APT技术分析与思考

APT高级持续性威胁(Advanced Persistent Threat),是一种新型的攻击手段,威胁着网络信息安全。本文通过APT攻击典型案例介绍了APT攻击的基本概念、攻击过程、攻击原理及攻击方法等,逐步找到防范策略。APT高级持续性威胁(Advanced Persistent Threat),是一种新型的攻击手段,威胁着网络信息安全。本文通过APT攻击典型案例介绍了APT攻击的基本概念、攻击过程、攻击原理及攻击方法等,逐步找到防范策略。     

一种基于攻击图的高级持续威胁检测方法北大核心CSCD

针对传统入侵检测工具无法检测高级持续威胁(Advanced Persistent Threat,APT)攻击和威胁警报疲劳问题,文章提出一种基于攻击图的APT检测方法 ADBAG(APT Detection Based on Attack Graph),该方法根据网络拓扑、漏洞报告等信息生成攻击图,并利用攻击图对攻击者行为进行预先分析,有效解决了威胁警报疲劳问题。文章结合ATT&CK(Adversarial Tactics,Techniques and Common Knowledge)模型和APT攻击三相检测模型,设计了一种缺失路径匹配评分算法,从攻击全局角度分析和检测APT攻击。同时,设计了基于灰名单的多攻击实体关联方法,以保证生成的APT攻击证据链的准确性。在公开数据集上进行实验,实验结果表明,ADBAG可以有效检测APT攻击,并能够检测基于零日漏洞的APT攻击,进一步定位攻击影响范围。     

基于网络安全态势感知的高级持续性威胁检测和研究

阐述了基于网络安全态势感知的应用及高级持续性威胁APT(Advanced Persistent Threat)类型和攻击手段,结合现有大数据分析方法及网络攻防研究成果综述了高级持续性威胁检测在网络安全态势感知中的应用.     

基于GAN-LSTM的APT攻击检测

高级持续性威胁(Advanced Persistent Threat,APT)带来的危害日趋严重。传统的APT检测方法针对的攻击模式比较单一,处理的APT攻击的时间跨度相对较短,没有完全体现出APT攻击的时间序列性,因此当攻击数据样本较少、攻击持续时间较长时准确率很低。为了解决这个问题,文中提出了基于生成式对抗网络(Generative Adversarial Netwokrs,GAN)和长短期记忆网络(Long Short-term Memory,LSTM)的APT攻击检测方法。一方面,基于GAN模拟生成攻击数据,为判别模型生成大量攻击样本,从而提升模型的准确率;另一方面,基于LSTM模型的记忆单元和门结构保证了APT攻击序列中存在相关性且时间间距较大的序列片段之间的特征记忆。利用Keras开源框架进行模型的构建与训练,以准确率、误报率、ROC曲线等技术指标,对攻击数据生成和APT攻击序列检测分别进行对比实验分析。通过生成式模型生成模拟攻击数据进而优化判别式模型,使得原有判别模型的准确率提升了2.84%,与基于循环神经网络(Recurrent Neural Network,RNN)的APT攻击序列检测方法相比,文中方法在检测准确率上提高了0.99个百分点。实验结果充分说明了基于GAN-LSTM的APT攻击检测算法可以通过引入生成式模型来提升样本容量,从而提高判别模型的准确率并减少误报率;同时,相较于其他时序结构,利用LSTM模型检测APT攻击序列有更好的准确率和更低的误报率,从而验证了所提方法的可行性和有效性。     

浅析APT攻击以及防范的四大策略

APT攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击.高级持续性威胁(Advanced Persistent Threat,APT),威胁着企业的数据安全.本文就APT攻击以及防范策略进行分析研究.     

信息安全威胁进化论——网神SecAV病毒预警解决方案

1什么是APT类攻击APT(Advanced Persistent Threat)高级持续性威胁,通常来说APT攻击为一类特定的攻击,为了获取某单位的重要信息,从而进行针对性的、一系列的攻击行为。每当恶意代码渗透到网络内部后,即进行重要信息的收集。通俗地说,APT的攻击主要针对于特殊的机构或者公司,在明确攻击目标后,通过未知病毒、后门程序、0day攻击等多种途径进行频繁的渗透、     

