在大规模的域名映射图中发现APT攻击簇行为
发布时间:2021-09-17 06:49
近年来,一类称为高级持续威胁(APT)的网络攻击给政府,企业等组织带来了非常严重的损失。这一类称为APT的攻击具有可持续时间长、攻击手段复杂、隐蔽性强等特点,使得这类攻击很难被检测到。我们发现,在面对潜伏时间长、隐蔽性高的APT攻击时,传统的检测方法,如防火墙,入侵检测系统等,无法实现有效地检测。而且,通过提取APT攻击特征采用机器学习算法进行检测的方法存在着依赖数据集的质量、易于被攻击者躲避、检测效率低的不足。于是,本文提出了一种基于图检测APT的方法,将属于同一类的APT攻击作为检测对象,通过域名与IP地址建立域名图,结合APT具体的攻击特征,采用适当的预处理和剪枝策略实现对APT攻击进行更有效地检测。通过对一系列APT具体攻击报告和现有检测APT方法的研究,我们有以下发现:1.在APT攻击中,不可避免地会产生被感染主机与外部的命令与控制服务器(C&C服务器)产生C&C通信,C&C域名是连接内部感染主机与C&C服务器进行C&C通信的桥梁。2.我们通过对一些具体的APT攻击实例的研究,发现了属于同一类APT攻击进行的C&C通信具有相似性...
【文章来源】:吉林大学吉林省 211工程院校 985工程院校 教育部直属院校
【文章页数】:53 页
【学位级别】:硕士
【部分图文】:
APT攻击利用的漏洞3)C&C通信阶段
第1章引言4成初始妥协之后,攻击者会立刻与外部的C&C服务器进行C&C通信。图1.2展示了APT的主要入侵方法。图1.2APT的侵入方法值得注意的是,在实际的操作中,攻击者往往不采用触发0日漏洞的恶意代码,而是采用公共的漏洞,因为用户常常缺乏安全意识,软件常常处于较低的版本,所以这些早已经公开的公共漏洞对它们来说就是0日漏洞。图1.3展示了APT利用的主要的漏洞。图1.3APT攻击利用的漏洞3)C&C通信阶段一旦攻击者进入目标系统,它们就会想方设法尽可能长时间地驻留在系统中。常用的方式是窃取可靠的证书。当窃取到可靠的证书之后,攻击者会在多个被妥协
第2章论文动机11组攻击者发动同一类型的APT攻击表现出来的,例如,APT1中C&C域名得到的网页中包含特殊的HTML标记,ke3chang攻击簇表现出相似的HTTP回复模式。只是,这些特殊标记、回复模式表现出的相似性是一类局部相似性。对于这种相似性,攻击者可以在不影响攻击性能的情况下轻易改变这种相似性模式,使得利用这种相似性模式进行检测的方法失效。所以,我们利用APT攻击中C&C通信中恶意域名与IP地址存在重叠映射的现象作为检测APT的特征,这样攻击者在拥有有限的恶意域名和攻击资源的情况下需要付出很大代价才能改变这种特征,这正是我们进行有效检测的基矗图2.1恶意域名映射图通常来说,恶意攻击升级改进的过程是在现有的恶意代码的基础上进行修改。新的恶意代码会在结合原有的恶意代码的基础上提升感染的机制,有效负载的效果。这就是为什么说被划分到相同攻击簇的恶意攻击会在行为、执行、策略和特征方面表现出相似性[18],于是我们得出结论APT的相似性,是以APT攻击簇的形式呈现的。事实上,恶意攻击表现出的这种相似性,正是防御者对于恶意攻击与普通正常行为进行区分检测的桥梁,通常检测思路是将与表现出相似恶意行为特点的攻击进行聚类。所以,不同于其他检测APT攻击的方法,我们这篇论文将检测对象集中在APT属于相同攻击簇的一组攻击上,试图去检测出在系统内部属于相同攻击簇的所有APT的攻击。而且攻击者在侵入系统之后,会对被感染的系统的漏洞进行修复,避免在进行攻击的过程中,受到其他攻击者的影响。所以,我们针对同一攻击簇的检测策略,能让我们更集中地提取出APT在一个系统内部表现的相似性的特点是非常必要而且是有效的。
本文编号:3398185
【文章来源】:吉林大学吉林省 211工程院校 985工程院校 教育部直属院校
【文章页数】:53 页
【学位级别】:硕士
【部分图文】:
APT攻击利用的漏洞3)C&C通信阶段
第1章引言4成初始妥协之后,攻击者会立刻与外部的C&C服务器进行C&C通信。图1.2展示了APT的主要入侵方法。图1.2APT的侵入方法值得注意的是,在实际的操作中,攻击者往往不采用触发0日漏洞的恶意代码,而是采用公共的漏洞,因为用户常常缺乏安全意识,软件常常处于较低的版本,所以这些早已经公开的公共漏洞对它们来说就是0日漏洞。图1.3展示了APT利用的主要的漏洞。图1.3APT攻击利用的漏洞3)C&C通信阶段一旦攻击者进入目标系统,它们就会想方设法尽可能长时间地驻留在系统中。常用的方式是窃取可靠的证书。当窃取到可靠的证书之后,攻击者会在多个被妥协
第2章论文动机11组攻击者发动同一类型的APT攻击表现出来的,例如,APT1中C&C域名得到的网页中包含特殊的HTML标记,ke3chang攻击簇表现出相似的HTTP回复模式。只是,这些特殊标记、回复模式表现出的相似性是一类局部相似性。对于这种相似性,攻击者可以在不影响攻击性能的情况下轻易改变这种相似性模式,使得利用这种相似性模式进行检测的方法失效。所以,我们利用APT攻击中C&C通信中恶意域名与IP地址存在重叠映射的现象作为检测APT的特征,这样攻击者在拥有有限的恶意域名和攻击资源的情况下需要付出很大代价才能改变这种特征,这正是我们进行有效检测的基矗图2.1恶意域名映射图通常来说,恶意攻击升级改进的过程是在现有的恶意代码的基础上进行修改。新的恶意代码会在结合原有的恶意代码的基础上提升感染的机制,有效负载的效果。这就是为什么说被划分到相同攻击簇的恶意攻击会在行为、执行、策略和特征方面表现出相似性[18],于是我们得出结论APT的相似性,是以APT攻击簇的形式呈现的。事实上,恶意攻击表现出的这种相似性,正是防御者对于恶意攻击与普通正常行为进行区分检测的桥梁,通常检测思路是将与表现出相似恶意行为特点的攻击进行聚类。所以,不同于其他检测APT攻击的方法,我们这篇论文将检测对象集中在APT属于相同攻击簇的一组攻击上,试图去检测出在系统内部属于相同攻击簇的所有APT的攻击。而且攻击者在侵入系统之后,会对被感染的系统的漏洞进行修复,避免在进行攻击的过程中,受到其他攻击者的影响。所以,我们针对同一攻击簇的检测策略,能让我们更集中地提取出APT在一个系统内部表现的相似性的特点是非常必要而且是有效的。
本文编号:3398185
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3398185.html
