因果图表征的网络攻击数据集构建

高级可持续威胁攻击因其多阶段可持续的特性,已经成为现阶段网络攻击的主要形式。针对此类型攻击的检测、预测研究,不可避免地需要相关数据集的支撑。在构建数据集时,往往需要真实的网络与主机数据。但出于隐私与安全的考虑,很少有满足要求的开源数据集。现有的数据集也往往只提供原始的网络流和日志数据,对长时攻击上下文解析的缺乏导致单纯地利用神经网络进行数据包的恶性甄别和预测的实用性不足。为了解决这些问题,该文基于网络环境的真实攻击过程数据,构建并公布了一个基于因果图的网络攻击数据集。与传统的原始网络流和日志数据集相比,该数据集充分挖掘了攻击上下文中的因果关系,可以跨长时域对高级可持续威胁攻击进行建模,方便研究人员进行攻击检测与预测的研究。该数据集开源在https://github.com/GuangmingZhu/CausalGraphAPTDataset上。

SCADA系统通信网中的高级持续性攻击检测方法

高级持续性攻击(advanced persistent threat,APT)作为一种新型攻击,已成为SCADA(supervisory control and data acquisition)系统安全面临的主要威胁,而现有的入侵检测技术无法有效应对这一类攻击,因此研究有效的APT检测模型具有重要的意义。提出了一种新的APT攻击检测方法,该方法在正常日志行为建模阶段改进了对行为模式的表示方式,采用多种长度不同的特征子串表示行为模式,通过基于序列模式支持度来建立正常日志行为轮廓;在充分考虑日志事件时序特征的基础上,针对APT攻击行为复杂多变的特点,提出了基于矩阵相似匹配和判决阈值联合的检测模型。通过对比研究,该检测方法表现出了良好的检测性能。

结合动态行为和静态特征的APT攻击检测方法

针对APT攻击网络流量难以获得,模拟的数据与现实又很难匹配的问题,提出了一种基于动态行为和静态特征结合的APT攻击检测方法。采用Noriben沙箱提取待测软件的进程行为、文件行为、注册表行为和网络行为构建动态行为特征集,基于Transformer-Encoder算法识别APT恶意软件的准确率达到了95.8%。对识别出的APT恶意软件进行组织分类,提取软件调用的DLL(dynamic link library)和API(application programming interface),并组合成DLL:API的特征形式,将1D-CNN(one dimensional convolutional neural networks)算法应用于APT恶意软件组织分类的准确率达到了98.7%,比之前的方法提高了5个百分点。与热门的深度学习算法和机器学习算法的实验效果做对比,数据表明,提出的方法相比其他方法,准确率有较大提升。

高级隐遁攻击的技术特点研究

通过深入浅出地介绍高级隐遁攻击采用的主要技术方法,使读者进一步了解采用高级隐遁技术进行网络攻击的技术内涵和现有网络安全设备的检测防护能力的缺陷,供从事信息安全建设的单位和同行参考。

高级持续性威胁攻击取证分析调查作业程序之研究

高级持续性威胁攻击（Advanced Persistent Threat，APT）／目标攻击，是全球各地具备创造力、灵活力的网络犯罪分子针对网络基础设施，以不断翻新、随时在线待命、高级持续的专业攻击工具，进行的网络攻击手法。情报搜集与窃取数据，是所有APT的共同目的，传统的网络安全防御技术对未发觉、多元且复杂的APT威胁并无侦测能力，将遭受APT攻击的风险推到前所未有的高度，APT吓是现今组织所面临的最大威胁之一。循以数字证据分析取证标准作业程序：搜集-保全-分析-结果呈现，首先对APT攻击行为进行静态分析：再对APT攻击进行深入的动态分析，探讨数字证据取证处理程序，研制有关APT攻击数字证据取证的处理程序及规则；最后，将数字取证设备及取证软件为主要的取证工具，让取证人员能够运用此取证程序与取证工具，即可完成取证工作，了解APT威胁攻击态样，为日后的调查分析提供数字证据，补强数字证据取证调查的完整性、一致性和精确性。