面向APT家族分析的攻击路径预测方法研究

近年来,针对政府机构、工业设施、大型公司网络的攻击事件层出不穷,网络空间安全已成为事关国家稳定、社会安定和经济繁荣的全局性问题。高级持续威胁(Advanced Persistent Threat, APT)逐渐演化为各种社会工程学攻击与零日漏洞利用的综合体,已成为最严重的网络空间安全威胁之一,当前针对APT的研究侧重于寻找可靠的攻击特征并提高检测准确率,由于复杂且庞大的数据很容易将APT特征隐藏,使得获取可靠数据的工作难度大大增加,如何尽早发现APT攻击并对APT家族溯源分析是研究者关注的热点问题。基于此,本文提出一种APT攻击路径还原及预测方法。首先,参考软件基因思想,设计APT恶意软件基因模型和基因相似度检测算法构建恶意行为基因库,通过恶意行为基因库对样本进行基因检测,从中提取出可靠的恶意特征解决可靠数据获取问题;其次,为解决APT攻击路径还原和预测问题,采用隐马尔可夫模型(HMM)对APT恶意行为链进行攻击路径还原及预测,利用恶意行为基因库生成的特征构建恶意行为链并估计模型参数,进而还原和预测APT攻击路径,预测准确率可达90%以上;最后,通过HMM和基因检测两种方法对恶意软件进...     

基于虚拟机与API调用监控技术的APT木马取证研究

APT（Advanced Persistent Threat）攻击通常由具有丰富经验的网络渗透组织或团队实施,具有持续时间长、技术性强、策略性高的特点,攻击中使用的APT木马变化无穷,常规杀毒软件难于检测,严重威胁了国家核心机构和重点部门的安全,同时也给电子数据取证带来了很大的挑战。文章提出了一种基于基于虚拟机与API调用监控技术的APT木马取证模型,可有效对APT木马的攻击行为进行取证。     

APT攻击行动研究

目前对APT(Advanced Persistent Threats,高级持续威胁)攻击行动的组成要素、主要任务、重要活动以及交互关系等问题已有清晰的认识,但是缺乏统一的形式化描述,不能全面系统地表达APT攻击的全过程。文章基于UML动态建模机制,构建了APT攻击行动协作模型、APT攻击行动模型和APT攻击活动模型;参考APT攻击活动模型对典型的APT攻击案例(针对Google的极光攻击行动)进行了建模,对比McAfee实验室的研究报告,找出了对APT攻击的非形式化描述所存在的不足。     

基于蚁群算法的电力数据网络APT攻击预警模型

高级持续性威胁(Advanced Persistent Threat, APT)是通过预先对攻击对象的业务流程和目标系统进行多维度、多阶段、多对象的持续信息采集，隐匿地实现网络空间的数据窃取。电力网络具有天然的稳定性需求，其覆盖广、涉及面大、灾后损失大。当前APT攻击预警技术存在网络节点碎片化的有限安全域以及全域特征动态检测问题。本文提出基于蚁群算法的电力数据网络APT攻击预警模型。通过设计电力网络的全域可信系统模型，采用流形进行安全边界扩散，将碎片化节点进行柔性关联，确保全域安全控制。构建APT攻击的时效模型，实现攻击对可信系统的损害分析。将APT攻击特征等效为蚁群信息素，实现对APT攻击的自动跟踪和适应。通过实际测试表明，蚁群APT监测预警算法的预警精度有效提升12.6%。     

工业控制网络中APT攻击检测系统设计

高级持续性威胁(advanced persistent threat, APT)是当今工控网络安全首要威胁,而传统的基于特征匹配的工业入侵检测系统往往无法检测出最新型的APT攻击。现有研究者认为,敏感数据窃密是APT攻击的重要目的之一。为了能准确识别出APT攻击的窃密行为,对APT攻击在窃密阶段受控主机与控制与命令(Control and Command, C&C)服务器通信时TCP会话流特征进行深入研究,采用深度流检测技术,并提出一种基于多特征空间加权组合SVM分类检测算法对APT攻击异常会话流进行检测。实验表明,采用深度流检测技术对隐蔽APT攻击具备良好的检测能力,而基于多特征空间加权组合SVM分类检测算法较传统单一分类检测的检测精度更高,误报率更低,对工控网络安全领域的研究具有推进作用。     

传统网络安全防御面临的新威胁:APT攻击

高级持续威胁(APT)攻击不断被发现,传统网络安全防御体系很难防范此类攻击,由此给国家、社会、企业、组织及个人造成了重大损失和影响。对近几年典型APT攻击事件和攻击代码进行了研究,分析了攻击的产生背景、技术特点和一般流程。彻底防御APT攻击被认为是不可能的,重视组织面临的攻击风险评估,建立新的安全防御体系,重点保护关键数据成为共识。为此,提出了建立一种新的安全防御体系,即安全设备的联动、安全信息的共享、安全技术的协作,并给出了基于社会属性、应用属性、网络属性、终端属性及文件属性的多源态势感知模型,以及安全信息共享和安全协作的途径。     

