基于大数据分析的APT攻击检测研究综述

高级持续性威胁（APT, advanced persistent threat）已成为高安全等级网络的最主要威胁之一,其极强的针对性、伪装性和阶段性使传统检测技术无法有效识别,因此新型攻击检测技术成为APT攻击防御领域的研究热点。首先,结合典型APT攻击技术和原理,分析攻击的6个实施阶段,并归纳攻击特点;然后,综述现有APT攻击防御框架研究的现状,并分析网络流量异常检测、恶意代码异常检测、社交网络安全事件挖掘和安全事件关联分析等4项基于网络安全大数据分析的APT攻击检测技术的研究内容与最新进展;最后,提出抗APT攻击的系统综合防御框架和智能反馈式系统安全检测框架,并指出相应技术在应对APT攻击过程中面临的挑战和下一步发展方向。     

基于全流量大数据分析技术构建电视台总控APT攻击检测系统方法初探

电视台总控系统是全台信号调度和处理的关键和核心,为防范针对总控的信息系统的APT攻击,本文通过全面考虑与APT攻击行为紧密相关的多个因素,从全流量数据存储检测、未知木马控制通道识别、可疑间歇性木马心跳识别、敏感数据回传通道识别,以及基于不完整信息和应用层对象还原攻击场景检测和重建等多角度考虑,设计了基于全流量大数据安全分析技术构建的APT攻击检测系统,以便更准确地发现针对总控系统的APT攻击行为和特征,提升总控系统的信息安全水平。     

一种基于同源行为分析的APT异常发现策略

APT(advanced persistent threat)攻击的日益频繁对APT攻击行为的检测提出了更高的要求,对同源行为进行分析是尽早发现APT攻击行为的一种有效方法.针对数据量过大造成数据对比认证效率低下的难题,提出了借助数据标签技术,建立历史同源行为数据库,并将数据库存储到云端;依托Hadoop平台和MapReduce聚合计算能力,基于伪随机置换技术完成网络全流量并行检测,通过与数据库中的数据标签进行对比验证,来判断是否有APT攻击行为.测试结果表明,该方法可尽早从网络中发现APT异常行为,提高全数据流检测的效率.     

基于网络全流量分析技术的异常威胁检测研究

网络安全防护形势下,面对0day漏洞、木马病毒等的隐蔽信道传输攻击,通过基于网络全流量的异常检测技术,建立起异常流量行为模型,对某一攻击链的网络异常流量、威胁情报等数据信息进行获取,分类统计异常时间点的信息熵、特征项集,检测与分析不同时间的采样点流量特征、异常流量特征的攻击链模式,还原网络异常威胁的攻击过程,来有效完成异常流量、威胁情报的提取与检测。     

基于ATT CK的多源数据深度安全检测技术研究

APT攻击检测已成为落实《网络安全法》要求的重要内容。本文基于攻击战术和攻击技术统一描述的ATT CK模型,提出一种多源数据深度安全监测模型。该模型可以在APT攻击的早期阶段,实现攻击全貌的分析和呈现。现网实践案例验证本文提出的模型能够有效提升安全防御和响应能力。     

军事网络中APT攻击的防御方法研究

高级持续性攻击(APT)是一种新型的攻击方法,其过程充分利用了社会工程学、0Day等多种技术手段,从而演变为新一代面向应用和内容的深度、复杂、高级可持续性攻击。传统入侵检测和防护措施基于协议异常和系统漏洞分析发现入侵行为,并进行阻断的工作方式效能不高,急需研究行之有效的新型防御模型和防御措施。文中在对APT攻击进行充分分析的基础上,重点研究其为传统的军事信息安全措施带来的一系列问题,并提出具有针对性的举措,强化军事信息网络的安全防御。     

基于文件、进程和网络的APT检测模型

APT（Advanced Persistent Threat）攻击造成的信息泄漏是目前国家核心部门和大型商业集团面临的最严重的信息安全威胁.通过APT攻击开展的信息窃取行为一般受政治势力或特定利益集团操控,由具有丰富经验的网络渗透组织或团队实施,具有持续时间长、技术性强、策略性高的特点,攻击使用的APT木马变化多端,信息窃取行为手段随目标对象的不同而千变万化,常规检测手段和软件难以防范.文中提出一种基于文件、进程（线程）和网络三要素相结合的APT网络信息窃取行为检测模型,为加强对检测结果的自动化判断,作者引入神经网络中的自适应谐振检验方法,实验表明,模型可以对APT木马的信息窃取行为进行有效检测.     

