军事网络中APT攻击的防御方法研究

高级持续性攻击(APT)是一种新型的攻击方法,其过程充分利用了社会工程学、0Day等多种技术手段,从而演变为新一代面向应用和内容的深度、复杂、高级可持续性攻击。传统入侵检测和防护措施基于协议异常和系统漏洞分析发现入侵行为,并进行阻断的工作方式效能不高,急需研究行之有效的新型防御模型和防御措施。文中在对APT攻击进行充分分析的基础上,重点研究其为传统的军事信息安全措施带来的一系列问题,并提出具有针对性的举措,强化军事信息网络的安全防御。     

一种基于特征检测的APT攻击防御方案

高级持续性威胁(APT)攻击具有持续渗透性,对网络的信息安全管理造成了严重威胁。在分析流量统计特征的基础上,提出了区分可信与非可信流量的方法,通过特征检测,实现对恶意攻击的识别,并建立了相应的APT攻击防御方案。以电力系统的管理网络为平台,验证了该方案的有效性,为防御APT攻击提供了一种可行的思路。     

面向实战的关键信息基础设施防御体系演进研究

本文基于攻击链模型提出了一种关键信息基础设施防御体系演进思路和实现方式,在骨干网、城域网、企业内网三个层面对网络入侵流量进行监测、分析和处置,进一步扩大关键信息基础设施的防御纵深。通过综合运用DPI、欺骗防御、大数据、旁路阻断等技术,逐层收敛告警,并以可视化的界面展示给网络安全运营人员,提升攻击事件的监测准确率,极大提升了系统整体防护效果和安全运营工作效率。     

基于大数据分析的APT攻击检测研究综述

高级持续性威胁（APT, advanced persistent threat）已成为高安全等级网络的最主要威胁之一,其极强的针对性、伪装性和阶段性使传统检测技术无法有效识别,因此新型攻击检测技术成为APT攻击防御领域的研究热点。首先,结合典型APT攻击技术和原理,分析攻击的6个实施阶段,并归纳攻击特点;然后,综述现有APT攻击防御框架研究的现状,并分析网络流量异常检测、恶意代码异常检测、社交网络安全事件挖掘和安全事件关联分析等4项基于网络安全大数据分析的APT攻击检测技术的研究内容与最新进展;最后,提出抗APT攻击的系统综合防御框架和智能反馈式系统安全检测框架,并指出相应技术在应对APT攻击过程中面临的挑战和下一步发展方向。     

基于零信任网络的APT攻击防御模型探究

随着互联网应用技术的飞速发展,网络攻击逐渐表现为多层级、高渗透和智能化等特点。其中,APT攻击在近年愈演愈烈,严重威胁着国家安全和社会稳定。文章着眼于震网事件,通过剖析攻击特点、攻击过程,采用逆向分析,提出了一种基于零信任网络的APT攻击防御模型,并给出了针对APT高级攻击的一般防范思路和防御措施。     

APT发展趋势研究漫谈

高级持续威胁（AdvancedPersistentThreat,APT）,是针对特定组织的多方位、持续性的渗透攻击。APT不是一种单一的攻击手段,而是多种攻击手段的组合,因此无法通过单一的防护手段进行阻止和防御。     

APT攻击及其防御研究

APT攻击是一种新型的网络攻击,其对国家国防安全、国民经济安全、重要行业信息安全、公司商业信息安全构成严重威胁。首先简要介绍了世界范围内发生的重大APT攻击事件,然后详细阐述了APT攻击过程,并深入研究了APT攻击与传统攻击的区别,以及APT攻击给传统信息安全防御所带来的技术和管理双重挑战。最后,深入研究了APT攻击的现有防御技术,并依据APT攻击链提出了一种针对APT攻击的防御架构。该架构完整覆盖APT攻击各个步骤环节,并考虑了管理、传统防御技术与APT防御技术的结合。     

面向企业网的APT攻击特征分析及防御技术探讨

近年来,APT 攻击成为信息安全业界的关注热点。针对APT 攻击特征分析传统网络安全防御体系对其失效的原因,并在此基础上提出APT 攻击防御方案。该防御方案包括基础安全防御和动态防御体系,力求构建从保护、检测、响应到恢复的信息安全防御体系。最后,对 APT 攻击给业界带来的影响进行了思考和展望。     

