一种基于同源行为分析的APT异常发现策略被引量：3

A discovery strategy for APT anomaly based on homologous behavior analysis

下载PDF

导出

摘要 APT(advanced persistent threat)攻击的日益频繁对APT攻击行为的检测提出了更高的要求,对同源行为进行分析是尽早发现APT攻击行为的一种有效方法。针对数据量过大造成数据对比认证效率低下的难题,提出了借助数据标签技术,建立历史同源行为数据库,并将数据库存储到云端;依托Hadoop平台和MapReduce聚合计算能力,基于伪随机置换技术完成网络全流量并行检测,通过与数据库中的数据标签进行对比验证,来判断是否有APT攻击行为。测试结果表明,该方法可尽早从网络中发现APT异常行为,提高全数据流检测的效率。 As APT （advanced persistent threat） attacks are increasingly frequently, higher requirements for the detection of APT attacks were proposed. It was an effective method to early discover the attack behavior of APT based on homologous behavior analysis. Aiming at the problem of low efficiency of data authentication caused by excessive data, the historical behavior database with data label technology was established and the database was stored in the cloud. Relying on the Hadoop platform and the aggregate computing ability of MapReduee and the pseudorandom permutation technique, the whole traffic parallel detection of the network was realized. In order to determine whether there was a APT attack behavior, the detection of APT attacks was implemented by comparing the data labels in the database. Test results show that the proposed method can detect the abnormal behavior of APT from the network as soon as possibleand improve the efficiency of the whole data flow detection.

作者俞艺涵付钰吴晓平李洪成

机构地区海军工程大学信息安全系

出处《电信科学》北大核心 2016年第1期82-87,共6页 Telecommunications Science

基金国家自然科学基金资助项目(No.61100042) 湖北省自然科学基金资助项目(No.2015CFC867) 信息保障技术国防重点实验室基金资助项目(No.KJ-13-111)~~

关键词 APT防御同源策略实时检测数据标签伪随机置换 APT defense； homologous strategy； real-time detection； data label； pseudorandom permutation

分类号 TP309.7 [自动化与计算机技术—计算机系统结构]

引文网络
相关文献

参考文献9

1CHEN P,DESMET L,HUYGENS C.A study on advanced persistent threats[C]//Proceedings of the 15th International Conference Conference on Communications and Multimedia Security,September 25-26,2014,Aveiro,Portugal.Berlin:Springer Press,2014:56-73.
2NIKOS V,DIMITRI G.The big four-what we did wrong in advanced persistent threat detection[C]//Proceedings of International Conference on Availability,Reliability and Security,September2-6,2013,Washington DC,USA.New Jersey:IEEE Press,2013:248-254.
3YANG G M Z,TIAN Z H,DUAN W L.The prevent of advanced persistent threat[J].Journal of Chemical and Pharmaceutical Research,2015,6(1):572-576.
4杜跃进,翟立东,李跃,贾召鹏.一种应对APT攻击的安全架构:异常发现[J].计算机研究与发展,2014,51(7):1633-1645. 被引量：20
5李凤海,李爽,张佰龙,宋衍.高等级安全网络抗APT攻击方案研究[J].信息网络安全,2014(9):109-114. 被引量：9
6COLE E.Advanced Persistent Threat:Understanding the Danger and How to Protect Your Organization[M].Boca Raton:CRC Press,2012:1-280.
7郑黎明,邹鹏,贾焰,韩伟红.网络流量异常检测中分类器的提取与训练方法研究[J].计算机学报,2012,35(4):719-729. 被引量：23
8许婷.一种有效防范APT攻击的网络安全架构[J].信息安全与通信保密,2013,11(6):65-67. 被引量：9
9SEJONG 0,SEOG P.Task-role-based access control model[J].Information System,2003(28):533-562.

