一种基于图模型的网络攻击溯源方法

随着信息技术的飞速发展,网络攻击事件频发,造成了日益严重的经济损失或社会影响.为了减少损失或预防未来潜在的攻击,需要对网络攻击事件进行溯源以实现对攻击者的挖掘追责.当前的溯源过程主要依赖于人工完成,效率低下.面对日益增加的海量溯源数据和日趋全面的溯源建模分析维度,亟需半自动化或自动化的网络攻击者挖掘方法.提出一种基于图模型的网络攻击溯源方法,建立网络攻击事件溯源本体模型,融合网络攻击事件中提取的线索数据和威胁情报数据,形成网络攻击事件溯源关系图;引入图嵌入算法自动学习嵌有关联线索特征的网络攻击事件特征向量,进而利用历史网络攻击事件特征向量训练SVM(support vector machine)分类器,并基于SVM分类器完成网络攻击者的挖掘溯源;最后,通过实验验证了该方法的可行性和有效性.

面向网络取证的网络攻击追踪溯源技术分析

首先定位网络攻击事件的源头,然后进行有效的电子数据证据的收集,是网络取证的任务之一.定位网络攻击事件源头需要使用网络攻击追踪溯源技术.然而,现有的网络攻击追踪溯源技术研究工作主要从防御的角度来展开,以通过定位攻击源及时阻断攻击为主要目标,较少会考虑到网络取证的要求,从而导致会在网络攻击追踪溯源过程中产生的大量有价值的数据无法成为有效电子数据证据在诉讼中被采用,因而无法充分发挥其在网络取证方面的作用.为此,提出了一套取证能力评估指标,用于评估网络攻击追踪溯源技术的取证能力.总结分析了最新的网络攻击追踪溯源技术,包括基于软件定义网络的追踪溯源技术,基于取证能力评估指标分析了其取证能力,并针对不足之处提出了改进建议.最后,提出了针对网络攻击追踪溯源场景的网络取证过程模型.该工作为面向网络取证的网络攻击追踪溯源技术的研究提供了参考.

基于登录行为分析的失陷邮箱检测技术研究

发现失陷邮箱在安全运维、溯源取证工作中面临多种困难,例如,所依赖的威胁情报数据不充分、待分析的数据规模庞大、难以向邮箱所有者确认等。针对上述问题,提出了一种仅使用登录日志作为数据源且不依赖任何标记样本的失陷邮箱检测方法。首先,归纳针对邮箱账户的攻击手段,提炼出邮箱失陷模型。其次,基于所提出的邮箱失陷模型,从空间和时间的角度刻画攻击者在入侵邮箱账户时所暴露出的空间相似性和时间同步性。在利用空间相似性检测失陷邮箱时,使用图来描述邮箱之间的空间距离,再将空间距离相近的邮箱划分至同一社区,并根据社区规模来评价邮箱失陷的可能性;在利用时间同步性检测失陷邮箱时,提出一种异常登录行为的描述方法,并通过比较多个邮箱的异常行为是否集中在一定时期内来评价邮箱失陷的可能性。最后,根据失陷可能性输出一个排序的邮箱列表为分析人员提供优先级参考。实验结果表明,所提出的方法能够在降低约70%工作量的情况下检测出约98%的失陷邮箱,检测效果好于同类研究,且具备发现未知攻击者和未公开恶意IP地址的能力。

多源网络攻击追踪溯源技术研究

网络攻击追踪溯源在定位攻击源、阻止或抑制网络攻击、提供法律举证、威慑攻击者等方面具有非常积极的意义。近年来,学术界对此开展了大量的研究,并提出了多种追踪溯源技术体制。分析了在大规模网络环境下网络攻击追踪溯源所面临的问题,以及当前主要技术体制的优缺点和适用性,提出了融合多种追踪溯源机制的多源追踪溯源技术思路,设计了基于信息融合的扩展性强、易于部署建设的MSNAA网络攻击追踪溯源系统架构。