高级持续性威胁及其重构研究进展与挑战

高级持续威胁攻击指针对高价值目标发起的长期的定制攻击,会在不同主机上留下零散的痕迹,同时攻击者会使用各种技术将自己的行动隐藏在正常系统活动之中,因此难以被分析人员观测到.为了对其进行分析并采取对策,需要开发新一代的威胁检测与攻击重构工具,使分析人员能够快速确定是否有重大入侵,了解攻击者破坏系统安全的过程,并确定攻击的影响.其中因果关系分析是很受关注的一种手段,拥有较强的鲁棒性.首先简要介绍了高级持续威胁攻击,然后讨论了依赖因果关系分析的攻击重构基本方案,重点分析了基于异常分析、启发式和图形分析方法的威胁检测与攻击重构方案,并对现有的方案进行了评估,分析了当前攻击重构系统面临的挑战,最后对攻击重构潜在的研究方向进行了讨论和展望.

高级持续性威胁攻击取证分析调查作业程序之研究

高级持续性威胁攻击（Advanced Persistent Threat，APT）／目标攻击，是全球各地具备创造力、灵活力的网络犯罪分子针对网络基础设施，以不断翻新、随时在线待命、高级持续的专业攻击工具，进行的网络攻击手法。情报搜集与窃取数据，是所有APT的共同目的，传统的网络安全防御技术对未发觉、多元且复杂的APT威胁并无侦测能力，将遭受APT攻击的风险推到前所未有的高度，APT吓是现今组织所面临的最大威胁之一。循以数字证据分析取证标准作业程序：搜集-保全-分析-结果呈现，首先对APT攻击行为进行静态分析：再对APT攻击进行深入的动态分析，探讨数字证据取证处理程序，研制有关APT攻击数字证据取证的处理程序及规则；最后，将数字取证设备及取证软件为主要的取证工具，让取证人员能够运用此取证程序与取证工具，即可完成取证工作，了解APT威胁攻击态样，为日后的调查分析提供数字证据，补强数字证据取证调查的完整性、一致性和精确性。

因果图表征的网络攻击数据集构建

高级可持续威胁攻击因其多阶段可持续的特性,已经成为现阶段网络攻击的主要形式。针对此类型攻击的检测、预测研究,不可避免地需要相关数据集的支撑。在构建数据集时,往往需要真实的网络与主机数据。但出于隐私与安全的考虑,很少有满足要求的开源数据集。现有的数据集也往往只提供原始的网络流和日志数据,对长时攻击上下文解析的缺乏导致单纯地利用神经网络进行数据包的恶性甄别和预测的实用性不足。为了解决这些问题,该文基于网络环境的真实攻击过程数据,构建并公布了一个基于因果图的网络攻击数据集。与传统的原始网络流和日志数据集相比,该数据集充分挖掘了攻击上下文中的因果关系,可以跨长时域对高级可持续威胁攻击进行建模,方便研究人员进行攻击检测与预测的研究。该数据集开源在https://github.com/GuangmingZhu/CausalGraphAPTDataset上。

结合动态行为和静态特征的APT攻击检测方法

针对APT攻击网络流量难以获得,模拟的数据与现实又很难匹配的问题,提出了一种基于动态行为和静态特征结合的APT攻击检测方法。采用Noriben沙箱提取待测软件的进程行为、文件行为、注册表行为和网络行为构建动态行为特征集,基于Transformer-Encoder算法识别APT恶意软件的准确率达到了95.8%。对识别出的APT恶意软件进行组织分类,提取软件调用的DLL(dynamic link library)和API(application programming interface),并组合成DLL:API的特征形式,将1D-CNN(one dimensional convolutional neural networks)算法应用于APT恶意软件组织分类的准确率达到了98.7%,比之前的方法提高了5个百分点。与热门的深度学习算法和机器学习算法的实验效果做对比,数据表明,提出的方法相比其他方法,准确率有较大提升。

基于攻击图的APT脆弱节点评估方法

高级可持续性威胁(advanced persistent threat,APT)具有行为隐蔽性强、攻击周期持久的特点,增加了攻击检测的难度。据此,引入攻击图理论评估网络系统在APT攻击下的脆弱节点,提出了一种基于攻击图的APT脆弱节点评估方法,有效地提高了发现攻击的概率。对APT攻击行为的异常特征进行提取和定义,对目标网络系统建立风险属性攻击图(risk attribute attack graph,RAAG)模型;基于APT攻击行为特征的脆弱性对系统节点的行为脆弱性进行评估,并以通用漏洞评分系统(common vulnerability scoring system,CVSS)标准做为参照评估系统节点的通联脆弱性;基于上述2个方面的评估,计算系统中各节点的整体脆弱性,并发现目标网络系统在面向APT攻击时的脆弱节点。实验结果表明,所提方法能够对APT攻击行为特征进行合理量化,对系统节点的脆弱性进行有效评估,在APT攻击检测率上有较好表现。