二级参考文献37

1RSA. RSA security brief: Mobilizing intelligent security operations for advanced persistent threats [OL]. 2011 [2013- 07-11]. http=//www, eme. corn/utilities/search, esp.
2Tankard C. Advanced persistent threats and how to monitor and deter them[J]. Network Security, 2011 (8): 16-19.
3Li F, Lai A, Ddl D. Evidence of advanced persistent threat: A case study of malware for political espionage [C] //Proc of the 6th Int Conf on Malicious and Unwanted Software (MALWARE 2011). Piscataway, NJ: IEEE, 2011:102-109.
4Kurtz G. Operation aurora hit Google, others [OL]. 2010- 01-14 [2013-07-11]. http://siblog, mcafee, eomleto/operation-% E2.
5McAfee Labs and McAfee Foundstone Professional Services. Protecting your critical assets: Lessons learned from operation Aurora [OL]. 2011-08-03 [2013-07-11]. http:// bit. Iy/xSDUXE.
6McMillan R. Siemens: Stuxnet worm hit industrial systems [OL]. (2010-09-14) [2013-07-11]. http://www, computervcorld. com/s/article/9185419[SiemensStuxnetworm hit industrial systems.
7Falliere N, Murchu L O, Chien E. W32. Stuxnet Dossier [OL]. (2011-03-09)[2013-07-12]. http://www, h4ekr, us/ library/Documents/ICS _ Events/Smxnet% 20Dossier% 20 (Symantec) %20vl. 4. pdf.
8Langner R. Stuxnet: Dissecting a cyberwarfare weapon [J]. Security & Privacy, 2011, 9(3): 49-51.
9Farwell J P, Rohozinski R. Stuxnet and the future of cyber war[J]. Survival, 2011. 53(1): 23-40.
10CyberattaeksG E. Night dragon[OL]. (2011-02-10) [2013- 07-12]. http://www, mcafee, com/tw/aboutlnight-dragon. aspx.

共引文献47

1袁穗波,李利.星座图法在防护林功能经营区划分中的应用[J].湖南林业科技,2000,27(1):10-15. 被引量：6
2张文盛,侯整风.基于Netfilter的内网流量监控系统应用研究[J].山东理工大学学报（自然科学版）,2012,26(6):44-48. 被引量：1
3杨欢,张玉清,胡予濮,刘奇旭.基于多类特征的Android应用恶意行为检测系统[J].计算机学报,2014,37(1):15-27. 被引量：89
4侯宇.浅析APT攻击防范策略[J].信息系统工程,2014(2):74-74. 被引量：1
5严承华,程晋,樊攀星.基于信息熵的网络流量信息结构特征研究[J].信息网络安全,2014(3):28-31. 被引量：7
6周强,彭辉.基于自回归滑动平均的网络数据流量预测模型[J].计算机科学,2014,41(4):75-79. 被引量：5
7李潇,张强,胡明,罗宗起.针对APT攻击的防御策略研究[J].信息安全与技术,2015,6(5):39-41. 被引量：9
8孙天一.APT攻击的特征分析与防御策略[J].电子技术与软件工程,2015(6):222-222. 被引量：1
9陈晨,王奕钧,胡光俊,郭燕慧.针对手机的APT攻击方式的研究[J].信息网络安全,2015(3):33-37. 被引量：3
10周鹏,陈宇峰.基于多尺度熵方法的网络流量复杂度分析[J].计算机应用研究,2015,32(12):3782-3785. 被引量：4

