基于行为分析的检测APT攻击方法的研究与实现
发布时间:2021-06-25 11:34
随着互联网的迅猛发展,许多部门和企业的关键业务活动越来越多地依赖于网络,各种网络攻击和信息安全事件发生率在不断攀升。APT(advanced persistent threat)高级持续性威胁已成为针对高度机密的政府、金融企业、军事机构等高安全等级网络的最主要威胁之一。APT攻击主目的是窃取敏感数据信息,APT攻击一旦发生,会给受害主体带来严重的经济、信誉的重大损失。甚至会对国家战略安全造成重大威胁。APT攻击属于攻击时间链长,攻击方式隐蔽、攻击手段高级且不断升级的高级网络攻击行为,对APT整个阶段周期的检测时间复杂度高且需要更高的硬件配置,根据攻击时间链先后对APT攻击进行分阶段分析则能有效降低检测时间复杂度。论文对APT攻击周期进行阶段划分,分为定向情报收集、边缘内部主机入侵、建立监控通道、高级内部主机渗透、数据资源发现与上传、入侵痕迹清除六个阶段。APT攻击目的比较固定,其攻击中通信行为可找到一定规律,根据不同的阶段攻击行为,分析可能的攻击检测场景。在定向情报收集阶段提出针对关联网站的WebShell攻击场景,在建立监控通道阶段和数据资源发现与上传的阶段提出在入侵过程中的C&am...
【文章来源】:北京邮电大学北京市 211工程院校 教育部直属院校
【文章页数】:77 页
【学位级别】:硕士
【部分图文】:
APT攻击的主要机构目标
??由图1-1知,APT攻击的都是政府、金融机构、大型企业等,具有较高的价??值。采用的攻击方式、攻击工具都是最先进的,攻击过程会挖掘目标关联的系统??和网站等。甚至会利Oday漏洞进行渗透攻击。??APT攻击的主要目的是获取企业的数据,由于攻击目标价值较高,攻击者会??长期准备,在攻击的过程中又会具有高度的隐蔽性。有APT攻击被发现时,受??害者己经被攻击了比较长的时间。攻击的隐蔽性,大大提高了检测的难度。APT??攻击一旦发生,会给受害主体带严重的经济、信誉的重大损失。近年来APT攻??击事件的发生不断增加,近十年某重要科研单位网络攻击趋势如图1-2年所示:??近十年网络攻击趋势?OAPT■攻击_常職击??120?m??:?g?1?II??iMlllllll??2009?年?2010?年?20U年?2012?年?2013?年?2014?年?2015#?2016?年?2017?年?2018年??图1-2近十年APT与常规攻击网络攻击对比趋势图??由图1-2可知,APT相对于常规攻击,增长迅速且攻击次数较多。对于高度??机密的政府、科研单位、军事机构来讲
??比较典型的APT攻击场景如图2-1所示:??c&cM信检测??tmmmm??WebShell?检测?▲?I.?一?.??醒?jp:?c?\??_测??攻击\?!:?二_?;?边f机??\?_?xft^c?/,銳机??数据中转服务器?工作PC??图2-1?APT攻击场景图??图2-1中粗箭头标识的是攻击者的攻击时间链,攻击者首先利用关联网站漏??洞渗透到关联网站(如单位机构官方网站等),当内部员工登陆到关联网站输入??个人账号信息的时候,攻击者就可进行采集,并以此为依据攻击内网中相应的权??限的边缘的主机。得到边缘主机的权限后可以建立C&C通道,以边缘主机为跳??板通过监听内网流量信息进而得到核心主机的信息,最终达到入侵核心主机的目??的。APT攻击的主要目的是进行情报信息的获取,得到核心主机的控制权限后,??会对核心主机上的情报信息收集和上传。在上传的过程中攻击为了隐藏自己一般??会通过一个数据中转服务器进行中转
【参考文献】:
期刊论文
[1]基于流相似性的两阶段P2P僵尸网络检测方法[J]. 牛伟纳,张小松,孙恩博,杨国武,赵凌园. 电子科技大学学报. 2017(06)
[2]基于通信特征的APT攻击检测方法[J]. 戴震,程光. 计算机工程与应用. 2017(18)
[3]智能检测WebShell的机器学习算法[J]. 戴桦,李景,卢新岱,孙歆. 网络与信息安全学报. 2017(04)
[4]采用随机森林改进算法的WebShell检测方法[J]. 贾文超,戚兰兰,施凡,胡荣贵. 计算机应用研究. 2018(05)
[5]基于贝叶斯理论的Webshell检测方法研究[J]. 胡必伟. 科技广场. 2016(06)
[6]基于Web日志的Webshell检测方法研究[J]. 石刘洋,方勇. 信息安全研究. 2016(01)
[7]基于支持向量机的Webshell黑盒检测[J]. 叶飞,龚俭,杨望. 南京航空航天大学学报. 2015(06)
