APT发展趋势研究漫谈

高级持续威胁（AdvancedPersistentThreat,APT）,是针对特定组织的多方位、持续性的渗透攻击。APT不是一种单一的攻击手段,而是多种攻击手段的组合,因此无法通过单一的防护手段进行阻止和防御。     

电磁故障注入攻击对动态随机存取存储器安全性的影响研究

以探索电磁故障注入(EMFI)攻击对动态随机存取存储器(DRAM)的安全性影响为目标，该文使用电磁故障注入攻击平台对DRAM进行了扫描攻击，对出现的故障进行统计分类，随后基于DRAM的基本结构分析阐述了造成故障的机理, 最后展示了通过电磁脉冲攻击DRAM对计算机系统的安全威胁。实验表明电磁脉冲在DRAM中既可以引起瞬时故障也可以引起持续性故障，且以多故障为主。分析发现，电磁脉冲故障攻击技术可以以低的时间和空间分辨率向DRAM的指定地址注入持续性故障。另外，该文成功地将持续性故障注入到了存储在DRAM中的AES-128程序中并破解了其密钥，证明了使用电磁脉冲对DRAM进行攻击能对计算机系统造成安全威胁，展示了DRAM安全性的研究对硬件系统安全具有重要意义。     

电磁故障注入攻击对动态随机存取存储器安全性的影响研究

以探索电磁故障注入(EMFI)攻击对动态随机存取存储器(DRAM)的安全性影响为目标,该文使用电磁故障注入攻击平台对DRAM进行了扫描攻击,对出现的故障进行统计分类,随后基于DRAM的基本结构分析阐述了造成故障的机理,最后展示了通过电磁脉冲攻击DRAM对计算机系统的安全威胁.实验表明电磁脉冲在DRAM中既可以引起瞬时故障也可以引起持续性故障,且以多故障为主.分析发现,电磁脉冲故障攻击技术可以以低的时间和空间分辨率向DRAM的指定地址注入持续性故障.另外,该文成功地将持续性故障注入到了存储在DRAM中的AES-128程序中并破解了其密钥,证明了使用电磁脉冲对DRAM进行攻击能对计算机系统造成安全威胁,展示了DRAM安全性的研究对硬件系统安全具有重要意义.     

基于模糊聚类的攻击预警

为提高攻击预警的准确性,本文在基于攻击意图的攻击预警方法的基础上提出了一种基于模糊聚类的攻击预警方法.该方法通过聚类攻击行为,量化和反映攻击者的攻击意图,从而对攻击者的下一步攻击行为进行准确预警.实验表明,该方法能够在有效的时间内更加准确地预测并报警攻击者下一步攻击行为,满足攻击预警时效性和准确性要求.     

基于FSM检测的移动自组网攻击分类研究

在移动自组网环境下,由于移动节点可能被攻击截获,导致攻击从内部产生,传统的网络安全措施难以应用,只有通过入侵检测才能发现攻击者。通过分析移动自组网的攻击类型,并构造从恶意节点发起的攻击树,采用有限状态机的思想,设计一个基于FSM的入侵检测算法。采用该算法的入侵检测系统可通过邻居节点的监视,实时地检测到节点的各种攻击行为。     

社交网络中的Sybil攻击检测方案研究

社交网络中的Sybil攻击行为已经变得越来越难以识别,因此如何有效的检测社交网络中的Sybil攻击行为,进而设计相应的防御方案来避免网络遭受攻击,已经成为当下网络安全领域研究的热点.相应的Sybil攻击检测技术也在不断的研究中得到发展和完善.文章对近年来Sybil攻击识别技术的研究动态和最新进展进行了综述,对其使用的检测方法和评价指标进行了分析比较,并对社交网络中的Sybil识别技术的发展趋势和应用前景进行了预测.     

基于贝叶斯网络的攻击事件智能发掘模型

针对目前传统入侵检测系统难以得出网络攻击行为之间存在的关联关系问题,以攻击图表示模型为指引,提出一种基于贝叶斯网络的攻击事件智能发掘模型。本文以先验知识建立贝叶斯攻击行为关联图。基于属性相似度聚合网络攻击行为,针对网络攻击场景设计高效的Ex-Apriori算法发掘攻击行为间的关联规则,并建立攻击行为组集。利用贝叶斯攻击行为关联图的参数对攻击行为组集进行计算,实现对攻击事件的发掘。实验表明,本模型能有效提取网络攻击事件及发现攻击路径,为网络攻击事件的发现与应对措施提供理论支持和技术支撑。     

