高级持续性威胁攻击取证分析调查作业程序之研究

高级持续性威胁攻击（Advanced Persistent Threat，APT）／目标攻击，是全球各地具备创造力、灵活力的网络犯罪分子针对网络基础设施，以不断翻新、随时在线待命、高级持续的专业攻击工具，进行的网络攻击手法。情报搜集与窃取数据，是所有APT的共同目的，传统的网络安全防御技术对未发觉、多元且复杂的APT威胁并无侦测能力，将遭受APT攻击的风险推到前所未有的高度，APT吓是现今组织所面临的最大威胁之一。循以数字证据分析取证标准作业程序：搜集-保全-分析-结果呈现，首先对APT攻击行为进行静态分析：再对APT攻击进行深入的动态分析，探讨数字证据取证处理程序，研制有关APT攻击数字证据取证的处理程序及规则；最后，将数字取证设备及取证软件为主要的取证工具，让取证人员能够运用此取证程序与取证工具，即可完成取证工作，了解APT威胁攻击态样，为日后的调查分析提供数字证据，补强数字证据取证调查的完整性、一致性和精确性。

结合动态行为和静态特征的APT攻击检测方法

针对APT攻击网络流量难以获得,模拟的数据与现实又很难匹配的问题,提出了一种基于动态行为和静态特征结合的APT攻击检测方法。采用Noriben沙箱提取待测软件的进程行为、文件行为、注册表行为和网络行为构建动态行为特征集,基于Transformer-Encoder算法识别APT恶意软件的准确率达到了95.8%。对识别出的APT恶意软件进行组织分类,提取软件调用的DLL(dynamic link library)和API(application programming interface),并组合成DLL:API的特征形式,将1D-CNN(one dimensional convolutional neural networks)算法应用于APT恶意软件组织分类的准确率达到了98.7%,比之前的方法提高了5个百分点。与热门的深度学习算法和机器学习算法的实验效果做对比,数据表明,提出的方法相比其他方法,准确率有较大提升。

基于攻击图的APT脆弱节点评估方法

高级可持续性威胁(advanced persistent threat,APT)具有行为隐蔽性强、攻击周期持久的特点,增加了攻击检测的难度。据此,引入攻击图理论评估网络系统在APT攻击下的脆弱节点,提出了一种基于攻击图的APT脆弱节点评估方法,有效地提高了发现攻击的概率。对APT攻击行为的异常特征进行提取和定义,对目标网络系统建立风险属性攻击图(risk attribute attack graph,RAAG)模型;基于APT攻击行为特征的脆弱性对系统节点的行为脆弱性进行评估,并以通用漏洞评分系统(common vulnerability scoring system,CVSS)标准做为参照评估系统节点的通联脆弱性;基于上述2个方面的评估,计算系统中各节点的整体脆弱性,并发现目标网络系统在面向APT攻击时的脆弱节点。实验结果表明,所提方法能够对APT攻击行为特征进行合理量化,对系统节点的脆弱性进行有效评估,在APT攻击检测率上有较好表现。

军事网络APT攻击防御体系设计

为提高军事网络防御高级持续性威胁(APT)攻击能力,确保军事网络重要设施和信息安全,设计了应对APT攻击的安全防御体系。在分析APT攻击特点、步骤和方法的基础上,构建了军事网络应对APT攻击的多级防御模型,针对入侵、潜伏和破坏等3个防御APT攻击的关键环节,设计了有效的防御系统,提出了具体的防御方法。测试结果表明,设计的防御体系能够主动发现军事网络中的APT攻击,并且及时进行阻止,从而保证军事网络的安全运行。

浅谈APT组织在网络攻击中的发展演变

近年来,世界各国、各组织对网络空间安全的重视程度不断升级,国家间的网络安全对抗战愈演愈烈,APT组织数量增多、攻击对象和攻击范围不断扩大。本文以Lazarus、APT28、OceanLotus等典型APT组织为例,从组织规模、攻击对象、攻击技术等方面分析了APT组织在网络攻击中的发展演变,以期增强我国网络攻击的风险意识,提高我国应对网络攻击的能力。

用户异常行为分析方法研究与应用

为了应对高级持续性威胁(APT)攻击造成的威胁,解决传统基于规则的分析方法对用户异常行为检测的误报与漏报问题,提高用户异常行为检测效果,通过采集用户行为日志生成用户操作行为矩阵,并通过模型定义方式对用户行为进行相似度分析。采用容忍度测算、突变测算、差值测算与峰值测算方法,分析与发现用户异常访问。基于用户画像的异常行为分析方法结合了用户操作行为特征及角色定义,利用用户行为日志历史信息勾勒出用户行为画像,使系统能准确、实时地判断用户行为异常,提高了对异常行为的实时检测与快速响应能力。