基于大数据引擎的军事信息网络安全防护系统

针对网络安全威胁愈演愈烈背景下军事信息网络安全防护面临的主动防御能力弱、APT攻击检测难、威胁情报系统建设滞后、缺乏大数据支撑的网络安全防护平台等安全挑战,研究了基于大数据分析的APT攻击检测技术、大数据环境下的威胁情报获取技术,提出了一种基于大数据引擎的军事信息网络安全防护系统架构。     

APT攻击渐成气候 企业需对抗未知威胁

日前,全球服务器安全、虚拟化及云计算安全领导厂商趋势科技发布2012年三大安全预测趋势。并且就企业如何采取长期而有效的安全威胁管理战略,以防范如APT等针对性攻击并有效抗击未知威胁黑色产业链进行了深入的解析和探讨。三大安全趋势成主流趋势科技(中国)高级产品经理林义轩认为,在2012年,安全业界最明显的趋势之一是高级持续性威胁(APT)成为主流;趋势之二是虚拟化及云端安全重要性渐增;趋势之三是在后PC时代,移动设备管理成为必要课题。     

APT攻击悄然来袭 企业信息面临“精准打击”

近期，黑客利用复杂精准的方式对特定对象发动高级持续性威胁fAdvanced Persistent Threat，APT）攻击频发的事件，企业应采取长期而有效的威胁管理以应对，从而避免成为APT攻击的受害者。     

APT攻击及其防御研究

APT攻击是一种新型的网络攻击,其对国家国防安全、国民经济安全、重要行业信息安全、公司商业信息安全构成严重威胁。首先简要介绍了世界范围内发生的重大APT攻击事件,然后详细阐述了APT攻击过程,并深入研究了APT攻击与传统攻击的区别,以及APT攻击给传统信息安全防御所带来的技术和管理双重挑战。最后,深入研究了APT攻击的现有防御技术,并依据APT攻击链提出了一种针对APT攻击的防御架构。该架构完整覆盖APT攻击各个步骤环节,并考虑了管理、传统防御技术与APT防御技术的结合。     

全方位网络信息安全防护体系研究

近年来，全球性的网络安全威胁和新型网络犯罪日益猖獗，APT攻击、勒索病毒、挖矿病毒、黑色产业链等问题凸显，造成十分巨大的社会经济损失。通过回顾分析近年来的安全事件，对安全攻击的思路和步骤进行了解析，提出并详细介绍了如何建立全方位网络安全防护体系。     

一种基于特征检测的APT攻击防御方案

高级持续性威胁(APT)攻击具有持续渗透性,对网络的信息安全管理造成了严重威胁。在分析流量统计特征的基础上,提出了区分可信与非可信流量的方法,通过特征检测,实现对恶意攻击的识别,并建立了相应的APT攻击防御方案。以电力系统的管理网络为平台,验证了该方案的有效性,为防御APT攻击提供了一种可行的思路。     

基于DNS日志的高级持续性威胁智能监测方法及应用

近年来,复杂环境下的高级持续性威胁(APT)防御逐渐成为网络安全关注的重点。APT攻击隐蔽性强,早期发现则危害性较小。文中提出的方法基于DNS日志深度挖掘,通过DGA域名智能检测,APT隧道智能检测等功能维度入手,从DNS日志角度提出APT防御的新思路,实现检测,监控,溯源等一体化功能。论文提出了基于Transformer神经网络和GRU融合算法检测恶意DGA域名和采用统计机器学习算法检测APT攻击通讯的DNS隧道,将早期网络安全防护预警扩展到DNS层面,弥补了网络安全措施对算法生成域名关注度的不足和DNS易被APT潜伏利用的漏洞。通过在实验环境中的深度测试,结果表明论文方法能够较好的应对日益严峻的互联网APT安全威胁。     

基于大数据分析的APT攻击检测研究综述

高级持续性威胁（APT, advanced persistent threat）已成为高安全等级网络的最主要威胁之一,其极强的针对性、伪装性和阶段性使传统检测技术无法有效识别,因此新型攻击检测技术成为APT攻击防御领域的研究热点。首先,结合典型APT攻击技术和原理,分析攻击的6个实施阶段,并归纳攻击特点;然后,综述现有APT攻击防御框架研究的现状,并分析网络流量异常检测、恶意代码异常检测、社交网络安全事件挖掘和安全事件关联分析等4项基于网络安全大数据分析的APT攻击检测技术的研究内容与最新进展;最后,提出抗APT攻击的系统综合防御框架和智能反馈式系统安全检测框架,并指出相应技术在应对APT攻击过程中面临的挑战和下一步发展方向。     