[8]PHP webshell实时动态检测[J]. 杜海章,方勇. 网络安全技术与应用. 2014(12)
[9]Linux下基于SVM分类器的WebShell检测方法研究[J]. 孟正,梅瑞,张涛,文伟平. 信息网络安全. 2014(05)
[10]基于决策树的Webshell检测方法研究[J]. 胡建康,徐震,马多贺,杨婧. 网络新媒体技术. 2012(06)
硕士论文
[1]基于机器学习的WebShell检测关键技术研究[D]. 潘杰.中国民航大学 2015
本文编号:3249140
【文章来源】:北京邮电大学北京市 211工程院校 教育部直属院校
【文章页数】:77 页
【学位级别】:硕士
【部分图文】:
APT攻击的主要机构目标
??由图1-1知,APT攻击的都是政府、金融机构、大型企业等,具有较高的价??值。采用的攻击方式、攻击工具都是最先进的,攻击过程会挖掘目标关联的系统??和网站等。甚至会利Oday漏洞进行渗透攻击。??APT攻击的主要目的是获取企业的数据,由于攻击目标价值较高,攻击者会??长期准备,在攻击的过程中又会具有高度的隐蔽性。有APT攻击被发现时,受??害者己经被攻击了比较长的时间。攻击的隐蔽性,大大提高了检测的难度。APT??攻击一旦发生,会给受害主体带严重的经济、信誉的重大损失。近年来APT攻??击事件的发生不断增加,近十年某重要科研单位网络攻击趋势如图1-2年所示:??近十年网络攻击趋势?OAPT■攻击_常職击??120?m??:?g?1?II??iMlllllll??2009?年?2010?年?20U年?2012?年?2013?年?2014?年?2015#?2016?年?2017?年?2018年??图1-2近十年APT与常规攻击网络攻击对比趋势图??由图1-2可知,APT相对于常规攻击,增长迅速且攻击次数较多。对于高度??机密的政府、科研单位、军事机构来讲
??比较典型的APT攻击场景如图2-1所示:??c&cM信检测??tmmmm??WebShell?检测?▲?I.?一?.??醒?jp:?c?\??_测??攻击\?!:?二_?;?边f机??\?_?xft^c?/,銳机??数据中转服务器?工作PC??图2-1?APT攻击场景图??图2-1中粗箭头标识的是攻击者的攻击时间链,攻击者首先利用关联网站漏??洞渗透到关联网站(如单位机构官方网站等),当内部员工登陆到关联网站输入??个人账号信息的时候,攻击者就可进行采集,并以此为依据攻击内网中相应的权??限的边缘的主机。得到边缘主机的权限后可以建立C&C通道,以边缘主机为跳??板通过监听内网流量信息进而得到核心主机的信息,最终达到入侵核心主机的目??的。APT攻击的主要目的是进行情报信息的获取,得到核心主机的控制权限后,??会对核心主机上的情报信息收集和上传。在上传的过程中攻击为了隐藏自己一般??会通过一个数据中转服务器进行中转
【参考文献】:
期刊论文
[1]基于流相似性的两阶段P2P僵尸网络检测方法[J]. 牛伟纳,张小松,孙恩博,杨国武,赵凌园. 电子科技大学学报. 2017(06)
[2]基于通信特征的APT攻击检测方法[J]. 戴震,程光. 计算机工程与应用. 2017(18)
[3]智能检测WebShell的机器学习算法[J]. 戴桦,李景,卢新岱,孙歆. 网络与信息安全学报. 2017(04)
[4]采用随机森林改进算法的WebShell检测方法[J]. 贾文超,戚兰兰,施凡,胡荣贵. 计算机应用研究. 2018(05)
[5]基于贝叶斯理论的Webshell检测方法研究[J]. 胡必伟. 科技广场. 2016(06)
[6]基于Web日志的Webshell检测方法研究[J]. 石刘洋,方勇. 信息安全研究. 2016(01)
[7]基于支持向量机的Webshell黑盒检测[J]. 叶飞,龚俭,杨望. 南京航空航天大学学报. 2015(06)
[8]PHP webshell实时动态检测[J]. 杜海章,方勇. 网络安全技术与应用. 2014(12)
[9]Linux下基于SVM分类器的WebShell检测方法研究[J]. 孟正,梅瑞,张涛,文伟平. 信息网络安全. 2014(05)
[10]基于决策树的Webshell检测方法研究[J]. 胡建康,徐震,马多贺,杨婧. 网络新媒体技术. 2012(06)
硕士论文
[1]基于机器学习的WebShell检测关键技术研究[D]. 潘杰.中国民航大学 2015
本文编号:3249140
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3249140.html