流体随机Petri网与混合Petri网的比较分析

流体随机Petri网和混合Petri网作为传统Petri网的拓展,可以建模离散成分和连续成分并存的混合系统,也可用于解决离散模型的状态空间爆炸问题.由于这两种建模机制远未发展成熟,分析比较它们的异同点有助于机制本身的进一步发展完善,有助于为特定的应用选择合适的建模方法.本文讨论了流体随机Petri网和混合Petri网的定义、连续标识、分析方法、以及相互转换的可能性.结论是这两种建模机制是互补的,各自适合于特定的应用场合.     

基于攻防树的APT风险分析方法

针对目前缺少APT攻击中系统威胁风险评估理论模型的问题,提出了一种基于攻防树的网络攻击风险分析方法。将APT攻击过程分为攻击阶段与防护阶段,定义不同阶段内的参数计算方法,首先通过漏洞收集和攻击事件捕获构建攻击行为节点,并将防护对策映射为防护行为节点;其次形式化定义了漏洞成功利用概率、攻击成本、防护成本和系统损失度等参数,利用ADTool工具生成攻防树和节点参数值;然后引入攻击回报与防护回报的概念,作为系统风险分析的依据;最后构建了基于攻防树的攻击风险分析框架,并通过一个APT攻击实例对框架效果进行了验证。计算结果表明,可通过攻击回报等参数数值的变化评估采取防护对策的效果。该方法对攻防双方策略互相影响的场景描述更加贴近实际,实现了系统威胁风险度分析与防护策略效果评估的目的。     

流体随机Petri网的一阶混杂Petri网模型

为了借用一阶混杂Petri网(First-Order Hybrid Petri Nets)的建模原语和分析方法来分析流体随机Petri网(Fluid Stochastic Petri Nets)以克服流体随机Petri网数值分析方法的局限性,本文提出了一种流体随机Petri网转换成一阶混杂Petri网的形式化描述方法,并对其转换的正确性进行了证明,最后通过实例分析了流体随机Petri网转换成一阶混杂Petri网的必要性.     

模糊Petri网知识表示方法在入侵检测中的应用

根据网络攻击具有并发性,攻击特征的提取具有不确定性等特点,给出了采用模糊Pelri网实现攻击知识的表达和入侵检测的推理模型。该模型解决了误用入侵检测系统中现有知识表示方法不能并行推理的问题,以及传统的基于Pelri网可达图搜索求解导致模型描述复杂、推理缺少智能的问题。最后通过入侵实例验证了该模型的正确性和有效性。     

基于有色网的多Agent计划建模

有色网能够描述资源和操作的具体语义。首先,由于计划中的操作和状态的个数的有限性,与有色网的元素个数有限性约束完全一致。另外,计划中的动作与有色网中的变迁语义类似,以及计划中的操作和状态和有色网中的库所语义非常类似。因此,有色网应用到计划的形式化中,有其独特的优势。本文根据约定的前提条件,计划建模从操作、状态和交互3个方面来具体实现,并给出了建模方法。计划的规范描述、有效性验证以及计划的模拟都可以直接应用经典Petri网或有色网的理论技术。     

我国防护特种网络攻击技术现状

文章就信息安全业界一直热议的"APT攻击"焦点话题,在2013年底开展了一项专题调研。作者走访了十余家国内知名的信息安全专业公司,与信息安全科研一线的技术和管理人员进行了深入的技术交流和探讨。文章着重介绍了部分信息安全公司在防护特种网络攻击技术方面的现状,以期对从事信息安全建设的单位和同行有所启迪。     

基于模糊神经Petri网的故障诊断模型

Petri网是对具有产生式规则的故障诊断系统的有力建模工具，但其缺乏较强的学习能力．本文以Petri网的基本定义为基础，结合模糊逻辑和Petri网模型，定义了模糊Petri网模型，在此基础上引入人工神经网络技术，给出了人工神经网络的模糊Petri网表示方法，并针对工程机械故障诊断异步、离散等特点，提出并建立了故障诊断的模糊神经Petri网模型及其改进模型．基于模糊神经Petri网的故障诊断系统结合了Petri网和人工神经网络的优点，经过自学习后同时具有很强的推理能力和自适应能力．