基于行为特征的可疑APT数据预处理和检测
发布时间:2021-11-13 02:24
高级持续性威胁(APT)这一典型的复杂网络攻击,因其针对性强、隐蔽性好以及破坏性大,逐渐引起人们的重视。学者们结合实际提出了恶意代码检测、异常流量检测、全流量回溯分析等诸多检测方法。已有的研究表明,对DNS数据进行检测,能够有效地发现网络流量中的异常,进而发现APT攻击。针对DNS数据处理问题,选取合理的DNS行为特征,通过正常行为特征来检测出所有合法域名,进而排除绝大多数的正常DNS数据,暴露可疑数据集,可以为进一步的APT攻击检测提供数据支持。本文提出一种利用DNS数据正常行为特征的数据处理方法,通过本方法能够有效区分可疑数据和正常数据。本方法包括数据预处理和数据检测两个步骤。数据预处理部分首先对原始DNS数据进行处理,使用白名单、访问主机数、单位时间内总访问次数这3项规则进行数据缩减。数据检测部分对经过数据预处理后的数据进行特征提取和可疑数据检测。使用域名解析正确率、IP地址相似率等8项正常行为特征对数据进行特征量化,计算出数据的各项特征值。然后,利用机器学习中的孤立森林算法对数据进行了检测,通过对比设定的阈值,区分出了待检测数据集中的正常DNS数据和含有仿真攻击的数据集。本文利...
【文章来源】:吉林大学吉林省 211工程院校 985工程院校 教育部直属院校
【文章页数】:45 页
【学位级别】:硕士
【部分图文】:
APT攻击过程
数据检测部分将对经过数据预处理后的数据进行特征提取和可疑数据检测。将仿真攻击混入到待检测数据集后,使用域名解析正确率、IP地址相似率等8项正常行为特征对数据进行特征量化,计算出数据的各项特征值。然后采用机器学习中的孤立森林算法对特征提取后的数据集进行检测,进而将数据进行区分。图3.1为整体检测流程。3.3 数据预处理
为了保证实验数据的充足和真实,本文所使用的数据来自大型校园网100天时间的DNS流量,规模达到上十亿。根据以往研究,在这种大型网络中,绝大部分的数据都应该是正常的访问流量,只有很小的一部分需要有针对性地进行检测。因此,实用有效的数据预处理算法是关键,Wang[36]采用了去掉非常流行的域名请求记录规则,其没有考虑白名单中域名的时间因素。Zhong[30]在进行数据处理中,由于数据匿名化处理后域名不可见,因此只采用定义域名流行度的方法,既认为某一域名如果被大量内部主机访问,则判断该域名可靠。本文则结合以往的研究,提出了3项数据缩减规则,以期达到更好更准确的数据预处理能力。图3.2为数据预处理的流程。具体的数据缩减过程,共设定了3项规则用来处理数据信息。
本文编号:3492124
【文章来源】:吉林大学吉林省 211工程院校 985工程院校 教育部直属院校
【文章页数】:45 页
【学位级别】:硕士
【部分图文】:
APT攻击过程
数据检测部分将对经过数据预处理后的数据进行特征提取和可疑数据检测。将仿真攻击混入到待检测数据集后,使用域名解析正确率、IP地址相似率等8项正常行为特征对数据进行特征量化,计算出数据的各项特征值。然后采用机器学习中的孤立森林算法对特征提取后的数据集进行检测,进而将数据进行区分。图3.1为整体检测流程。3.3 数据预处理
为了保证实验数据的充足和真实,本文所使用的数据来自大型校园网100天时间的DNS流量,规模达到上十亿。根据以往研究,在这种大型网络中,绝大部分的数据都应该是正常的访问流量,只有很小的一部分需要有针对性地进行检测。因此,实用有效的数据预处理算法是关键,Wang[36]采用了去掉非常流行的域名请求记录规则,其没有考虑白名单中域名的时间因素。Zhong[30]在进行数据处理中,由于数据匿名化处理后域名不可见,因此只采用定义域名流行度的方法,既认为某一域名如果被大量内部主机访问,则判断该域名可靠。本文则结合以往的研究,提出了3项数据缩减规则,以期达到更好更准确的数据预处理能力。图3.2为数据预处理的流程。具体的数据缩减过程,共设定了3项规则用来处理数据信息。
本文编号:3492124
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3492124.html