一种多层次融合的APT防御模型研究与构建

金融行业已经在交易、结算、分析等工作领域开发了信息化系统,积累了海量的金融机密数据,同时也成为黑客等非法人员攻击的热点目标。针对金融行业的信息系统、数据库进行APT攻击,具有持续性、渗透性、隐蔽性和未知性等特点,严重威胁金融行业系统安全。因此,构建一种多层次、融合的防御模型,实时地、主动地防御APT攻击,对提高金融行业系统防御能力具有重要意义。     

基于DNS日志的高级持续性威胁智能监测方法及应用

近年来,复杂环境下的高级持续性威胁(APT)防御逐渐成为网络安全关注的重点。APT攻击隐蔽性强,早期发现则危害性较小。文中提出的方法基于DNS日志深度挖掘,通过DGA域名智能检测,APT隧道智能检测等功能维度入手,从DNS日志角度提出APT防御的新思路,实现检测,监控,溯源等一体化功能。论文提出了基于Transformer神经网络和GRU融合算法检测恶意DGA域名和采用统计机器学习算法检测APT攻击通讯的DNS隧道,将早期网络安全防护预警扩展到DNS层面,弥补了网络安全措施对算法生成域名关注度的不足和DNS易被APT潜伏利用的漏洞。通过在实验环境中的深度测试,结果表明论文方法能够较好的应对日益严峻的互联网APT安全威胁。     

APT攻击下的无线通信网络最优主动防御决策模型

最优主动防御决策可以保障无线通信网络的安全稳定性,为了提高无线通信网络的防御效果,提出了APT攻击下的无线通信网络最优主动防御决策模型。关联无线通信网络日志,构建APT攻击对象集合,通过反馈相容系数计算APT攻击事件的绝对相容度,并预测APT攻击行为。基于APT攻击源对无线通信网络攻击的信道带宽,获取无线通信网络受到APT攻击的位置,利用无线通信网络节点的权值系数,提取无线通信网络的APT攻击特征。利用攻防图,计算得到APT攻击对无线通信网络的损害程度,通过定义无线通信网络的安全状态,构建了无线通信网络最优主动防御决策模型。实验结果表明,所提模型在防御无线通信网络的APT攻击时,可以将攻击数据包拒包率和吞吐量分别提高到90%以上和16 000 bit/s以上,并且时延较低,具有更好的防御效果。     

社会工程在APT攻击中的应用与防御

APT攻击中常以社会工程获取信息。从两个著名的APT攻击案例,分析其利用的社会工程心理学基础,并研究了社会工程的攻击手法。进一步从人和信息两方面给出了防御社会工程攻击的安全应对措施。     

基于Bert和BiLSTM-CRF的APT攻击实体识别及对齐研究

针对高级可持续威胁（APT）分析报告未被有效利用,缺乏自动化方法生成结构化知识并形成黑客组织特征画像问题,提出一种融合实体识别和实体对齐的APT攻击知识自动抽取方法。首先,结合APT攻击特点设计12种实体类别;其次,构建融合Bert、双向长短期记忆（BiLSTM）网络和条件随机场（CRF）的APT攻击实体识别模型,利用Bert预训练标注语料,BiLSTM学习上下文语义信息,注意力机制突出关键特征,再由CRF识别实体;最后,结合实体对齐方法来生成不同APT组织的结构化知识。实验结果表明,所提方法能有效识别APT攻击实体,其精确率、召回率和F1值分别为0.929 6、0.873 3和0.900 6,均优于现有模型。此外,所提方法能在少量样本标注的情况下自动抽取高级可持续威胁知识,通过实体对齐能生成常见APT组织的结构化特征画像,从而为后续APT攻击知识图谱构建和攻击溯源提供支撑。     

联动式网络入侵防御系统的研究

针对单一技术在网络安全防御上的局限性,提出了用防火墙、入侵检测系统(Snort)、蜜罐三种技术组成共同对抗网络入侵的联动式防御系统.联动系统增加了入侵检测系统的联动插件,扩展了防火墙动态加入重定向规则功能,设置了蜜罐主机监视攻击,实现了三者的紧密互动.介绍了系统的结构、工作流程以及联动方案,并做了攻击实验,结果证明,联动防御系统对大规模的蠕虫攻击能够即时抵制.     