基于多维度分析的APT邮件攻击检测

电子邮件是APT (Advanced Persistent Threat)攻击中常用的攻击载体,本文针对APT邮件攻击提出了一种基于多维度分析的APT邮件攻击检测方法。首先,提取邮件头部和邮件正文信息,邮件附件文件还原;然后,分别通过邮件头部、邮件正文、情报检测、文件内容深度检测、邮件异常行为检测和邮件站点自学习等多维度进行分析;最后基于分析结果将邮件归类为普通邮件和可疑APT攻击特征的邮件。本文提出的方法既结合传统的邮件威胁攻击特征,并融入情报检测和附件深度检测,且考虑邮件异常行为分析,最后结合客户业务进行自学习分析,有效地提高了APT邮件攻击的检测准确率,为APT邮件攻击检测提供一种良好的检测方案。     

APT的本质探讨

APT攻击目前已成为热点,其特征不同于传统的网络攻击,对已有的安全防范思路和能力带来极大挑战。应对新的威胁,需要有新的思路,本文分析了APT的本质及其带来的挑战,对现有的安防手段进行了分析,并对一些新的应对思路进行了介绍。     

Honeypot及其安全增强技术研究

蜜罐(Honeypot)是一种主动防御的网络安全技术,可以吸引入侵者的攻击,保护工作网络免于攻击,而且能监视和跟踪入侵者的行为并以日志形式记录下来进行分析,从而学习入侵者的工具、策略和方法.文中介绍了蜜罐技术的基本理论,分析了蜜罐系统的工作原理,设计了一种基于主机的蜜罐系统,讨论了其基本结构和工作流程,然后着重分析了系统可能面临的安全威胁与防御对策,并在总体上给出了系统的安全增强方案.     

Quantitative method for network security situation based on attack prediction

To predict the attack behaviors accurately and comprehensively as well as to quantify the threat of attack,a quantitative method for network security situation based on attack prediction was proposed.By fusing the situation factors of attacker,defender and network environment,the capability of attacker and the exploitability rate of vulnerability were evaluated utilizing the real-time detected attack events,and the expected time-cost for attack-defense were further calculated.Then an attack prediction algorithm based on the dynamic Bayesian attack graph was designed to infer the follow-up attack actions.At last,the attack threat was quantified as the security risk situation from two levels of the hosts and the overall network.Experimental analysis indicates that the proposed method is suitable for the real adversarial network environment,and is able to predict the occurrence time of attack accurately and quantify the attack threat reasonably.     

面向大型企业信息安全建设的虚拟化威胁感知技术

面对信息化建设进程的快速推进,如何有效实现风险防控,建立先进实用、安全可靠的信息安全保障体系,是大型企业都要面临的严峻考验。分析了大型企业在信息化建设中面临的各种安全风险和信息安全防护工作的主要特性,提出了具有实践意义的信息安全防护体系建设思路。分析了大型企业信息安全建设虚拟化环境面临的威胁,设计出一种虚拟化安全威胁感知系统,该系统由威胁情报平台、本地检测系统和数据分析平台组成。     

网络攻防——魔和道的持久对峙

通过对当今信息化时代的特征分析,给出了信息安全建设的大背景。。对网络攻击技术的演进和形式变化进行了解析,对新时期下主要网络攻击技术进行了剖析,在此基础上,提出了国家、企业在信息安全保障工作方面应考虑的新对策和新技术。     

Fileless cyberattacks: Analysis and classification

With cyberattack techniques on the rise, there have been increasing developments in the detection techniques that defend against such attacks. However, cyber attackers are now developing fileless malware to bypass existing detection techniques. To combat this trend, security vendors are publishing analysis reports to help manage and better understand fileless malware. However, only fragmentary analysis reports for specific fileless cyberattacks exist, and there have been no comprehensive analyses on the variety of fileless cyberattacks that can be encountered. In this study, we analyze 10 selected cyberattacks that have occurred over the past five years in which fileless techniques were utilized. We also propose a methodology for classification based on the attack techniques and characteristics used in fileless cyberattacks. Finally, we describe how the response time can be improved during a fileless attack using our quick and effective classification technique.     

基于有限状态机的DNS隐蔽通信模型

DNS(domain name system)作为互联网基础设施的重要组成部分,其数据一般不会被防火墙等网络安全防御设备拦截。以DNS协议为载体的隐蔽信道具有较强的穿透性和隐蔽性,已然成为攻击者惯用的命令控制和数据回传手段。现有研究中缺乏对真实APT(advanced persistent threat)攻击中DNS隐蔽信道的检测技术或方法,且提取的特征不够全面。为深入分析攻击流量和行为特征,基于有限状态机对真实APT攻击中DNS隐蔽通信建模,剖析了APT攻击场景下DNS隐蔽信道的构建机理,详细阐述了其数据交互过程,通过总结和分析DNS隐蔽通信机制,基于有限状态机建立通信模型,提出通信过程中存在关闭、连接、命令查询、命令传输等7种状态,控制消息和数据消息等不同类型消息的传输将触发状态迁移。利用泄露的Glimpse工具模拟真实APT攻击下DNS隐蔽通信,结合Helminth等恶意样本实验验证了模型的适用性和合理性,为人工提取特征提供了充分的依据。