基于大数据分析的APT攻击检测研究综述

高级持续性威胁（APT, advanced persistent threat）已成为高安全等级网络的最主要威胁之一,其极强的针对性、伪装性和阶段性使传统检测技术无法有效识别,因此新型攻击检测技术成为APT攻击防御领域的研究热点。首先,结合典型APT攻击技术和原理,分析攻击的6个实施阶段,并归纳攻击特点;然后,综述现有APT攻击防御框架研究的现状,并分析网络流量异常检测、恶意代码异常检测、社交网络安全事件挖掘和安全事件关联分析等4项基于网络安全大数据分析的APT攻击检测技术的研究内容与最新进展;最后,提出抗APT攻击的系统综合防御框架和智能反馈式系统安全检测框架,并指出相应技术在应对APT攻击过程中面临的挑战和下一步发展方向。     

APT的本质探讨

APT攻击目前已成为热点,其特征不同于传统的网络攻击,对已有的安全防范思路和能力带来极大挑战。应对新的威胁,需要有新的思路,本文分析了APT的本质及其带来的挑战,对现有的安防手段进行了分析,并对一些新的应对思路进行了介绍。     

APT攻击及其防御研究

APT攻击是一种新型的网络攻击,其对国家国防安全、国民经济安全、重要行业信息安全、公司商业信息安全构成严重威胁。首先简要介绍了世界范围内发生的重大APT攻击事件,然后详细阐述了APT攻击过程,并深入研究了APT攻击与传统攻击的区别,以及APT攻击给传统信息安全防御所带来的技术和管理双重挑战。最后,深入研究了APT攻击的现有防御技术,并依据APT攻击链提出了一种针对APT攻击的防御架构。该架构完整覆盖APT攻击各个步骤环节,并考虑了管理、传统防御技术与APT防御技术的结合。     

基于超图Transformer的APT攻击威胁狩猎网络模型

针对物联网环境中高级持续性威胁（APT）具有隐蔽性强、持续时间长、更新迭代快等特点,传统被动检测模型难以对其进行有效搜寻的问题,提出了一种基于超图Transformer的APT攻击威胁狩猎（HTTN）模型,能够在时间跨度长、信息隐蔽复杂的物联网系统中快速定位和发现APT攻击痕迹。该模型首先将输入的网络威胁情报（CTI）日志图和物联网系统内核审计日志图编码为超图,经超图神经网络（HGNN）层计算日志图的全局信息和节点特征;然后由Transformer编码器提取超边位置特征;最后对超边进行匹配计算相似度分数,从而实现物联网系统网络环境下APT攻击的威胁狩猎。在物联网仿真环境下的实验结果表明,提出的HTTN模型与目前主流的图匹配神经网络相比均方误差降低约20%,Spearman等级相关系数提升约0.8%,匹配精度提升约1.2%。     

APT攻击的特点及防范

以政府机关、科研机构、大型企业的关键信息基础设施为目标的APT(高级持续性威胁)攻击逐年增多。总结攻击国家关键信息基础设施的APT具有高级、持续、有针对性三大特点,分析得出APT过程的八大常规步骤,列举防火墙、IPS(入侵防御系统)、IDS(入侵检测系统)、防病毒软件及日志审计等常用的传统防御方法的不足,提出具有综合管理和技术手段的APT防范新思路。     

网络APT攻击及防范策略

APT攻击是一类针对企业和政府重要信息资产的,对信息系统可用性、可靠性构成极大挑战的信息安全威胁。APT变化多端、效果显著且难于防范,因此,渐渐成为网络渗透和系统攻击的演进趋势,近来备受网络安全研究者关注。目前,国内外对APT攻击的研究主要由安全厂商进行,其侧重点在于通过安全事件、威胁的分析导出企业的安全理念,忽视了对APT攻击机理、产生背景等进行整体而细致的剖析。这里从APT的规范定义及特征入手,对攻击发起的背景、步骤等进行了较详尽的描述,给出了检测、响应和预防APT的可行方法。     

从国家网络安全保障看APT防御思路

近年来频发的APT攻击具有区别于传统攻击的鲜明特点，其背后往往隐现组织甚至国家的力量，安全威胁极大，后果难以承受。对此，传统的防御手段和防御体系往往无能为力，难以奏效。因此。需要改变思路，调整防御角色的任务，整合力量，建立更加高效联动的下一代防御体系，来应对APT的挑战。     

基于DNS日志的高级持续性威胁智能监测方法及应用

近年来,复杂环境下的高级持续性威胁(APT)防御逐渐成为网络安全关注的重点。APT攻击隐蔽性强,早期发现则危害性较小。文中提出的方法基于DNS日志深度挖掘,通过DGA域名智能检测,APT隧道智能检测等功能维度入手,从DNS日志角度提出APT防御的新思路,实现检测,监控,溯源等一体化功能。论文提出了基于Transformer神经网络和GRU融合算法检测恶意DGA域名和采用统计机器学习算法检测APT攻击通讯的DNS隧道,将早期网络安全防护预警扩展到DNS层面,弥补了网络安全措施对算法生成域名关注度的不足和DNS易被APT潜伏利用的漏洞。通过在实验环境中的深度测试,结果表明论文方法能够较好的应对日益严峻的互联网APT安全威胁。     

基于多维度分析的APT邮件攻击检测

电子邮件是APT (Advanced Persistent Threat)攻击中常用的攻击载体,本文针对APT邮件攻击提出了一种基于多维度分析的APT邮件攻击检测方法。首先,提取邮件头部和邮件正文信息,邮件附件文件还原;然后,分别通过邮件头部、邮件正文、情报检测、文件内容深度检测、邮件异常行为检测和邮件站点自学习等多维度进行分析;最后基于分析结果将邮件归类为普通邮件和可疑APT攻击特征的邮件。本文提出的方法既结合传统的邮件威胁攻击特征,并融入情报检测和附件深度检测,且考虑邮件异常行为分析,最后结合客户业务进行自学习分析,有效地提高了APT邮件攻击的检测准确率,为APT邮件攻击检测提供一种良好的检测方案。     