基于有限状态机的DNS隐蔽通信模型

DNS(domain name system)作为互联网基础设施的重要组成部分,其数据一般不会被防火墙等网络安全防御设备拦截。以DNS协议为载体的隐蔽信道具有较强的穿透性和隐蔽性,已然成为攻击者惯用的命令控制和数据回传手段。现有研究中缺乏对真实APT(advanced persistent threat)攻击中DNS隐蔽信道的检测技术或方法,且提取的特征不够全面。为深入分析攻击流量和行为特征,基于有限状态机对真实APT攻击中DNS隐蔽通信建模,剖析了APT攻击场景下DNS隐蔽信道的构建机理,详细阐述了其数据交互过程,通过总结和分析DNS隐蔽通信机制,基于有限状态机建立通信模型,提出通信过程中存在关闭、连接、命令查询、命令传输等7种状态,控制消息和数据消息等不同类型消息的传输将触发状态迁移。利用泄露的Glimpse工具模拟真实APT攻击下DNS隐蔽通信,结合Helminth等恶意样本实验验证了模型的适用性和合理性,为人工提取特征提供了充分的依据。     

分布式无线入侵防御系统预先决策引擎研究

随着无线局域网的飞速发展,无线入侵防御系统正成为网络安全领域的研究热点.本文在分析无线局域网常见攻击方法的基础上,设计了一个分布式无线入侵防御系统预先决策引擎(distributed pre-decision engine,DPDE),能够有效地预测攻击者的入侵意图并提供主动的入侵防御.DPDE引擎采集无线设备信息,在规划识别中引入规划支持程度,扩展了入侵检测规则,并对攻击规划的推导过程进行了改进.实验测试表明,预先决策引擎不仅提升了无线入侵检测和防御的性能,还有效减少漏警和虚警的产生.     

星云须格物,伏影得天机——访北京神州绿盟信息安全科技股份有限公司高级副总裁叶晓虎

叶晓虎,绿盟科技高级副总裁。清华大学博士,凭借黑洞抗拒绝服务器系统荣获中国通信学会科学技术二等奖,凭借绿盟网络入侵防御系统荣获中国电子学会电子信息科学技术三等奖。先后担任国家火炬计划、北京市下一代网络安全软件与系统工程技术研究中心主任、海淀区重大科技成果产业化负责人等。承担国家级重点项目8项,发表论文及专著13项。领导团队研发冰之眼入侵防御系统、抗拒绝服务系统、新一代网络入侵防护系统、黑洞抗DDoS攻击系统等.     

从国家网络安全保障看APT防御思路

近年来频发的APT攻击具有区别于传统攻击的鲜明特点，其背后往往隐现组织甚至国家的力量，安全威胁极大，后果难以承受。对此，传统的防御手段和防御体系往往无能为力，难以奏效。因此。需要改变思路，调整防御角色的任务，整合力量，建立更加高效联动的下一代防御体系，来应对APT的挑战。     

主动式信息安全新技术--防御性网络信息欺骗

"防御性网络信息欺骗技术"将信息欺骗手段用于系统防护,是一种主动式信息防御技术.不同于防火墙、入侵检测,网络信息欺骗技术不是试图修补系统中存在的安全漏洞,而是设法使攻击者无法发现并利用这些漏洞;不是被动地对抗每种攻击手段,而是设法使攻击无法对系统造成实质破坏;不是努力阻止攻击的发生,而是对攻击活动进行诱导,使其在造成危害前暴露.与传统安全技术相比,该技术的防御成本低于攻击成本,对已知与未知攻击手段都具有防护效果.     

基于动态防御策略的石油石化工控网络安全防护方法

<正>石油石化产业是支撑国家经济发展与保障社会稳定的基石，是国家关键基础设施的重要组成部分。随着工业化与信息化的深度融合，由于其重要的经济和政治价值，它们已成为网络攻击的首选目标。现有静态防护策略（如防火墙、入侵检测系统）无法防御日益复杂的新型未知网络威胁，致使石油石化工控系统面临严峻的网络威胁挑战。本文提出一种基于动态防御策略的石油石化工控系统防护方法 ：首先，通过网络主动跳变、快速迁移构建一个动态“平行网络”，动态改变攻击面，使攻击者无法找到攻击目标；然后，设计一种全新的自适应蜜网系统，在网络中营造出大量以假乱真的业务节点及业务网络，引诱攻击者进入虚假业务网络以实现实时捕获与阻断；最后，提出一种基于异构图卷积网络的攻击行为分析方法，有效识别和定位包括APT攻击在内的网络攻击模式，有效识别并阻断新型未知网络威胁。