基于SIEM系统的APT攻击检测框架.pdf
《基于SIEM系统的APT攻击检测框架.pdf》由会员分享,可在线阅读,更多相关《基于SIEM系统的APT攻击检测框架.pdf(6页珍藏版)》请在咨信网上搜索。
1、第 卷 第 期吉林师范大学学报(自然科学版).年 月 ().收稿日期:基金项目:吉林省自然科学基金项目()吉林师范大学博士启动项目(吉师博)第一作者简介:谭振江()男吉林省东丰县人教授博士博士生导师.研究方向:计算机网络、信息安全.:./.基于 系统的 攻击检测框架谭振江邬 娜郑月锋(吉林师范大学 数学与计算机学院吉林 四平)摘 要:针对高级持续性威胁()攻击具有潜伏期长、隐蔽性高、针对性强、持续时间长的特点提出了基于安全信息和事件管理()系统的 攻击检测框架.框架分为网络边界日志分析和内部网络流量分析两大模块网络边界日志分析模块采用大数据分析技术实时对各类安全防护设备产生的海量异构安全日志和
2、流量统一整合关联、采用特征码检测技术构建第一层恶意代码检测在网络边界或主机边界形成对 攻击的第一道防线内部网络流量分析模块采用大数据分析技术对内部网络流量进行过滤、与边界日志分析模块联动、结合基于图编辑距离的静态同源分类技术构建第二层恶意代码检测重点防御 加密信道、漏洞、变形木马.通过网络取证分析实现了全流量回溯技术发现异常、布隆算法过滤入侵行为、虚拟执行分析技术还原 攻击事件以此形成内部网络 攻击防线.关键词:攻击 系统恶意代码检测大数据分析网络取证分析中图分类号:.文献标志码:文章编号:()引言随着信息网络的普及网络安全问题日益突出攻击事件层出不穷其中高级持续性威胁()攻击具有潜伏期长、隐
3、蔽性高、针对性强、持续时间长等特点因此成为网络安全领域研究的热门话题.随着网络安全飞速发展 攻击不断更新演化从小规模的局部攻击发展到间谍行为和网络犯罪.如今 攻击已经被黑客利用攻击国家基础设施窃取敏感情报甚至发动网络战争.因此 攻击的监测不仅对网络空间安全防范意义深远更对政治和谐、经济发展、社会安定有着重要意义.目前 攻击大多是由有组织、有技术、有经济支撑的团队发起这些人的技术十分成熟大多采用 加密信道藏匿攻击流量能一定程度避开检测技术.目前对于 攻击检测的主流方式是恶意代码检测技术、基于主机的应用保护、基于大数据的分析检测技术以及网络取证分析技术.恶意代码检测技术主要基于特征码、仿真分析、行
4、为特征分析等方法检测木马、蠕虫、病毒.基于主机的应用保护技术主要基于可信平台阻止未授权代码执行以保护服务器、磁盘阵列等重要设备.基于大数据的分析检测技术主要是从海量数据中检索异常行为并动态分析.网络取证技术能够实现全流量回溯进行数据包级分析.安全信息和事件管理()系统能将目标网络中主机和网络的安全信息以及安全设备产生的安全事件收集整合在信息共享的基础上对采集到的安全信息与事件进行统一的冗余过滤、数据聚合、关联分析挖掘出正在进行的攻击并做出实时快速的响应.但 系统对 攻击的针对性不强且不能形成纵深防御所以普通的 系统对 攻击检测能力弱.第 期 谭振江等:基于 系统的 攻击检测框架本文所提出的基于
5、 系统的 攻击检测框架综合了恶意代码检测、基于大数据的分析检测以及网络取证分析三种检测技术可以实现基于 生命周期的全面检测.国内外研究现状 攻击检测问题一直是安全界研究的热点话题.对于检测方法主要集中在恶意代码检测、大数据分析检测、网络取证分析检测等方向.对于恶意代码检测.等根据新恶意软件和已经存在的恶意软件的相似性提出了基于神经网络挖掘共享特征发现未知高级持续威胁 信道的框架.框架通过手动特征提取得到 个维度特征通过基于神经网络两轮卷积和池操作提取 维特征并采用长短期记忆()算法提取包级统计数据中基于时间序列的公共特征.刘科科等提出基于活动行为特征关联分析的 攻击行为检测模型模型采用前后端结
6、合方式利用非线性支持向量机分类算法的木马与合法程序区分器判断木马程序.大数据分析检测方向王小英等提出面向 攻击网络安全威胁隐蔽目标识别方法并利用数据挖掘领域的关联规则构建 攻击隐蔽目标识别的总体框架.黄永洪等提出针对 攻击的风险属性攻击图()模型模型量化系统节点的行为脆弱性通过系统风险属性攻击图计算系统节点通联脆弱性矩阵利用系统脆弱性节点判断算法评估系统中存在的 攻击风险.网络取证分析检测方向.等提出基于时空关联分析的工业互联网 攻击发现算法算法采用 关联规则挖掘算法挖掘经常同时出现的时间特征、空间特征和类别特征并以最小支持度作为度量过滤掉这些低于最小支持度的项集最终形成关联规则.在数据检索方
7、面使用改进的 算法检索历史数据发现可疑 地址.最后通过基于多特征关联的支持向量机分类方法检测工业互联网中异常 攻击会话流以提高检测精度并降低检测失误率.董刚等提出基于网络连接特征属性的入侵检测模型识别 攻击.模型对采集的数据流量样本进行多维度特征提取将提取后的结果与正常的多维度属性特征值相比较对得到的异常可疑流量进行实时报警.以上文献都只是针对 攻击检测的某个方向但仅依靠单一设备或单一技术会导致误报率高、处理能力有限、受限程度大、响应不及时、对 攻击检测效果不佳等后果.因此本文采用 系统的开源框架开源安全信息管理系统()并以增加插件的形式实现如图 所示的功能.系统将基于大数据分析技术、恶意代码
8、检测技术和网络取证分析技术实现边界网络日志分析和内部网络流量分析两大模块.图 系统功能简化示意图.检测框架本文所研究的 系统构建了一种针对于 攻击的安全威胁信息统一收集整合、分析管理、事件实时迅速反应、实时报警的管理平台.如图 所示系统主要分为两大模块:第一网络边界日志分析模块.本模块对安全防护设备报送的日志信息进行处理即对防火墙、等网络边界防护设备报送的日志信息进行异构日志整合对不同设备报送的事件进行联动分析时检测恶意代码、将结果实时反馈给防护设备第二内部网络流量分析模块.本模块对内部网络产生的流量进行处理分析即对内部设吉林师范大学学报(自然科学版)第 卷备如 服务器、文件服务器等服务器和重
9、要数字资产报送的流量进行过滤和提取、结合日志分析的报送结果对可疑 进行流量联合分析、将结果实时反馈给内网设备.图 系统架构图.网络边界日志分析入侵者对某网络发动 攻击时那么必然会在网络边界产生大量流量.对于网络边界安全防护设备的海量异构安全日志统一整合 采用(知识库)作为共享信息的接口能够实现高效快速整合异构日志因此本文采用 系统日志整合功能实现不同设备日志规范化.对于事件联动分析主要实现第一层恶意代码检测.第一层恶意代码检测以插件的形式嵌入系统此插件采用的是应用最广泛的特征码检测法即通过提取恶意代码的样本分析其独有的特征指令序列扫描日志文件与特征码库进行对比判断是否有与特征码匹配的文件.在此
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 SIEM 系统 APT 攻击 检测 框架
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。