面向未知木马的APT攻击检测方法研究

发布时间：2017-06-05 09:02

  本文关键词：面向未知木马的APT攻击检测方法研究，由笔耕文化传播整理发布。

【摘要】：随着互联网规模的不断增长以及计算机网络的广泛应用,网络在带给人们极大便利的同时,也带来了各种各样的安全问题,网络攻击和入侵等问题与日俱增。自2010年Google承认遭受严重黑客攻击之后,APT高级持续性威胁便引起了安全界人士的广泛关注。APT作为一种高效、精准的网络攻击方式,在近几年被频繁用于各种网络攻击事件之中,并迅速成为企业信息安全最大的威胁之一。由于黑客普遍使用未知木马进行远程控制,木马攻击行为特征难以提取,给传统的入侵检测技术带来了巨大的挑战。如何能够准确地检测面向未知木马的APT攻击,提高APT的检测能力,及时发现网络中可能存在的APT攻击威胁,对于维护网络秩序,保障社会安全有着重要的意义。 本文通过分析APT攻击过程和特点以及木马的通信行为特征,结合现有的APT攻击检测方法,提出了一种基于自定义模式的面向未知木马的APT攻击检测方法,并对该方法进行了原型实现和实验。本文的主要工作包括以下几个方面： (1)研究了APT攻击的攻击过程和攻击特点,并对现有的APT攻击检测方法及其优缺点进行了分析,在此基础上提出了一种基于自定义检测模式的APT攻击检测方法的设计思路； (2)研究并归纳了木马的通信行为特征,并在此基础上制定了规则描述语言,研究了基于自定义检测模式的网络行为异常检测方法,该方法支持对实时网络流量和离线存储流量的检测；该方法面向用户提供自定义的检测规则接口,通过自定义检测模式完成对网络环境中存在的可疑APT攻击事件的检测； (3)实现了一个基于自定义检测模式的网络行为异常检测实验系统,对系统中的各模块的具体功能进行了详细的论述,并对各模块涉及到的关键技术进行了研究和实现,最后,对系统的检测能力和性能进行了测试。测试结果表明,该检测方法是可行的。
【关键词】：APT攻击 检测模式 规则语言 实时数据检测 历史数据分析
【学位授予单位】：北京邮电大学
【学位级别】：硕士
【学位授予年份】：2015
【分类号】：TP393.08
【目录】：

• 摘要4-5
• ABSTRACT5-9
• 第一章 绪论9-13
• 1.1 研究背景9-10
• 1.2 国内外研究现状10-11
• 1.3 本文的研究内容11-12
• 1.4 论文结构12-13
• 第二章 APT检测与木马相关技术介绍13-24
• 2.1 入侵检测技术13-14
• 2.1.1 根据数据源分类13
• 2.1.2 根据检测方法分类13-14
• 2.2 木马与木马相关技术14-17
• 2.2.1 木马的概念14-15
• 2.2.2 木马传播方式15-16
• 2.2.3 木马通信技术16-17
• 2.3 APT攻击与检测技术17-23
• 2.3.1 APT攻击介绍17-19
• 2.3.2 APT攻击检测方案19-22
• 2.3.3 现有检测方案的分析总结22-23
• 2.4 本章小结23-24
• 第三章 基于自定义模式的检测系统设计24-40
• 3.1 基于自定义模式的检测方法24-26
• 3.1.1 方案设计思路24-25
• 3.1.2 设计原则和目标25-26
• 3.2 系统的总体设计26-27
• 3.3 系统功能结构设计27-30
• 3.3.1 规则语言解析引擎27
• 3.3.2 实时数据检测引擎27-29
• 3.3.3 历史数据分析引擎29
• 3.3.4 协同联动引擎29-30
• 3.4 系统规则语言设计30-39
• 3.4.1 木马通信行为分析与特征提取31-33
• 3.4.2 木马通信行为特征总结33-34
• 3.4.3 规则描述语言34-39
• 3.4.4 检测模式39
• 3.5 本章小结39-40
• 第四章 系统关键模块设计与实现40-71
• 4.1 规则解析引擎40-42
• 4.1.1 规则解析模块40-42
• 4.2 实时数据检测引擎42-51
• 4.2.1 协议识别模块43-48
• 4.2.2 黑白名单过滤模块48-50
• 4.2.3 内容提取模块50-51
• 4.3 历史数据检测引擎51-57
• 4.3.1 多源协同分析模块52-55
• 4.3.2 事件检测模块55-57
• 4.4 协同联动引擎57-59
• 4.4.1 存储部件57-58
• 4.4.2 接口模块58
• 4.4.3 协同联动模块58-59
• 4.5 实验59-70
• 4.5.1 实验目标59
• 4.5.2 实验环境59-60
• 4.5.3 检测系统功能性测试60-61
• 4.5.4 已知木马检测能力测试61-65
• 4.5.5 自定义检测模式检测能力测试65-69
• 4.5.6 系统性能测试69-70
• 4.5.7 实验结果分析70
• 4.6 本章小结70-71
• 第五章 总结与展望71-73
• 5.1 总结71
• 5.2 展望71-73
• 参考文献73-76
• 致谢76-77
• 攻读硕士学位期间发表论文77

【参考文献】

中国期刊全文数据库 前10条

1 李鸣亚;邹晓峰;;浅谈插件化软件开发[J];广西轻工业;2009年08期

2 林龙成;陈波;郭向民;;传统网络安全防御面临的新威胁:APT攻击[J];信息安全与技术;2013年03期

3 刘世栋,高峰,杨林;几种入侵检测规则语言分析[J];河北工业大学学报;2003年03期

4 吕镇邦,吴广茂;计算机网络安全及安全审计技术研究[J];航空计算技术;1999年04期

5 陈更力,张青;基于主机的入侵检测系统的典型信息源研究[J];舰船电子工程;2005年02期

6 李承,王伟钊,程立,汪为农,李家滨;基于防火墙日志的网络安全审计系统研究与实现[J];计算机工程;2002年06期

7 梁勇;;网络TCP数据流重组技术研究[J];信息通信;2012年06期

8 李芳馨;刘嘉勇;;网络数据流还原重组技术研究[J];通信技术;2011年07期

9 江原;;APT攻击的那些事[J];信息安全与通信保密;2011年11期

10 陈剑锋;王强;伍淼;;网络APT攻击及防范策略[J];信息安全与通信保密;2012年07期

  本文关键词：面向未知木马的APT攻击检测方法研究，，由笔耕文化传播整理发布。

本文编号：423349