高级持续性威胁中攻击特征分析
发布时间:2020-11-05 17:30
随着信息时代的到来和网络技术的飞速发展,当今社会产生了翻天覆地的变化,越来越多的人开始享受着网络技术所带来的便利,如微博、微信、Facebook、Twitter等的广泛使用。与此同时,很多组织、公司、政府机关等也越来越重视自身的网络建设。但是,伴随着网络技术的普及和飞速发展,多种新型的网络安全问题逐渐显现出来。尤其是近年来兴起的高级持续性威胁(APT,advanced persistent threat),它与传统的网络攻击方式存在显著的差别,对网络基础设施构成严重威胁,逐渐成为高等级安全网络的主要威胁之一。本文围绕着高级持续性威胁的检测和防御技术,分析了高级持续性威胁的特征,并提出了基于流量数据特征的检测方法,主要内容和贡献如下:1、介绍了高级持续性威胁的概况,包括攻击阶段模型和攻击特点。本文介绍了APT攻击阶段模型的相关工作,分析了两种常见的描述高级持续性威胁的攻击阶段模型。阐述了APT攻击的概念,指出了与表征APT攻击主要特征相关的三个主要阶段。结合三个主要阶段的攻击过程,详细分析了APT攻击的针对性、组织性、持续性、隐蔽性、间接性等特点。2、阐述了现有的APT攻击防御策略。本文详细阐述了现有的APT攻击防御策略,其中包括安全意识培训、传统防御机制、高级恶意软件检测以及异常行为检测。针对APT攻击初次入侵前的信息收集过程,本文指出要提高网络用户自身的安全意识,避免遭受网络钓鱼、仿冒诈骗等社会工程学方面的攻击。介绍了传统防御机制中的防火墙技术,比较和分析了计算机防火墙与网络防火墙的原理和结构。分别阐述了传统防御机制中基于主机的入侵检测系统和基于网络的入侵检测系统的工作原理,分析了它们在检测APT攻击时表现出的局限性。3、提出一种基于网络流量特征的APT攻击检测方法。本文在基于网络流量的入侵检测技术的基础上,提出了一种基于多种数据特征属性的入侵检测方法,通过机器学习中聚类和分类的相关算法构建入侵检测模型,实现了APT攻击中异常数据的检测。实验中分别使用了j48算法、NaiveBayes算法和k-means算法对源数据进行训练分类,构建了三种异常检测模型,并结合weka系统输出的评价结果绘制了相应模型的ROC曲线。本文综合分析了三种检测模型的ROC曲线,验证了基于网络数据特征的检测方法能够检测出APT攻击中的异常数据,并且达到了较高的精确度和极低的误判率。
【学位单位】:吉林大学
【学位级别】:硕士
【学位年份】:2018
【中图分类】:TP393.08
【部分图文】:
们的查准率和查全率都高达 99%。由表 5.2 的评价结果,我们绘制了 j48 算法 ROC 曲线,如图 5.2 所示。表 5.2 采用 j48 算法的评价结果TPRateFPRatePrecision Recall F-Measure MCC ROCAreaPRCAreaClass0.999 0.001 0.999 0.999 0.999 0.998 0.999 0.999 good0.999 0.001 0.999 0.999 0.999 0.998 0.999 0.999 bad从图 5.2 可以看出,随着负样本中被预测为正样本的数量的增加,被预测为样本的比率基本保持不变,并且接近于 1。这说明该算法有着非常高的准确率,够精准识别数据集中的正常数据和异常数据,有着较高的精确度和低误报率。
图 5.3 NaiveBayes 算法的 ROC 曲线(3)当我们用聚类分析中的 k-means 算法对同样的数据集进行聚类分析后,到表 5.5 所示的混淆矩阵。表 5.5 k-means 算法的混淆矩阵=== Confusion Matrix ===a b <--classified as56144 93 | a = good91 43672 | b = bad表 5.5 的混淆矩阵显示,有 56144 条正常数据被准确判定为正常,93 条正常据被误判为异常;有 43672 条异常数据被准确判定为异常,91 条异常数据被
在入侵检测上表现出了优良的性能。同样,结合表 5.6 的评价结果绘制了图 5.4所示的 ROC 曲线。表 5.6 k-means 算法的分析结果TPRateFPRatePrecision Recall F-Measure MCC ROCAreaPRCAreaClass0.998 0.002 0.998 0.998 0.998 0.996 0.999 0.998 good0.998 0.002 0.998 0.998 0.998 0.996 0.999 0.999 bad如图 5.4 所示,随着误报率的增加,检测率几乎保持不变,并且检测率无限接近于 1,这表明该方法训练的模型能够做到对数据集的精准分类,保证了入侵检测的高精确度和低误判率。
【参考文献】
本文编号:2871956
【学位单位】:吉林大学
【学位级别】:硕士
【学位年份】:2018
【中图分类】:TP393.08
【部分图文】:
们的查准率和查全率都高达 99%。由表 5.2 的评价结果,我们绘制了 j48 算法 ROC 曲线,如图 5.2 所示。表 5.2 采用 j48 算法的评价结果TPRateFPRatePrecision Recall F-Measure MCC ROCAreaPRCAreaClass0.999 0.001 0.999 0.999 0.999 0.998 0.999 0.999 good0.999 0.001 0.999 0.999 0.999 0.998 0.999 0.999 bad从图 5.2 可以看出,随着负样本中被预测为正样本的数量的增加,被预测为样本的比率基本保持不变,并且接近于 1。这说明该算法有着非常高的准确率,够精准识别数据集中的正常数据和异常数据,有着较高的精确度和低误报率。
图 5.3 NaiveBayes 算法的 ROC 曲线(3)当我们用聚类分析中的 k-means 算法对同样的数据集进行聚类分析后,到表 5.5 所示的混淆矩阵。表 5.5 k-means 算法的混淆矩阵=== Confusion Matrix ===a b <--classified as56144 93 | a = good91 43672 | b = bad表 5.5 的混淆矩阵显示,有 56144 条正常数据被准确判定为正常,93 条正常据被误判为异常;有 43672 条异常数据被准确判定为异常,91 条异常数据被
在入侵检测上表现出了优良的性能。同样,结合表 5.6 的评价结果绘制了图 5.4所示的 ROC 曲线。表 5.6 k-means 算法的分析结果TPRateFPRatePrecision Recall F-Measure MCC ROCAreaPRCAreaClass0.998 0.002 0.998 0.998 0.998 0.996 0.999 0.998 good0.998 0.002 0.998 0.998 0.998 0.996 0.999 0.999 bad如图 5.4 所示,随着误报率的增加,检测率几乎保持不变,并且检测率无限接近于 1,这表明该方法训练的模型能够做到对数据集的精准分类,保证了入侵检测的高精确度和低误判率。
【参考文献】
相关期刊论文 前4条
1 付钰;李洪成;吴晓平;王甲生;;基于大数据分析的APT攻击检测研究综述[J];通信学报;2015年11期
2 周涛;;基于统计学习的网络异常行为检测技术[J];大数据;2015年04期
3 高赟;周薇;韩冀中;孟丹;;一种基于文法压缩的日志异常检测算法[J];计算机学报;2014年01期
4 李戈,邵峰晶,朱本浩;基于神经网络聚类的研究[J];青岛大学学报(工程技术版);2001年04期
相关硕士学位论文 前2条
1 佟海奇;面向未知木马的APT攻击检测方法研究[D];北京邮电大学;2015年
2 吴孔;基于分布式网络的APT攻击与防御技术研究[D];北京邮电大学;2015年
本文编号:2871956
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/2871956.html