基于网络流量自相似性的蠕虫攻击检测方法研究

网络蠕虫攻击是一种危害巨大且难以防御的网络攻击方式。传统的基于特征匹配的蠕虫检测方法受限于对蠕虫特征值的提取,无法检测未知类型蠕虫的攻击。在此将表征网络流量自相性的Hurst参数应用到蠕虫攻击检测,通过对Hurst参数的变化来检测未知类型蠕虫的攻击。实验表明该方法能有效检测到网络中采用主动扫描方式传播的未知类型蠕虫攻击行为。     

解读高级持续性威胁

2011年曝光的RSA令牌种子窃取事件,2013年曝光的韩国320大面积攻击事件及棱镜曝光的事件,2014年中国台湾爆大规模高级持续性威胁（Advanced Persistent Threat,APT）,近20家经济相关机构成为目标,近年来不断曝光的重大APT攻击事件,让APT攻击监测成为一项非常迫切的事情。APT泛化到民间的一些攻击事件：不仅仅是国家和组织对抗经常使用APT攻击手段,民间专业黑客组织也会利用APT攻击手段发起危害较大的攻击,     

大数据与APT攻击检测

APT对传统检测技术的挑战要分析APT对传统攻击检测技术的挑战在哪里,我觉得应该分为两个问题:A的问题和P的问题。对于A,也就是高级入侵手段,主要体现在以下几点:①单点隐蔽能力强;②攻击空间路径不确定,任何一个网络暴露点都有可能是攻击的目标;③攻击渠道不确定,即使做了边界防护,也可能通过Oday的方式,躲避检测,或者不走传统的物理网络;④基于特征匹配的边界防护技术难以应对。对于P,也就是持续性攻击,其特点是:攻击时间上的长持续性;基于实时时间点的检测技术难以应对。如果攻击的时间跨度很长,就很难检测出完整的攻击链度。     

网络APT攻击及防范策略

APT攻击是一类针对企业和政府重要信息资产的,对信息系统可用性、可靠性构成极大挑战的信息安全威胁。APT变化多端、效果显著且难于防范,因此,渐渐成为网络渗透和系统攻击的演进趋势,近来备受网络安全研究者关注。目前,国内外对APT攻击的研究主要由安全厂商进行,其侧重点在于通过安全事件、威胁的分析导出企业的安全理念,忽视了对APT攻击机理、产生背景等进行整体而细致的剖析。这里从APT的规范定义及特征入手,对攻击发起的背景、步骤等进行了较详尽的描述,给出了检测、响应和预防APT的可行方法。     

APT攻击及其防御研究

APT攻击是一种新型的网络攻击,其对国家国防安全、国民经济安全、重要行业信息安全、公司商业信息安全构成严重威胁。首先简要介绍了世界范围内发生的重大APT攻击事件,然后详细阐述了APT攻击过程,并深入研究了APT攻击与传统攻击的区别,以及APT攻击给传统信息安全防御所带来的技术和管理双重挑战。最后,深入研究了APT攻击的现有防御技术,并依据APT攻击链提出了一种针对APT攻击的防御架构。该架构完整覆盖APT攻击各个步骤环节,并考虑了管理、传统防御技术与APT防御技术的结合。     

基于多维度分析的APT邮件攻击检测

电子邮件是APT (Advanced Persistent Threat)攻击中常用的攻击载体,本文针对APT邮件攻击提出了一种基于多维度分析的APT邮件攻击检测方法。首先,提取邮件头部和邮件正文信息,邮件附件文件还原;然后,分别通过邮件头部、邮件正文、情报检测、文件内容深度检测、邮件异常行为检测和邮件站点自学习等多维度进行分析;最后基于分析结果将邮件归类为普通邮件和可疑APT攻击特征的邮件。本文提出的方法既结合传统的邮件威胁攻击特征,并融入情报检测和附件深度检测,且考虑邮件异常行为分析,最后结合客户业务进行自学习分析,有效地提高了APT邮件攻击的检测准确率,为APT邮件攻击检测提供一种良好的检测方案。     

基于文件、进程和网络的APT检测模型

APT（Advanced Persistent Threat）攻击造成的信息泄漏是目前国家核心部门和大型商业集团面临的最严重的信息安全威胁.通过APT攻击开展的信息窃取行为一般受政治势力或特定利益集团操控,由具有丰富经验的网络渗透组织或团队实施,具有持续时间长、技术性强、策略性高的特点,攻击使用的APT木马变化多端,信息窃取行为手段随目标对象的不同而千变万化,常规检测手段和软件难以防范.文中提出一种基于文件、进程（线程）和网络三要素相结合的APT网络信息窃取行为检测模型,为加强对检测结果的自动化判断,作者引入神经网络中的自适应谐振检验方法,实验表明,模型可以对APT木马的信息窃取行为进行有效检测.     