格式化串读写攻击的利用和动态防御技术

首先给出了格式化串读写越界的定义,然后给出了格式化串攻击的利用,最后提出了一种动态防御格式化串攻击的技术。

针对手机的APT攻击方式的研究

自2007年以来,高级持续威胁(advanced persistent threat,APT)攻击不断被发现。例如,2009年的Ghost Net攻击专门盗取各国大使馆、外交部等政府机构以及银行的机密信息,两年内就已渗透到至少103个国家的1295台政府和重要人物的电脑中;2010年6月,Stuxnet首次被发现,是已知的第一个以关键工业基础设施为目标的蠕虫,其感染并破坏了伊朗纳坦兹核设施,并最终使伊朗布什尔核电站推迟启动;2011年9月发现的Duqu病毒用于从工业控制系统制造商收集情报信息,目前已监测到法国、荷兰、瑞士及印度等8个国家的6家组织受到该病毒感染。APT攻击已经成为近几年给国家、社会、企业、组织及个人造成重大损失和影响的攻击形式。文章首先介绍APT攻击的定义,之后给出APT攻击的技术特点,最后介绍目前APT攻击中针对手机的最新攻击方式,以提高人们应对此类攻击的防范意识。

高级持续性威胁及其重构研究进展与挑战

高级持续威胁攻击指针对高价值目标发起的长期的定制攻击,会在不同主机上留下零散的痕迹,同时攻击者会使用各种技术将自己的行动隐藏在正常系统活动之中,因此难以被分析人员观测到.为了对其进行分析并采取对策,需要开发新一代的威胁检测与攻击重构工具,使分析人员能够快速确定是否有重大入侵,了解攻击者破坏系统安全的过程,并确定攻击的影响.其中因果关系分析是很受关注的一种手段,拥有较强的鲁棒性.首先简要介绍了高级持续威胁攻击,然后讨论了依赖因果关系分析的攻击重构基本方案,重点分析了基于异常分析、启发式和图形分析方法的威胁检测与攻击重构方案,并对现有的方案进行了评估,分析了当前攻击重构系统面临的挑战,最后对攻击重构潜在的研究方向进行了讨论和展望.

基于攻击图的APT脆弱节点评估方法

高级可持续性威胁(advanced persistent threat,APT)具有行为隐蔽性强、攻击周期持久的特点,增加了攻击检测的难度。据此,引入攻击图理论评估网络系统在APT攻击下的脆弱节点,提出了一种基于攻击图的APT脆弱节点评估方法,有效地提高了发现攻击的概率。对APT攻击行为的异常特征进行提取和定义,对目标网络系统建立风险属性攻击图(risk attribute attack graph,RAAG)模型;基于APT攻击行为特征的脆弱性对系统节点的行为脆弱性进行评估,并以通用漏洞评分系统(common vulnerability scoring system,CVSS)标准做为参照评估系统节点的通联脆弱性;基于上述2个方面的评估,计算系统中各节点的整体脆弱性,并发现目标网络系统在面向APT攻击时的脆弱节点。实验结果表明,所提方法能够对APT攻击行为特征进行合理量化,对系统节点的脆弱性进行有效评估,在APT攻击检测率上有较好表现。

我国防护特种网络攻击技术现状

文章就信息安全业界一直热议的"APT攻击"焦点话题,在2013年底开展了一项专题调研。作者走访了十余家国内知名的信息安全专业公司,与信息安全科研一线的技术和管理人员进行了深入的技术交流和探讨。文章着重介绍了部分信息安全公司在防护特种网络攻击技术方面的现状,以期对从事信息安全建设的单位和同行有所启迪。

Hadoop安全及攻击检测方法

Hadoop作为当前热门的大数据处理框架,其安全性成为关注的重点。针对Hadoop的安全问题进行分析研究并提出解决方法。首先,从Hadoop的核心组件出发,分析其结构和运行存在的安全威胁;其次,归纳总结当前Hadoop的安全机制和安全组件,对平台各个组件进行安全性统计并分析安全机制下Hadoop平台存在的安全问题;最后,提出当前Hadoop平台遭受的网络攻击威胁,并针对性地总结了攻击检测方法。解决Hadoop平台的安全问题并提高安全性应全面完善安全机制、追踪并发现潜在问题、开发安全组件及研究新型攻击检测方法。

基于阶段特性的APT攻击行为分类与评估方法

APT攻击行为的复杂多样性增加了攻击检测的难度,这也正是当前APT攻击研究的难点之一。基于现有研究,提出基于阶段特性的APT攻击行为分类与评估方法。通过学习理解APT攻击的概念,对APT攻击的阶段特征进行总结;以各攻击阶段的目的为依据,对APT攻击行为进行细粒度划分,形成APT攻击行为分类框架;基于各类攻击行为的特点,提取影响APT攻击性能的关键因素,设计相应的量化评估方法,为攻击行为的选取与检测提供指导。通过对实验结果进行分析,所提方法能够真实地反映攻击的实际情况,具有较好的有效性和准确性。