基于深度特征学习的网络流量异常检测方法

针对网络流量异常检测过程中提取的流量特征准确性低、鲁棒性差导致流量攻击检测率低、误报率高等问题,该文结合堆叠降噪自编码器(SDA)和softmax,提出一种基于深度特征学习的网络流量异常检测方法。首先基于粒子群优化算法设计SDA结构两阶段寻优算法:根据流量检测准确率依次对隐藏层层数及每层节点数进行寻优,确定搜索空间中的最优SDA结构,从而提高SDA提取特征的准确性。然后采用小批量梯度下降算法对优化的SDA进行训练,通过最小化含噪数据重构向量与原始输入向量间的差异,提取具有较强鲁棒性的流量特征。最后基于提取的流量特征对softmax进行训练构建异常检测分类器,从而实现对流量攻击的高性能检测。实验结果表明:该文所提方法可根据实验数据及其分类任务动态调整SDA结构,提取的流量特征具有更高的准确性和鲁棒性,流量攻击检测率高、误报率低。     

基于大数据引擎的军事信息网络安全防护系统

针对网络安全威胁愈演愈烈背景下军事信息网络安全防护面临的主动防御能力弱、APT攻击检测难、威胁情报系统建设滞后、缺乏大数据支撑的网络安全防护平台等安全挑战,研究了基于大数据分析的APT攻击检测技术、大数据环境下的威胁情报获取技术,提出了一种基于大数据引擎的军事信息网络安全防护系统架构。     

基于DNS日志的高级持续性威胁智能监测方法及应用

近年来,复杂环境下的高级持续性威胁(APT)防御逐渐成为网络安全关注的重点。APT攻击隐蔽性强,早期发现则危害性较小。文中提出的方法基于DNS日志深度挖掘,通过DGA域名智能检测,APT隧道智能检测等功能维度入手,从DNS日志角度提出APT防御的新思路,实现检测,监控,溯源等一体化功能。论文提出了基于Transformer神经网络和GRU融合算法检测恶意DGA域名和采用统计机器学习算法检测APT攻击通讯的DNS隧道,将早期网络安全防护预警扩展到DNS层面,弥补了网络安全措施对算法生成域名关注度的不足和DNS易被APT潜伏利用的漏洞。通过在实验环境中的深度测试,结果表明论文方法能够较好的应对日益严峻的互联网APT安全威胁。     

Multi-step attack detection method based on network communication anomaly recognition

In view of the characteristics of internal fixed business logic,inbound and outbound network access behavior,two classes and four kinds of abnormal behaviors were defined firstly,and then a multi-step attack detection method was proposed based on network communication anomaly recognition.For abnormal sub-graphs and abnormal communication edges detection,graph-based anomaly analysis and wavelet analysis method were respectively proposed to identify abnormal behaviors in network communication,and detect multi-step attacks through anomaly correlation analysis.Experiments are carried out on the DARPA 2000 data set and LANL data set to verify the results.The experimental results show that the proposed method can effectively detect and reconstruct multi-step attack scenarios.The proposed method can effectively monitor multi-step attacks including unknown feature types.It provides a feasible idea for detecting complex multi-step attack patterns such as APT.And the network communication graph greatly reduces the data size,it is suitable for large-scale enterprise network environments.     

基于有限状态机的DNS隐蔽通信模型

DNS(domain name system)作为互联网基础设施的重要组成部分,其数据一般不会被防火墙等网络安全防御设备拦截。以DNS协议为载体的隐蔽信道具有较强的穿透性和隐蔽性,已然成为攻击者惯用的命令控制和数据回传手段。现有研究中缺乏对真实APT(advanced persistent threat)攻击中DNS隐蔽信道的检测技术或方法,且提取的特征不够全面。为深入分析攻击流量和行为特征,基于有限状态机对真实APT攻击中DNS隐蔽通信建模,剖析了APT攻击场景下DNS隐蔽信道的构建机理,详细阐述了其数据交互过程,通过总结和分析DNS隐蔽通信机制,基于有限状态机建立通信模型,提出通信过程中存在关闭、连接、命令查询、命令传输等7种状态,控制消息和数据消息等不同类型消息的传输将触发状态迁移。利用泄露的Glimpse工具模拟真实APT攻击下DNS隐蔽通信,结合Helminth等恶意样本实验验证了模型的适用性和合理性,为人工提取特征提供了充分的依据。     