APT的本质探讨

APT攻击目前已成为热点,其特征不同于传统的网络攻击,对已有的安全防范思路和能力带来极大挑战。应对新的威胁,需要有新的思路,本文分析了APT的本质及其带来的挑战,对现有的安防手段进行了分析,并对一些新的应对思路进行了介绍。     

基于DNS日志的高级持续性威胁智能监测方法及应用

近年来,复杂环境下的高级持续性威胁(APT)防御逐渐成为网络安全关注的重点。APT攻击隐蔽性强,早期发现则危害性较小。文中提出的方法基于DNS日志深度挖掘,通过DGA域名智能检测,APT隧道智能检测等功能维度入手,从DNS日志角度提出APT防御的新思路,实现检测,监控,溯源等一体化功能。论文提出了基于Transformer神经网络和GRU融合算法检测恶意DGA域名和采用统计机器学习算法检测APT攻击通讯的DNS隧道,将早期网络安全防护预警扩展到DNS层面,弥补了网络安全措施对算法生成域名关注度的不足和DNS易被APT潜伏利用的漏洞。通过在实验环境中的深度测试,结果表明论文方法能够较好的应对日益严峻的互联网APT安全威胁。     

高级持续性威胁分析与防护

高级持续性威胁(APT)是有组织,有预谋,高隐蔽的“网络间谍”行为。本文描述高级持续性威胁的基本情况,分析了高级持续性威胁的基本原理和分析检测方法,并提出了预防控制高级持续性威胁的防护建议。     

基于有限状态机的DNS隐蔽通信模型

DNS(domain name system)作为互联网基础设施的重要组成部分,其数据一般不会被防火墙等网络安全防御设备拦截。以DNS协议为载体的隐蔽信道具有较强的穿透性和隐蔽性,已然成为攻击者惯用的命令控制和数据回传手段。现有研究中缺乏对真实APT(advanced persistent threat)攻击中DNS隐蔽信道的检测技术或方法,且提取的特征不够全面。为深入分析攻击流量和行为特征,基于有限状态机对真实APT攻击中DNS隐蔽通信建模,剖析了APT攻击场景下DNS隐蔽信道的构建机理,详细阐述了其数据交互过程,通过总结和分析DNS隐蔽通信机制,基于有限状态机建立通信模型,提出通信过程中存在关闭、连接、命令查询、命令传输等7种状态,控制消息和数据消息等不同类型消息的传输将触发状态迁移。利用泄露的Glimpse工具模拟真实APT攻击下DNS隐蔽通信,结合Helminth等恶意样本实验验证了模型的适用性和合理性,为人工提取特征提供了充分的依据。     

SHA-256算法的安全性分析

现有算法MD5、SHA-1等的相继破译,严重威胁到SHA-256、SAH-384等算法的安全性.本文介绍了SHA-256的算法逻辑及压缩函数的构造,探讨了生日攻击碰撞阈值和攻击步骤,分析了SHA-256在生日攻击下的安全性.通过对Chabaud-Joux攻击SHA-256的分析,找到了一个部分碰撞,其复杂度为,却无法找到SHA-256的一个整体碰撞.所以,在抵抗生日攻击和抵御现有差分攻击方面,SHA-256比MD5和SHA-1等具有更高的安全性.     

Multi-step attack detection method based on network communication anomaly recognition

In view of the characteristics of internal fixed business logic,inbound and outbound network access behavior,two classes and four kinds of abnormal behaviors were defined firstly,and then a multi-step attack detection method was proposed based on network communication anomaly recognition.For abnormal sub-graphs and abnormal communication edges detection,graph-based anomaly analysis and wavelet analysis method were respectively proposed to identify abnormal behaviors in network communication,and detect multi-step attacks through anomaly correlation analysis.Experiments are carried out on the DARPA 2000 data set and LANL data set to verify the results.The experimental results show that the proposed method can effectively detect and reconstruct multi-step attack scenarios.The proposed method can effectively monitor multi-step attacks including unknown feature types.It provides a feasible idea for detecting complex multi-step attack patterns such as APT.And the network communication graph greatly reduces the data size,it is suitable for large-scale enterprise network environments.