APT网络攻击演化分析和溯源分析方法.pdf
《APT网络攻击演化分析和溯源分析方法.pdf》由会员分享,可在线阅读,更多相关《APT网络攻击演化分析和溯源分析方法.pdf(4页珍藏版)》请在咨信网上搜索。
1、SOFTWARE软 件2023第 44 卷 第 7 期2023 年Vol.44,No.7作者简介:侯振堂(1982),男,山西浑源人,硕士,正高级工程师,研究方向:信息化、矿山机电。APT 网络攻击演化分析和溯源分析方法侯振堂 原生芾 侯尚武 潘社辉 郑志辉(河南能源集团有限公司,河南郑州 450046)摘要:本文主要介绍主流 APT 网络攻击演化溯源的主要情况以及存在的问题,并通过攻击时序模式挖掘、攻击时空模型构建、攻击溯源分析等技术的阐述深入研究 APT 网络攻击演化分析和溯源分析方法。关键词:APT 网络攻击;演化分析;时序模式挖掘算法;深度学习中图分类号:TP393.08 文献标识码:
2、A DOI:10.3969/j.issn.1003-6970.2023.07.016本文著录格式:侯振堂,原生芾,侯尚武,等.APT网络攻击演化分析和溯源分析方法J.软件,2023,44(07):066-069APT Network Attack Evolution Analysis and Traceability Analysis MethodHOU Zhentang,YUAN Shengfu,HOU Shangwu,PAN Shehui,ZHENG Zhihui(Henan Energy Group Co.,Ltd.,Zhengzhou Henan 450046)【Abstract】:T
3、his paper mainly introduces the main situation and existing problems of the evolution traceability of mainstream APT network attacks,and deeply studies the evolution analysis and traceability analysis methods of APT network attacks through the description of attack timing pattern mining,attack space
4、-time model construction,attack traceability analysis and other technologies.【Key words】:APT network attack;evolution analysis;evolution analysis;depth learning设计研究与应用0 引言随着信息安全技术的进步与安全意识的提升,运营商已经通过加强技术和管理的手段实现对传统网络安全威胁的有效对抗,但针对绕过边界防御潜入内网的威胁(如 APT 攻击)缺乏有效检测手段。APT 攻击(Advanced Persistent Threat,即高级持续性
5、威胁,是一种周期较长、隐蔽性极强的攻击模式。用于演化分析的时序模式挖掘算法不能适应 APT 网络攻击数据的多源异构特性,现有用于演化分析的深度时空模型不能适应系统变量间的复杂时空关联;当前的 APT 网络攻击溯源分析方法在多层次数据自动融合优化等方面都存在着一定问题,本文针对上述内容对 APT 网络攻击演化分析和溯源分析方法进行深入研究改进。1 APT 网络攻击的演化对 APT 网络攻击的演化模式进行挖掘和对时空规律进行建模,可更清晰地了解攻击流程和目的,从而使潜在的受害部门能更有效地制订防御对策。在演化模式挖掘方面,当前 APT 网络攻击的演化模式(如攻击阶段的划分)主要依赖专家经验,随着
6、APT 网络攻击时序数据的积累,要求从中自动挖掘 APT 网络攻击的演化模式更加经济、高效和准确。现有模式挖掘算法主要包括频繁模式挖掘算法(如 Apriori 算法及其各类变种)和序列模式挖掘算法(如 GSP 算法、PrefixSpan算法等)1。这些算法均要求时序数据的元素是类别型变量且满足离散关系(如相同、不同),无法适应 APT网络攻击时序数据元素的多源异构特性。在时空规律建模方面,现有的 LUR(Land-Use Regression)、CNN(Convolutional Neural Network)等空间模型和ARIMA(Autoregressive Integrated Movi
7、ng Average)、RNN(Recurrent Neural Network)等时间模型无法同时对时空规律进行建模2。随着深度学习的发展,通过融合空间子模型和时间子模型,设计复杂的深度神经网络,可实现同时对时空规律进行建模的目的,最常见的即融合 CNN 子模型和 RNN 子模型。然而,由于 APT 网络攻击的复杂性,系统变量间的时空关联往往也十分复杂(例如,物理对象之间的空间关联往往不能仅由物理距离度量甚至不能仅在欧式空间中度量,系统状态之间的时间关联由平滑性、周期性等综合67侯振堂 原生芾 侯尚武等:APT 网络攻击演化分析和溯源分析方法确定且受外部上下文影响),导致现有的时空模型无法有
8、效处理。演化分析最重要的应用之一即溯源分析。溯源分析常常被用来监控系统活动。利用依赖图(Dependency Graph)进行溯源分析是一种常用的方法。King 等人最早使用依赖图来向前追溯入侵攻击的原因,通过搜集关联事件信息并定义系统实体间的因果关系,来帮助分析人员在攻击发生后进行溯源分析。Lee 等人建立了一种基于程序执行单元的溯源分析系统 BEEP,通过将应用程序划分成执行单元,其中每个执行单元代表了程序中的主循环的一次迭代,从而提高溯源分析的精确度。由于 BEEP 在创建图的过程中会引入噪音,导致空间效率低下,为解决这个问题,Ma 等人建立了一个轻量级的溯源系统 ProTracer,通
9、过系统事件分段与单元级别追踪,为起源对象提供支持(如任何文件的源和祖先)。上述方案仅针对系统底层的主体、客体与事件,并没有使用系统高层的语义(如用户层的行为)来进行全方位的溯源分析。针对此问题,Ma 等人再次提出了改进方案,提出了一种基于语义感知的程序注释和插桩的溯源分析技术,能为一次攻击行为提供系统的高层语义信息,但是仅用高层次语义却没有对应系统底层调用的细节行为,同样难以保证溯源分析的完整性。综上所述,现有用于演化分析的时序模式挖掘算法不能适应 APT 网络攻击数据的多源异构特性,现有用于演化分析的深度时空模型不能适应系统变量间的复杂时空关联;当前的 APT 网络攻击溯源分析方法在多层次数
10、据自动融合优化等方面都存在着一定问题。2 APT 网络攻击演化分析和溯源分析方法通过研究 APT 网络攻击演化分析和溯源分析方法,其具体研究方法和技术路线如图 1 所示3。2.1 APT 网络攻击时序模式挖掘时序模式指能够表征数据在时间上演化规律的符号序列,是一种符号主义建模手段,因此具有较强的可理解性和可解释性。探索 APT 网络攻击的时序模式(如攻击阶段模式、阶段行为模式等),对理解 APT 网络攻击演化规律、制订 APT 网络攻击防御策略等工作有着重要的意义。然而,现有时序模式挖掘算法(如AprioriAll、PrefixSpan、GSP 等)无法适应 APT 网络攻击数据的特性,主要表
11、现在:现有时序模式挖掘算法均要求时序数据的元素是类别型变量且满足离散关系(如相同、不同),但 APT 网络攻击时序数据的元素可能包含类别型变量和连续型变量,甚至类别型变量间由于语义关联性也可能产生非离散的连续关系。为此,通过能适应连续关系元素时序数据的时序模式挖掘算法,以适应 APT 网络攻击时序模式挖掘任务。2.1.1 研究系统变量语义关联建模方法针对不同的 APT 网络攻击时序模式挖掘问题域(如攻击阶段模式挖掘、阶段行为模式挖掘等),定义相应的系统变量(包括物理对象、系统状态、攻击行为等),基于语义网络(Semantic Network)对系统变图 1 APT 网络攻击演化分析和溯源分析方
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- APT 网络 攻击 演化 分析 溯源 方法
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。