基于异常通信行为的高级持续性威胁检测技术研究

发布时间：2020-06-02 00:57

【摘要】：随着网络信息技术的高速发展,互联网应用的普及与深化,网络已经成为人类生产生活不可或缺的要素。然而,在信息网络技术持续深入发展的过程中,网络安全问题也逐渐突显出来,并且已经逐渐成为影响信息化社会良性发展的重要威胁。其中,高级持续性威胁(Advanced Persistent Threat,APT)因其先进的攻击手段以及巨大的危害性已然成为国家,政府,企业面临的最重大的网络威胁。从APT攻击目标来看,APT攻击瞄准得国家,政府,军队,企业等最为核心,最具有价值的机密或者数据,也有部分APT攻击会在窃密之后对目标网络,甚至工业设施采取破坏手段。从攻击技术来看,APT攻击是由资源丰富的团体支持,由一群精通网络技术的顶级科技人员共同展开的系列复杂攻击过程。他们总能发现利用零日漏洞,创造出新的恶意软件变体,使得传统的基于特征匹配的入侵检测系统、防火墙等网络安全防御设施无法抵御APT攻击。因此,针对APT攻击的检测已成为了当今网络安全领域的最重要的研究内容之一。已有的研究表明,虽然APT攻击使用的恶意软件一直在更新换代,但是恶意软件与控制与命令(Control and Command,CC)服务器之间的通信模式却往往是相似的。因此,本文以APT攻击远控阶段的异常通信行为作为研究的切入点,并且从TCP流量与DNS流量的相关特征两个角度出发,分别设计了相应的检测系统模型。本文主要研究内容及成果如下:1.研究了大量APT攻击样本流量,深入分析并且提取了APT攻击恶意软件与CC服务器通信时TCP流特征,基于这些特征设计了一种基于机器学习的APT攻击深度流检测原型系统。2.为了提高APT攻击深度流检测原型系统的检测精度,提出了一种基于连续性假设检验思想的多窗关联检测算法,以源/目IP为标识,存储可疑会话流信息,只有通过多窗关联检测算法判别为攻击的流量才发出告警,该方法大大提高了系统的检测精度,降低误报率。3.结合部分APT攻击DNS样本流量,从多个特征空间维度提取APT攻击的DNS流量特征,并设计了一种基于恶意DNS流量特征的APT攻击检测模型。4.由于从基于单一特征空间描述的单分类器在检测时候的往往忽略其他特征空间的信息因素导致模型检测性能不佳,设计一种基于分类器置信度的投票法则,通过对每个特征空间检测结果的投票与综合决策,提高了模型检测精度。
【图文】：

横向渗透,浙江工业大学,数据发现,马丁

浙江工业大学硕士学位论文 APT 攻击链模型APT 攻击链模型[31]是由洛克希德马丁公司提出，以便于描述 APT 攻击各个阶段征，在对 APT 攻击的异常通信行为进行分析之前，首先对 APT 攻击链模型进行析。如图 2-1 所示，根据 APT 攻击链模型描述，APT 攻击过程可分为 6 个阶段：情报手机，代码植入，通信控制，横向渗透，数据发现，，数据窃取。

示意图,示意图,域名,恶意程序

浙江工业大学硕士学位论文示，该算法以时间等参数为种子（seeds）输入，使用伪随机算法成的域名包括前缀和顶级域名(Top Level Domain, TLD), cally-generation domain）。攻击者只需要在这之前通过相同的算法表，并且选择其中部分注册为合法域名，便可让恶意软件通过的 IP 地址。通过这种方式改变恶意程序每次 DNS 请求的域名与了 APT 攻击通信的隐蔽性。
【学位授予单位】：浙江工业大学
【学位级别】：硕士
【学位授予年份】：2018
【分类号】：TP393.08

【相似文献】