高級(jí)持續(xù)性威脅遠(yuǎn)控階段異常通信的檢測(cè)技術(shù)研究.pdf

1、計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和廣泛應(yīng)用，在給人們帶來(lái)便利的同時(shí)，也帶來(lái)了各種安全問(wèn)題。近年來(lái)，以零日滲透、極具隱蔽性和持久性控制為主要特點(diǎn)的高級(jí)持續(xù)性威脅(Advanced Persistent Threat，APT)已成為網(wǎng)絡(luò)安全領(lǐng)域關(guān)心的最大威脅，引起了業(yè)界和科學(xué)界的廣泛重視。如何及時(shí)地發(fā)現(xiàn)我方網(wǎng)絡(luò)中可能存在的APT攻擊威脅，是防御APT威脅的重要問(wèn)題之一。本文結(jié)合部分APT攻擊案例和樣本數(shù)據(jù)，針對(duì)APT攻擊遠(yuǎn)控階段的異常通信的行為特

2、點(diǎn)進(jìn)行了分析，在此基礎(chǔ)上設(shè)計(jì)可實(shí)現(xiàn)異常遠(yuǎn)控通信檢測(cè)的相關(guān)特征，并提出了應(yīng)用性較強(qiáng)的基于機(jī)器學(xué)習(xí)的異常通信檢測(cè)方法，并以該方法為核心，設(shè)計(jì)與實(shí)現(xiàn)了APT攻擊遠(yuǎn)控階段異常通信的檢測(cè)程序，通過(guò)實(shí)驗(yàn)驗(yàn)證了檢測(cè)程序的有效性。
　　本研究主要內(nèi)容包括：⑴通過(guò)對(duì)APT攻擊遠(yuǎn)控階段異常通信的深入研究，詳細(xì)分析了被控主機(jī)通常利用域名生成算法(Domain Generation Algorithm，DGA)生成動(dòng)態(tài)域名獲取C&C服務(wù)器的IP地址的原因

3、、DGA生成動(dòng)態(tài)域名的工作原理以及與域名結(jié)構(gòu)上與正常域名的不同;另一方面則從多個(gè)角度全面分析了在遠(yuǎn)控過(guò)程中，APT攻擊的TCP通信行為與正常通信之間存在的差異。根據(jù)這些特點(diǎn)，提出了基于機(jī)器學(xué)習(xí)的異常通信檢測(cè)方法。⑵根據(jù)對(duì)多種DGA動(dòng)態(tài)域名和合法域名在字符特征上的分析對(duì)比，設(shè)計(jì)提取多項(xiàng)特征指標(biāo)，并通過(guò)相關(guān)域名樣本驗(yàn)證這些特征指標(biāo)的區(qū)分能力，考慮到檢測(cè)模型的精度和效率，利用特征選擇算法確定了11項(xiàng)用于實(shí)際檢測(cè)DGA動(dòng)態(tài)域名的特征指標(biāo)。⑶針對(duì)

4、遠(yuǎn)控階段APT攻擊異常TCP通信行為的特點(diǎn)，利用網(wǎng)絡(luò)流量分析的方法確定了TCP流作為特征提取源，然后設(shè)計(jì)提取了多項(xiàng)特征指標(biāo)，并結(jié)合實(shí)際數(shù)據(jù)對(duì)這些特征指標(biāo)的有效性進(jìn)行分析，最后也利用特征選擇算法確定了10項(xiàng)最優(yōu)的檢測(cè)特征。⑷根據(jù)設(shè)計(jì)的特征指標(biāo)，對(duì)比分析多種機(jī)器學(xué)習(xí)方法構(gòu)建的檢測(cè)模型的性能，最終確定DGA動(dòng)態(tài)域名和異常TCP通信檢測(cè)模型均為GBDT分類(lèi)器。然后設(shè)計(jì)并實(shí)現(xiàn)APT攻擊遠(yuǎn)控階段異常通信的檢測(cè)程序，該檢測(cè)程序利用PF RING的Li