APT攻击中横向移动及数据回传阶段DNS隐蔽特征分析与行为检测

发布时间：2020-09-05 08:02

　　 近年来,高级持续性威胁(Advanced Persistent Threat,APT)已经对网络安全产生了巨大的损害。做为一种新型的攻击形式,APT攻击具有跨度时间长,隐蔽性更高的特点。APT的攻击者会在较长时间内,通过多种攻击手段的复合使用,对目标组织进行渗透、攻击,并潜伏、扩散、窃取机密。然而,现有的安全检测措施大多是基于单个时间节点的,这些安全检测措施还不能有效的应对APT攻击的变化趋势。针对APT攻击的阶段性,现有的研究对其攻击制定了多种不同的模型。而由于APT攻击中DNS流量的产生较多,现有工作多会通过检测DNS流量来检测APT的攻击行为。为了有效地检测APT,本文中对APT的各个阶段展开分析,总结特征,并通过DNS特征有效检测了APT攻击。本文首先通过对大量公开APT报告的分析,总结出了APT的典型攻击模型。接着将APT攻击划分为侦查,初始妥协,权限提升,保持存在,数据回传这五个阶段,其中权限提升和保持存在阶段统称为横向移动。对应APT攻击模型中的每个阶段,本文提出了一个攻击特征树模型。攻击特征树模型将APT各个阶段的攻击特征以及攻击特征之间的关联都有效地展现出来。然后,在现有同类研究工作中有关DNS特征的基础上,根据APT的攻击阶段划分,重点分析了在横向移动阶段和数据回传阶段DNS访问的特点,并从攻击特征树上提取了跨时间段的DNS行为特征。本文在从大型校园教育网中收集的99天DNS请求记录的后71天的1,157,236,653条数据中加入了APT的仿真攻击数据,使用半监督机器学习的决策树模型对特征、数据进行分析对比实验。实验结果以及调整参数后的对比实验都表明提取的横向移动及数据回传阶段中的DNS隐蔽特征可以有效检测APT的攻击行为。
【学位单位】：吉林大学
【学位级别】：硕士
【学位年份】：2019
【中图分类】：TP393.08
【部分图文】：

电子邮件服务器等。横向移动阶段，攻击者通过 PsExec 以及 Windows 中的凭证任务调度程序执行命令，并在远程系统上安装恶意软件。APT1 从建立立足点阶段到数据回传阶段会一直循环，直到任务完成才会最终退出宿主。图 3.1 显示了APT1 的攻击模型。

APT攻击RUAG的攻击模型

打开这个文件时，dll 文件就会被拖到系统上。而在另一个名叫羊毛-金鱼的箭猫新版本攻击中，攻击者将恶意链接指向了微软的云存储服务 OneDrive，云存储服务中，攻击者事先放入了恶意文件。图 3.3 显示了火箭猫的初始妥协击模型。

【相似文献】

相关期刊论文 前10条

1 ;横向移动留人才[J];现代商业银行;2000年05期

2 肖明超;;“横向移动”的营销攻略[J];中国禽业导刊;2008年17期

3 欧阳凯;横向移动式测设法[J];城市勘测;2004年03期

4 ;德国研发横向移动汽车[J];驾驶园;2015年06期

5 黄庆安;在单晶硅中批量加工横向移动结构[J];电子器件;1990年02期

6 韩文峰;冯刚;聂娅青;;钻塔横向移动装置有限元分析及结构改进[J];机械设计与制造;2010年09期

7 李孟辉;於波;周洪利;;拖拉法及横向移动施工工艺在钢梁架设中的应用[J];云南科技管理;2019年01期

8 钱华仁;;台湾出版社的营销企划[J];出版参考;2011年16期

9 朱鹏飞;叶雁;朱巍;李军;罗振雄;;X射线横向移动成像法识别土壤中物体的蒙特卡罗模拟[J];核电子学与探测技术;2011年12期

10 刘新芽;反射和折射电磁波的横向移动[J];光学学报;1995年10期

相关会议论文 前1条

1 邹玲莹;;集合图页图片编排的基本类型[A];科技期刊编辑研究文集[C];1993年

相关重要报纸文章 前3条

1 肖明超;延伸产品价值 “横向移动”出营销[N];中国高新技术产业导报;2008年

2 冯春梅;勇做强军路上“过河卒”[N];人民日报;2013年

3 ;插秧机呈现四大特点[N];湖南科技报;2005年

相关硕士学位论文 前3条

1 潘孝闻;APT攻击中横向移动及数据回传阶段DNS隐蔽特征分析与行为检测[D];吉林大学;2019年

2 韩文峰;海洋平台钻塔横向移动装置技术研究[D];大连理工大学;2009年

3 许爽;从认知隐喻角度看隐喻的翻译策略[D];南京大学;2015年

本文编号：2812768