APT样本的有效网络特征筛选算法

在研究APT攻击的防御方案过程中，针对提取APT样本网络特征的维数过高问题，提出一种基于[k]-means++聚类的APT样本有效网络特征筛选算法。该算法的思路是首先基于聚类的思想将提取的原特征集划分成APT流量特征集与背景流量特征集，然后计算去掉某一维特征向量后聚类性能的变化程度，最后根据该结果评价该特征向量的区分度。其中，有效特征向量即为区分度超过设定阈值的特征向量。目的就是从提取的原特征集中筛选出有效特征，达成对特征的降维，从而降低后续威胁情报形成和部署检测工作的时空开销。实验结果表明，该算法具有一定可行性，针对此问题相比于其他筛选算法具有一定的优势。     

基于Petri网的APT攻击模型生成方法

在严峻的APT(Advanced Persistent Threat)攻击防御背景下,针对现有网络攻击建模方法无法反映APT攻击的攻击特点,建立了基于Petri网的APT攻击模型。借助Petri网,首先针对APT攻击的特点及生命周期,建立APT攻击的基本Petri网模型;然后设计并实现APTPN(Advanced Persistent Threat Petri Nets)模型的生成算法,针对具体的APT攻击生成其完整的攻击路径;最后,实验通过模拟极光攻击验证了算法的有效性及正确性。     

APT样本逻辑表达式生成算法

深入研究已知APT攻击事件，以威胁情报共享理论为基础，提出一种APT样本逻辑表达式生成算法IOCG。该算法能够自动生成可机读的IOCs，解决现有IOC的逻辑关系固定，逻辑项个数不变，规模庞大以及无法对一类样本生成表达式的局限性。同时能够减少冗余及无用APT样本特征处理时间消耗，提高情报分析共享速率，积极应对复杂多变的APT攻击态势。实验采用自助法对APT1样本进行抽样，将样本分成实验集及训练集，再分别利用该算法与IOC_Aware插件对训练集生成逻辑表达式，对比表达式本身及检测效果上的差异。实验结果表明，该算法是有效的，并能提高检测效果。