关联规则与时序特征结合的APT恶意软件流量检测方法研究
发布时间:2021-03-03 19:46
随着全球网络信息化脚步的加快,各个企业、机构数据也在向网络化、数字化靠拢,但也给了非法技术人员监控企业、机构以及获取私有数据的机会。另外,攻击者往往会针对攻击目标插入特定后门、木马或者其他监控软件,以达到对企业、机构长期控制的目的。目前常用的恶意软件有Gh0st、DarkComet、Hupigon等,而在APT攻击中,为了更加隐蔽,攻击者往往会对恶意软件进行改进,使得恶意软件变种越来越多。目前对恶意软件的检测往往采用特征码匹配、以及直接采用静态流量信息结合机器学习进行分类,很难应对日渐增多的变种APT恶意软件。对于上述问题,本文通过研究最新的恶意软件检测方式,提出一种恶意软件流量检测以及区分恶意流量属于哪种恶意软件的方法。主要研究内容及创新点如下:1.首先对APT恶意软件流量进行特征提取及差异性分析,本文提取了流量数据包中数据报文时间、端口号、标志位等静态信息。然后分析了不同恶意软件数据报文传输时间差变化规律、端口号变化规律、TCP标志位变化规律等,分析结果发现不同类别软件流量在时间维度上的变化曲线具有一定差异性。2.根据上述分析结果,提出一种基于LSTM的流量时序特征提取方法。首先针...
【文章来源】:电子科技大学四川省 211工程院校 985工程院校 教育部直属院校
【文章页数】:79 页
【学位级别】:硕士
【部分图文】:
Frame层结构信息
电子科技大学硕士学位论文100x0806含义是ARP等。本文主要讨论下层为IP层的信息。图2-3Ethernet层结构信息2.2.2IP层报文结构信息IP层属于数据报文信息的第二层,头部信息主要有IP版本信息(ipv4还是ipv6)、源IP地址Source、目标IP地址Destination、IP头部长度HeaderLength、数据总长度(包括IP头长度)TotalLength、协议下层是什么协议Protocol(IP_PROTO_UDP=17#UDP,IP_PROTO_TCP=6#TCP)、服务类型(默认为0)、生存时间Timetolive、IP段头部信息校验和Headerchecksum,具体结构如表2-2所示:表2-2数据报文IP段结构01……3031版本号(4bit)头长度(4bit)TOS(8bit)总数据长度(16bit)flags字段(16bit)标志(3bit)段偏移(13bit)TTL(8bit)下层协议类型(8bit)校验和(16bit)源IP地址目的IP地址下层数据2.2.3UDP报文结构信息UDP数据包中包含Frame段、Ethernet段、IP段、UDP段,它们依次排列。UDP和TCP位于IP层下面一层,UDP由于不像TCP需要保持可靠性,结构比较简单。UDP段主要信息有4个部分,结构如图2-4所示。
第二章APT恶意软件流量相关研究11图2-4UDP段结构信息2.2.4TCP报文结构信息TCP协议为了保证传输的完整性,主要增加了SEQ和ACK两个字段,用来对传输信息进行确认;同时还增加了flags标志段,用来表示连接过程中的传输状态。详细结构如表2-3所示:表2-3数据报文TCP段结构01……3031源端口号(16bit)目的端口号(16bit)序列号SEQ(32bit)确认号ACK(32bit)首部长度(4bit)flags标志位(12bit)窗口大小WIN(16bit)校验和(16bit)紧急指针(16bit)选项其中Flags共12位,每一位分别表示不同信息,不同位的值可以组合表示不同含义,如0x010=16表示回应SYN的确认号,0x011=20表示FIN-ACK,具体含义如表2-4所示:表2-4标志位含义标志位标志名称标志含义Reserved[0-6)位保留字段Urgent第6位16bit紧急数据点Ack第7位确认标志对数据的确认信息PUSH第8位推送标志有DATA数据传输Reset第9位复位标志TCP连接重置Syn第10位同步标志TCP握手阶段信息Fin第11位结束标志表示关闭连接
【参考文献】:
期刊论文
[1]基于大数据和人工智能技术的信息安全态势感知系统研究[J]. 刘雅娟,胡荣. 中小企业管理与科技(中旬刊). 2019(09)
[2]浅谈计算机恶意软件的危害及防范[J]. 郑翔翼. 科技与创新. 2018(01)
[3]计算机恶意软件的危害及防范[J]. 吴涵之. 电子技术与软件工程. 2017(18)
[4]基于通信特征的APT攻击检测方法[J]. 戴震,程光. 计算机工程与应用. 2017(18)
[5]面向DGA类型Bot的命令控制通信过程研究[J]. 郭晓军. 网络安全技术与应用. 2017(08)
[6]基于阶段特性的APT攻击行为分类与评估方法[J]. 杨豪璞,王坤. 计算机工程与应用. 2017(22)
[7]基于树型结构的APT攻击预测方法[J]. 张小松,牛伟纳,杨国武,卓中流,吕凤毛. 电子科技大学学报. 2016(04)
[8]基于大数据分析的APT攻击检测研究综述[J]. 付钰,李洪成,吴晓平,王甲生. 通信学报. 2015(11)
[9]恶意代码反分析与分析综述[J]. 高玉新,张怡,唐勇,卢泽新. 小型微型计算机系统. 2015(10)