同被引文献31

1王雪松,梁昔明.改进蚁群算法优化支持向量机的网络入侵检测[J].计算技术与自动化,2015,34(2):95-99. 被引量：14
2赵新杰,刘渊,孙剑.基于迁移学习和D-S理论的网络异常检测[J].计算机应用研究,2016,33(4):1137-1140. 被引量：21
3张浩,王丽娜,谈诚,刘维杰.云环境下APT攻击的防御方法综述[J].计算机科学,2016,43(3):1-7. 被引量：6
4吕元海,孙江辉,杜程.基于复杂网络的风险传播模型及有效算法[J].计算技术与自动化,2016,35(2):44-49. 被引量：1
5张小松,牛伟纳,杨国武,卓中流,吕凤毛.基于树型结构的APT攻击预测方法[J].电子科技大学学报,2016,45(4):582-588. 被引量：22
6傅建明,刘秀文,汤毅,李鹏伟.内存地址泄漏分析与防御[J].计算机研究与发展,2016,53(8):1829-1849. 被引量：13
7李艳,黄光球,张斌.基于攻击事件的动态网络风险评估框架[J].计算机工程与科学,2016,38(9):1803-1811. 被引量：7
8李宇翀,魏东,罗兴国,钱叶魁,刘凤荣.基于多元增量分析的全网络在线异常检测方法[J].上海交通大学学报,2016,50(9):1368-1375. 被引量：14
9姚苏,关建峰,潘华,张宏科.基于APT潜伏攻击的网络可生存性模型与分析[J].电子学报,2016,44(10):2415-2422. 被引量：9
10吕博,廖勇,谢海永.Tor匿名网络攻击技术综述[J].中国电子科学研究院学报,2017,12(1):14-19. 被引量：11

引证文献3

1王超.传感网络群移动节点协同避障方法研究[J].计算机仿真,2018,35(10):313-316.
2刘嘉,谢冰,杨传旭,万洪强,郑妍,杨晶.基于网络行为自学习的高级持续性威胁检测技术研究[J].计算技术与自动化,2019,38(2):108-113. 被引量：3
3王小英,刘庆杰,庞国莉,高方平.基于反馈机制的APT攻击趋势动态预测仿真[J].计算机仿真,2019,36(9):438-441.

二级引证文献3

1曹峰.基于改进行为特征分析的网络入侵检测研究[J].网络安全技术与应用,2020,0(2):18-20. 被引量：3
2杨吉鹏,谢辉.基于Spark-ML+Conv-LSTM的混合入侵检测系统[J].微型电脑应用,2021,37(12):195-197. 被引量：6
3张洪军,吕默,高阳.面向城市轨道交通典型应用场景的高级持续性威胁检测技术[J].都市快轨交通,2024,37(4):16-23.

1潘群华,李明禄,张重庆,张文哲,伍民友.无线传感器网络中的数据查询[J].小型微型计算机系统,2007,28(8):1357-1361. 被引量：4
2爱无言.IE下绕过同源策略限制的方法[J].黑客防线,2010(4):18-20.
3毛颖玲.利用动态创建script技术解决静态网站跨域问题[J].邵阳学院学报（自然科学版）,2012,9(4):29-32. 被引量：1
4郭煜,徐晓明,吴伟恒,万业廷.一种支持存在性验证的云存储系统[J].信息网络安全,2013(4):63-66.
5何良,方勇,方昉,蒲伟.浏览器跨域通信安全技术研究[J].信息安全与通信保密,2013,11(4):59-61. 被引量：8
6陈丰.Mashup应用安全研究[J].微型机与应用,2010,29(13):79-82. 被引量：1
7梁晓欢.TEALIUM:让营销变得如此简单[J].电脑与电信,2014(5):1-4.
8宋少江.浅谈条形码[J].无线电,1996(11):34-35.
9杨松涛,马春光,周长利.面向LBS的隐私保护模型及方案[J].通信学报,2014,35(8):116-124. 被引量：14
10XSS 0day漏洞来袭小心落入钓鱼网站[J].电脑爱好者,2015,0(6):49-49.

电信科学

2016年第1期

浏览历史

内容加载中请稍等...

一种基于同源行为分析的APT异常发现策略被引量：3

参考文献9

二级参考文献37

共引文献47

同被引文献31

引证文献3

二级引证文献3

相关作者

相关机构

相关主题

浏览历史

一种基于同源行为分析的APT异常发现策略 被引量：3

参考文献9

二级参考文献37

共引文献47

同被引文献31

引证文献3

二级引证文献3

相关作者

相关机构

相关主题

浏览历史

一种基于同源行为分析的APT异常发现策略被引量：3