-32
• 3.1 精准钓鱼26
• 3.1.1 技术手段方面26
• 3.1.2 社会工程方面26
• 3.2 高级隐遁技术26-27
• 3.3 水坑式攻击27-28
• 3.4 社交网站成为APT攻击工具28-30
• 3.4.1 引诱28
• 3.4.2 攻击28-29
• 3.4.3 完成C&C通信29-30
• 3.5 远程控制更加精细30
• 3.5.1 远程控制的功能30
• 3.5.2 远程控制的目标30
• 3.5.3 远程控制的策略30
• 3.6 先进挥发性威胁（AVT）30-31
• 3.7 TOR网络传播31
• 3.8 本章小结31-32
• 第四章 新型APT的防御策略32-41
• 4.1 APT危险阶段分析32-33
• 4.2 常见的APT检测技术33-35
• 4.2.1 沙箱检测技术33-34
• 4.2.2 异常检测技术34
• 4.2.3 深层协议解析的全流量审计技术34
• 4.2.4 攻击回溯和智能化关联分析技术34-35
• 4.3 APT防御策略的分析35-37
• 4.4 APT攻击链阻断的防御策略37-38
• 4.5 新型APT攻击的缓解方案38-40
• 4.5.1 网络弹性工程38-39
• 4.5.2 网络弹性和系统安全工程39-40
• 4.5.3 网络弹性指标的价值40
• 4.6 本章小结40-41
• 第五章 基于沙箱回避的新型APT攻击技术41-51
• 5.1 新型APT的沙箱回避技术41-48
• 5.1.1 人机交互41-43
• 5.1.2 特殊设定43-46
• 5.1.3 特殊环境46
• 5.1.4 经典的虚拟机系统46-47
• 5.1.5 循环运用多种逃避技术47-48
• 5.2 现有APT检测沙箱的不足48
• 5.3 新型APT检测沙箱48-49
• 5.4 新型APT防御模式探索49-50
• 5.4.1 漏洞诱饵的部署49-50
• 5.4.2 诱饵端点的实时监控和情报分析共享50
• 5.4.3 新型防御模式50
• 5.5 本章小结50-51
• 第六章 基于多级端点取证和响应的APT防御技术51-61
• 6.1 多级端点取证和响应体系架构51-53
• 6.2 证据链模型53-55
• 6.3 D-S证据理论的融合诊断决策模型55-58
• 6.3.1 融合诊断决策的基本步骤55-57
• 6.3.2 分层式信息融合程序模块57-58
• 6.3.3 D-S证据模型的优势58
• 6.4 高级威胁防御（ATD）58-60
• 6.5 本章小结60-61
• 第七章 总结与展望61-66
• 7.1 论文总结61-62
• 7.2 研究展望62-65
• 7.2.1 建立云智能分享平台62-63
• 7.2.2 运用大数据分析技术63-64
• 7.2.3 加强身份认证管理64-65
• 7.2.4 强化网络受控管理65
• 7.3 结语65-66
• 参考文献66-68
• 致谢68-69
• 攻读硕士期间的科研及学术论文69-71

【相似文献】

中国期刊全文数据库 前10条

1 佟首峰;姜会林;刘云清;刘鹏;吴琼;;自由空间激光通信系统APT粗跟踪伺服带宽优化设计[J];光电工程;2007年09期

2 佘其炯;第二次APT地区电信合作及标准化会议在东京举行[J];邮电设计技术;1997年12期

3 佟首峰;刘云清;姜会林;;自由空间激光通信系统APT粗跟踪链路功率分析[J];红外与激光工程;2006年03期

4 陈安松;佟首峰;宋延嵩;任斌;;自由空间激光通信系统APT粗跟踪单元光斑检测优化设计[J];仪器仪表用户;2011年04期

5 余其炯 ,赵网大;我国积极参加亚太电信组织(APT)的活动[J];电信科学;1992年03期

6 王浩先;;基于APT攻击的情报挖掘探析[J];网络安全技术与应用;2014年04期

7 ;APT“爱之旅西藏行”爱心捐书活动[J];电气传动;2010年07期

8 ;西门子完成对中国领先的低压控制部件制造商APT的收购[J];机电一体化;2008年09期

9 ;NT—APT数控机床自动编程软件[J];工业控制计算机;1988年06期

10 晨曦;APT第九次国内对口研究组会议在南宁召开[J];广东通信技术;1995年02期

中国重要会议论文全文数据库 前2条

1 罗章青;廖小英;王文华;陈树茂;;从APT结晶尾气中回收氨的工业实践[A];第五届全国稀有金属学术会议专辑[C];2006年

2 李东江;李星;刘杨;;一种星间光通信APT系统容错方案[A];第十届全国光电技术学术交流会论文集[C];2012年

中国重要报纸全文数据库 前3条

1 卢山林;APT：艺术家生存新方式？[N];中国文化报;2006年

2 实习生 洪一飞　记者 张玮炜;西门子收购APT后首次推广选定大连[N];大连日报;2008年

3 《网络世界》记者 鹿宁宁;解密国内首个网关级APT解决方案[N];网络世界;2014年

中国硕士学位论文全文数据库 前8条

1 闫景富;大气激光通信系统中APT技术研究[D];长春理工大学;2004年

2 段钦义;适用于激光通信APT系统定位方法研究[D];重庆大学;2009年

3 张之硕;邮箱服务器APT攻击检测与防御工具的设计及实现[D];南京大学;2013年

4 孙增;高级持续性威胁（APT）的攻防技术研究[D];上海交通大学;2015年

5 刘久清;纳滤膜分离技术处理APT结晶母液及制备偏钨酸铵的研究[D];中南大学;2002年

6 魏郎俊;激光通信APT系统的研究与设计[D];华中科技大学;2008年

7 李佼瑞;套利定价模型（APT）的统计分析及在我国股票市场的应用研究[D];陕西师范大学;2002年

8 吕利霞;飞机与地面间激光通信APT系统引导方法研究[D];长春理工大学;2006年

，

本文编号：1028212