面向分布式网络结构的APT攻击双重博弈模型

针对目前分布式网络结构缺少防御高级持续威胁(APT)攻击的安全理论模型问题,提出了一种基于纳什均衡理论和节点博弈的博弈模型。首先,通过APT攻击常用手段和分布式网络结构的特点,分析判断攻击者可能采取的攻击路径并提出网络安全防御框架;其次,通过节点博弈计算漏洞风险系数,在纳什均衡理论的基础上建立基于攻击路径的博弈模型(OAPG),计算攻防双方收益均衡点,分析攻击者最大收益策略,进而提出防御者最优防御策略;最后,用一个APT攻击实例对模型进行验证。计算结果表明,所提模型能够从APT攻击路径对网络攻防双方进行理性分析,为使用分布式网络的机构提供一种合理的防御思路。

Hadoop安全及攻击检测方法

Hadoop作为当前热门的大数据处理框架,其安全性成为关注的重点。针对Hadoop的安全问题进行分析研究并提出解决方法。首先,从Hadoop的核心组件出发,分析其结构和运行存在的安全威胁;其次,归纳总结当前Hadoop的安全机制和安全组件,对平台各个组件进行安全性统计并分析安全机制下Hadoop平台存在的安全问题;最后,提出当前Hadoop平台遭受的网络攻击威胁,并针对性地总结了攻击检测方法。解决Hadoop平台的安全问题并提高安全性应全面完善安全机制、追踪并发现潜在问题、开发安全组件及研究新型攻击检测方法。

军事网络APT攻击防御体系设计

为提高军事网络防御高级持续性威胁(APT)攻击能力,确保军事网络重要设施和信息安全,设计了应对APT攻击的安全防御体系。在分析APT攻击特点、步骤和方法的基础上,构建了军事网络应对APT攻击的多级防御模型,针对入侵、潜伏和破坏等3个防御APT攻击的关键环节,设计了有效的防御系统,提出了具体的防御方法。测试结果表明,设计的防御体系能够主动发现军事网络中的APT攻击,并且及时进行阻止,从而保证军事网络的安全运行。

浅谈APT组织在网络攻击中的发展演变

近年来,世界各国、各组织对网络空间安全的重视程度不断升级,国家间的网络安全对抗战愈演愈烈,APT组织数量增多、攻击对象和攻击范围不断扩大。本文以Lazarus、APT28、OceanLotus等典型APT组织为例,从组织规模、攻击对象、攻击技术等方面分析了APT组织在网络攻击中的发展演变,以期增强我国网络攻击的风险意识,提高我国应对网络攻击的能力。

蜜罐系统与安管平台联动结合的研究与实践

在信息安全分析和管理领域,企业和组织安装部署了多种信息安全和检测设备。通过这些安全设备和系统,尤其是通过SOC定期收集与安全相关的数据并进行综合关联分析,以发现网络中的威胁事件。蜜罐技术由来已久,其主要是用于部署易受攻击的系统,吸引黑客攻击,记录其非法操作行为,用于延缓攻击速度与取证的安全设备。通过蜜罐与SOC平台的结合,从传统的被动性安全防护变为主动性安全技术防御,利用蜜罐学习黑客的攻防方式,通过SOC平台进行自动检查。基于此,对蜜罐系统与SOC平台联动结合的研究和实践进行论述。

用户异常行为分析方法研究与应用

为了应对高级持续性威胁(APT)攻击造成的威胁,解决传统基于规则的分析方法对用户异常行为检测的误报与漏报问题,提高用户异常行为检测效果,通过采集用户行为日志生成用户操作行为矩阵,并通过模型定义方式对用户行为进行相似度分析。采用容忍度测算、突变测算、差值测算与峰值测算方法,分析与发现用户异常访问。基于用户画像的异常行为分析方法结合了用户操作行为特征及角色定义,利用用户行为日志历史信息勾勒出用户行为画像,使系统能准确、实时地判断用户行为异常,提高了对异常行为的实时检测与快速响应能力。

基于XDR+零信任架构的远程办公安全方案研究

近年来,随着企业业务的快速发展,利用信息化推动业务已经成为了各行各业的共识.远程办公,如即时沟通、在线文档编辑、语音视频会议等也成为了企业必不可少的工作模式.远程办公能带来工作的便利性,但同时也带来巨大的网络安全隐患.主要描述远程办公环境的安全隐患,并通过结合XDR(X detection response)高级威胁治理模型特性,对远程办公安全提出全面的建设思路.