基于APT潜伏攻击的网络可生存性模型与分析

基于传统网络攻击模式和高级持续性威胁（Advanced Persistent Threat,简称APT）攻击模式提出网络可生存性的评估模型。建立网络攻击场景,仿真验证提出的网络可生存性模型,并比较两种模式的性能。得到的结论：提出的评估模型合理刻画了网络可生存性的两个重要参数,网络攻击传播速率和网络修复速率;基于APT潜伏攻击模式下的网络可生存性性能低于传统攻击模式。     

基于大数据引擎的军事信息网络安全防护系统

针对网络安全威胁愈演愈烈背景下军事信息网络安全防护面临的主动防御能力弱、APT攻击检测难、威胁情报系统建设滞后、缺乏大数据支撑的网络安全防护平台等安全挑战,研究了基于大数据分析的APT攻击检测技术、大数据环境下的威胁情报获取技术,提出了一种基于大数据引擎的军事信息网络安全防护系统架构。     

APT攻击悄然来袭 企业信息面临“精准打击”

近期，黑客利用复杂精准的方式对特定对象发动高级持续性威胁fAdvanced Persistent Threat，APT）攻击频发的事件，企业应采取长期而有效的威胁管理以应对，从而避免成为APT攻击的受害者。     

解读高级持续性威胁

2011年曝光的RSA令牌种子窃取事件,2013年曝光的韩国320大面积攻击事件及棱镜曝光的事件,2014年中国台湾爆大规模高级持续性威胁（Advanced Persistent Threat,APT）,近20家经济相关机构成为目标,近年来不断曝光的重大APT攻击事件,让APT攻击监测成为一项非常迫切的事情。APT泛化到民间的一些攻击事件：不仅仅是国家和组织对抗经常使用APT攻击手段,民间专业黑客组织也会利用APT攻击手段发起危害较大的攻击,     

高级持续性威胁分析与防护

高级持续性威胁(APT)是有组织,有预谋,高隐蔽的“网络间谍”行为。本文描述高级持续性威胁的基本情况,分析了高级持续性威胁的基本原理和分析检测方法,并提出了预防控制高级持续性威胁的防护建议。     

基于Bert和BiLSTM-CRF的APT攻击实体识别及对齐研究

针对高级可持续威胁（APT）分析报告未被有效利用,缺乏自动化方法生成结构化知识并形成黑客组织特征画像问题,提出一种融合实体识别和实体对齐的APT攻击知识自动抽取方法。首先,结合APT攻击特点设计12种实体类别;其次,构建融合Bert、双向长短期记忆（BiLSTM）网络和条件随机场（CRF）的APT攻击实体识别模型,利用Bert预训练标注语料,BiLSTM学习上下文语义信息,注意力机制突出关键特征,再由CRF识别实体;最后,结合实体对齐方法来生成不同APT组织的结构化知识。实验结果表明,所提方法能有效识别APT攻击实体,其精确率、召回率和F1值分别为0.929 6、0.873 3和0.900 6,均优于现有模型。此外,所提方法能在少量样本标注的情况下自动抽取高级可持续威胁知识,通过实体对齐能生成常见APT组织的结构化特征画像,从而为后续APT攻击知识图谱构建和攻击溯源提供支撑。     

一种基于特征检测的APT攻击防御方案

高级持续性威胁(APT)攻击具有持续渗透性,对网络的信息安全管理造成了严重威胁。在分析流量统计特征的基础上,提出了区分可信与非可信流量的方法,通过特征检测,实现对恶意攻击的识别,并建立了相应的APT攻击防御方案。以电力系统的管理网络为平台,验证了该方案的有效性,为防御APT攻击提供了一种可行的思路。     

APT发展趋势研究漫谈

高级持续威胁（AdvancedPersistentThreat,APT）,是针对特定组织的多方位、持续性的渗透攻击。APT不是一种单一的攻击手段,而是多种攻击手段的组合,因此无法通过单一的防护手段进行阻止和防御。     

构建安全防护新体系

在“互联网+”时代,安全形态已经完全不同,移动、云计算的部署也改变了IT形态,传统的安全边界正在失效,伴随APT、零日漏洞、针对性攻击等高级威胁的增加,政企等行业客户急需构建一套新的安全体系.     

一种有效防范APT攻击的网络安全架构

近年来,高级持续性威胁(APT,Advanced Persistent Threat)已经成为一种严重威胁企业数据安全的网络攻击。这种网络攻击具有针对性、隐蔽性、持续性和可变性特点,目的直达企业核心数据。传统基于"网关+服务器+PC终端"的三层安全防护架构过于分散,无法有效地发现和阻止此类攻击。文中提出了一种改进的分层集中式网络安全架构,通过集中分析和管控的方法,使企业内部的安全防护部件构成一个有机整体,能够有效地防范APT网络攻击。     

APT攻击渐成气候 企业需对抗未知威胁

日前,全球服务器安全、虚拟化及云计算安全领导厂商趋势科技发布2012年三大安全预测趋势。并且就企业如何采取长期而有效的安全威胁管理战略,以防范如APT等针对性攻击并有效抗击未知威胁黑色产业链进行了深入的解析和探讨。三大安全趋势成主流趋势科技(中国)高级产品经理林义轩认为,在2012年,安全业界最明显的趋势之一是高级持续性威胁(APT)成为主流;趋势之二是虚拟化及云端安全重要性渐增;趋势之三是在后PC时代,移动设备管理成为必要课题。