[10]面向APT攻击的关联分析检测模型研究[J]. 李杰,楼芳,金渝筌,董智馨. 计算机工程与科学. 2015(08)
硕士论文
[1]基于DNS日志数据的异常域名检测研究[D]. 朱迦南.电子科技大学 2018
[2]基于操作码序列和机器学习的恶意程序检测技术研究[D]. 李鹏飞.北京邮电大学 2017
[3]基于虚拟化的沙箱防御技术的研究与实现[D]. 赵广强.广东工业大学 2015
[4]基于操作码序列的静态恶意代码检测方法的研究[D]. 卢占军.哈尔滨工业大学 2013
本文编号:3061830
【文章来源】:电子科技大学四川省 211工程院校 985工程院校 教育部直属院校
【文章页数】:79 页
【学位级别】:硕士
【部分图文】:
Frame层结构信息
电子科技大学硕士学位论文100x0806含义是ARP等。本文主要讨论下层为IP层的信息。图2-3Ethernet层结构信息2.2.2IP层报文结构信息IP层属于数据报文信息的第二层,头部信息主要有IP版本信息(ipv4还是ipv6)、源IP地址Source、目标IP地址Destination、IP头部长度HeaderLength、数据总长度(包括IP头长度)TotalLength、协议下层是什么协议Protocol(IP_PROTO_UDP=17#UDP,IP_PROTO_TCP=6#TCP)、服务类型(默认为0)、生存时间Timetolive、IP段头部信息校验和Headerchecksum,具体结构如表2-2所示:表2-2数据报文IP段结构01……3031版本号(4bit)头长度(4bit)TOS(8bit)总数据长度(16bit)flags字段(16bit)标志(3bit)段偏移(13bit)TTL(8bit)下层协议类型(8bit)校验和(16bit)源IP地址目的IP地址下层数据2.2.3UDP报文结构信息UDP数据包中包含Frame段、Ethernet段、IP段、UDP段,它们依次排列。UDP和TCP位于IP层下面一层,UDP由于不像TCP需要保持可靠性,结构比较简单。UDP段主要信息有4个部分,结构如图2-4所示。
第二章APT恶意软件流量相关研究11图2-4UDP段结构信息2.2.4TCP报文结构信息TCP协议为了保证传输的完整性,主要增加了SEQ和ACK两个字段,用来对传输信息进行确认;同时还增加了flags标志段,用来表示连接过程中的传输状态。详细结构如表2-3所示:表2-3数据报文TCP段结构01……3031源端口号(16bit)目的端口号(16bit)序列号SEQ(32bit)确认号ACK(32bit)首部长度(4bit)flags标志位(12bit)窗口大小WIN(16bit)校验和(16bit)紧急指针(16bit)选项其中Flags共12位,每一位分别表示不同信息,不同位的值可以组合表示不同含义,如0x010=16表示回应SYN的确认号,0x011=20表示FIN-ACK,具体含义如表2-4所示:表2-4标志位含义标志位标志名称标志含义Reserved[0-6)位保留字段Urgent第6位16bit紧急数据点Ack第7位确认标志对数据的确认信息PUSH第8位推送标志有DATA数据传输Reset第9位复位标志TCP连接重置Syn第10位同步标志TCP握手阶段信息Fin第11位结束标志表示关闭连接
【参考文献】:
期刊论文
[1]基于大数据和人工智能技术的信息安全态势感知系统研究[J]. 刘雅娟,胡荣. 中小企业管理与科技(中旬刊). 2019(09)
[2]浅谈计算机恶意软件的危害及防范[J]. 郑翔翼. 科技与创新. 2018(01)
[3]计算机恶意软件的危害及防范[J]. 吴涵之. 电子技术与软件工程. 2017(18)
[4]基于通信特征的APT攻击检测方法[J]. 戴震,程光. 计算机工程与应用. 2017(18)
[5]面向DGA类型Bot的命令控制通信过程研究[J]. 郭晓军. 网络安全技术与应用. 2017(08)
[6]基于阶段特性的APT攻击行为分类与评估方法[J]. 杨豪璞,王坤. 计算机工程与应用. 2017(22)
[7]基于树型结构的APT攻击预测方法[J]. 张小松,牛伟纳,杨国武,卓中流,吕凤毛. 电子科技大学学报. 2016(04)
[8]基于大数据分析的APT攻击检测研究综述[J]. 付钰,李洪成,吴晓平,王甲生. 通信学报. 2015(11)
[9]恶意代码反分析与分析综述[J]. 高玉新,张怡,唐勇,卢泽新. 小型微型计算机系统. 2015(10)
[10]面向APT攻击的关联分析检测模型研究[J]. 李杰,楼芳,金渝筌,董智馨. 计算机工程与科学. 2015(08)
硕士论文
[1]基于DNS日志数据的异常域名检测研究[D]. 朱迦南.电子科技大学 2018
[2]基于操作码序列和机器学习的恶意程序检测技术研究[D]. 李鹏飞.北京邮电大学 2017
[3]基于虚拟化的沙箱防御技术的研究与实现[D]. 赵广强.广东工业大学 2015
[4]基于操作码序列的静态恶意代码检测方法的研究[D]. 卢占军.哈尔滨工业大学 2013
本文编号:3061830
本文链接:https://www.wllwen.com/kejilunwen/ruanjiangongchenglunwen/3061830.html