DDoS攻击恶意行为知识库构建

针对分布式拒绝服务（distributed denial of service,DDoS）网络攻击知识库研究不足的问题,提出了DDoS攻击恶意行为知识库的构建方法。该知识库基于知识图谱构建,包含恶意流量检测库和网络安全知识库两部分：恶意流量检测库对 DDoS 攻击引发的恶意流量进行检测并分类;网络安全知识库从流量特征和攻击框架对DDoS 攻击恶意行为建模,并对恶意行为进行推理、溯源和反馈。在此基础上基于DDoS 开放威胁信号（DDoS open threat signaling,DOTS）协议搭建分布式知识库,实现分布式节点间的数据传输、DDoS攻击防御与恶意流量缓解功能。实验结果表明,DDoS攻击恶意行为知识库能在多个网关处有效检测和缓解DDoS攻击引发的恶意流量,并具备分布式知识库间的知识更新和推理功能,表现出良好的可扩展性。     

Design and Realization of Software for Guard Against DDoS Based on Self-Similar and Optimization Filter

1IntroductionWith the development of network,security of net-work is more and more serious[1]flooding-based Dis-tributed Denial-of-Service(DDoS)attack presents avery serious threat to the stability of the internet[2~3].The detection of DoS/DDoS attack mai…     

基于量子通信的邮件传输系统

传统电子邮件业务使用明文方式传送电子邮件，一旦窃听者捕获电子邮件报文，通过对邮件报文进行分析就能获取邮件内容。尽管当前存在一些解决方案能够提高电子邮件的安全性能，但只要窃听者拥有足够的计算能力，数据安全仍将无法保证。针对上述问题，本文提出了一种基于量子信道通信的邮件传输系统。在邮件传输过程中，将量子信道与传统信道结合使用，建立基于量子传输的SMTP协议和POP3协议。最终仿真结果表明，当邮件内容数据长度达到30比特时，量子邮件内容被窃取的可能性接近于0。因此，与传统的电子邮件传输系统相比，量子通信邮件传输系统能够保持较好的安全性能。     

DDoS Attack Detection and Wavelets

This paper presents a systematic method for DDoS attack detection. DDoS attack can be considered a system anomaly or misuse from which abnormal behavior is imposed on network traffic. Attack detection can be performed via abnormal behavior identification. Network traffic characterization with behavior modeling could be a good indication of attack detection. Aggregated traffic has been found to be strong bursty across a wide range of time scales. Wavelet analysis is able to capture complex temporal correlation across multiple time scales with very low computational complexity. We utilize energy distribution based on wavelet analysis to detect DDoS attack traffic. Energy distribution over time will have limited variation if the traffic keeps its behavior over time (i.e. attack-free situation) while an introduction of attack traffic in the network will elicit significant energy distribution deviation in a short time period. Our experimental results with typical Internet traffic trace show that energy distribution variance markedly changes, causing a spike when traffic behaviors are affected by DDoS attack. In contrast, normal traffic exhibits a remarkably stationary energy distribution. In addition, this spike in energy distribution variance can be captured in the early stages of an attack, far ahead of congestion build-up, making it an effective detection of the attack.     

基于用户浏览行为相似度的HTTP-Get Flood检测方法

基于页面请求的DDOS攻击比传统的海量报文攻击更具杀伤性且检测困难。传统的检测方法包括：特征检测,利用隐马尔科夫模型分析Web页面访问行为。相比明文解析与数学估计,提出了分析用户浏览行为相似性界定HTTP-GetFlood攻击,将用户浏览页面切换与浏览时间的比值表示用户浏览行为,不同用户利用这个表达式计算的浏览行为值很难相等。DDOS攻击爆发时,肉机行为高度一致,导致浏览行为值重复率偏高,当高于一定阀值时判断遭受DDOS攻击。