基于時(shí)空關(guān)聯(lián)性分析的APT攻擊流量檢測.pdf

1、隨著網(wǎng)絡(luò)的開放性、互聯(lián)性和共享性程度日益擴(kuò)大，政府、機(jī)構(gòu)和企業(yè)的大量設(shè)備接入互聯(lián)網(wǎng)，其蘊(yùn)含高價(jià)值信息的設(shè)備和系統(tǒng)，成為了黑客攻擊的首要目標(biāo)。黑客利用社會(huì)工程學(xué)方法以及0day漏洞對系統(tǒng)進(jìn)行入侵，并長期潛伏、不斷搜索和竊取高價(jià)值的信息。這種攻擊方式稱為高級持續(xù)性威脅(APT，Advanced Persistent Threat)。這些高級技術(shù)的使用以及長期潛伏策略，使得傳統(tǒng)的網(wǎng)絡(luò)監(jiān)測、審計(jì)技術(shù)和防護(hù)體系無法對APT攻擊進(jìn)行有效的檢測、追蹤

2、和分析。
　　論文對APT攻擊生命周期的不同階段進(jìn)行分析，選取APT攻擊的遠(yuǎn)程控制階段和數(shù)據(jù)回傳階段作為研究的切入點(diǎn)，分析的對象為真實(shí)的APT攻擊樣本流量。論文收集了大量的APT惡意軟件，通過在本地沙盒中運(yùn)行并采集其流量進(jìn)行分析。針對分析出的特征，提出了APT攻擊檢測系統(tǒng)的體系結(jié)構(gòu)設(shè)計(jì)，而論文主要實(shí)現(xiàn)其中的周期性分析和關(guān)聯(lián)分析部分，論文的主要研究內(nèi)容如下:
　　1.APT攻擊的流量特征挖掘及檢測系統(tǒng)的體系結(jié)構(gòu)設(shè)計(jì):研究的對象

3、是真實(shí)的APT攻擊樣本流量，通過對其進(jìn)行分析，挖掘出APT攻擊在通信流量上的共性，并以此共性作為主要的檢測依據(jù)，對APT攻擊的檢測系統(tǒng)體系結(jié)構(gòu)進(jìn)行設(shè)計(jì);
　　2.基于周期性分析的APT攻擊檢測方法的實(shí)現(xiàn):通過對APT攻擊樣本流量的周期性進(jìn)行分析和總結(jié)，提出了基于TCP數(shù)據(jù)、DNS數(shù)據(jù)的周期性，以及其端口使用異常的APT攻擊檢測方法，簡稱為APDM(APT Periodicity Detection Method)，論文通過實(shí)驗(yàn)結(jié)果

4、和對比實(shí)驗(yàn)驗(yàn)證了該方法的有效性;
　　3.APT攻擊的時(shí)空關(guān)聯(lián)性分析:包括關(guān)聯(lián)規(guī)則挖掘和歷史數(shù)據(jù)回溯。對于前者，基于FP-Growth關(guān)聯(lián)規(guī)則挖掘算法對APT攻擊的時(shí)間特征、空間特征、類別特征進(jìn)行關(guān)聯(lián)規(guī)則挖掘，分析APT攻擊特征之間的聯(lián)系，結(jié)合APT攻擊的特點(diǎn)在語義上對挖掘出的規(guī)則進(jìn)行了解釋;而對于后者，基于Bloom Filter算法提出了APT攻擊的歷史數(shù)據(jù)回溯方法，該方法能夠基于較少的存儲(chǔ)空間，對歷史數(shù)據(jù)是否在當(dāng)前的數(shù)據(jù)集合