面向分布式网络结构的APT攻击双重博弈模型

针对目前分布式网络结构缺少防御高级持续威胁(APT)攻击的安全理论模型问题,提出了一种基于纳什均衡理论和节点博弈的博弈模型。首先,通过APT攻击常用手段和分布式网络结构的特点,分析判断攻击者可能采取的攻击路径并提出网络安全防御框架;其次,通过节点博弈计算漏洞风险系数,在纳什均衡理论的基础上建立基于攻击路径的博弈模型(OAPG),计算攻防双方收益均衡点,分析攻击者最大收益策略,进而提出防御者最优防御策略;最后,用一个APT攻击实例对模型进行验证。计算结果表明,所提模型能够从APT攻击路径对网络攻防双方进行理性分析,为使用分布式网络的机构提供一种合理的防御思路。

军事网络APT攻击防御体系设计

为提高军事网络防御高级持续性威胁(APT)攻击能力,确保军事网络重要设施和信息安全,设计了应对APT攻击的安全防御体系。在分析APT攻击特点、步骤和方法的基础上,构建了军事网络应对APT攻击的多级防御模型,针对入侵、潜伏和破坏等3个防御APT攻击的关键环节,设计了有效的防御系统,提出了具体的防御方法。测试结果表明,设计的防御体系能够主动发现军事网络中的APT攻击,并且及时进行阻止,从而保证军事网络的安全运行。

浅谈APT组织在网络攻击中的发展演变

近年来,世界各国、各组织对网络空间安全的重视程度不断升级,国家间的网络安全对抗战愈演愈烈,APT组织数量增多、攻击对象和攻击范围不断扩大。本文以Lazarus、APT28、OceanLotus等典型APT组织为例,从组织规模、攻击对象、攻击技术等方面分析了APT组织在网络攻击中的发展演变,以期增强我国网络攻击的风险意识,提高我国应对网络攻击的能力。

软件定义安全模型与架构浅析

目前大多数企业已经部署了基于策略访问控制的信息安全防御体系,但是随着云计算环境部署和网络攻击技术的发展,安全正成为云计算环境下亟待解决的重要问题,诸如能轻而易举地绕过传统防火墙、突破基于黑/白名单与特征匹配的安全防御机制等高级持续性攻击,给传统安全体系带来了新的挑战。分析了传统紧耦合安全防御体系在虚实结合网络环境下面临的问题,提出了软件定义安全的模型及其框架下的关键技术,实现了虚拟的和物理的网络安全设备与它们的接入模式、部署位置解耦合,为企业云计算环境下自适应的主动安全防护提供了有益的探索。

基于大数据分析的APT防御方法

大数据时代下,将大数据分析技术引入高级可持续性攻击防御体系是必然趋势.充分考虑高级可持续性攻击防护框架的需求,充分考虑所有可能的攻击模式和防护方法,基于大数据分析技术提出了一个参考性的APT防护框架.利用大数据技术对监控检测数据进行深度关联分析,不仅能够综合分析目标系统是否存在被攻击的风险,实现事前预警,也可对当前受到的攻击威胁进行综合研判,更加准确地理解意图和反向追踪,从而及时采取相关的策略阻止攻击,实现事中阻断;还可同时对安全审计信息进行大数据分析,根据追踪路径重现数据的历史状态和演变过程,实现事后审计溯源.

实战化主动防御下的威胁狩猎实践

在网络攻击手段呈现多样化、攻击者驻留时间越来越长、高级威胁越来越难检测的大背景下,主动防御变得越发重要。攻击者成功绕过边界安全防御并渗透到网络内部后,网络内部并没有先进的检测能力消除现有的高级攻击,此时,威胁狩猎就成为防御策略中的重要组成部分。文章在网络安全实战化防御过程中,通过威胁狩猎实践发现传统安全工具未检测到的攻击行为,并减少了攻击者在网络内部环境中的驻留时间。

用户异常行为分析方法研究与应用

为了应对高级持续性威胁(APT)攻击造成的威胁,解决传统基于规则的分析方法对用户异常行为检测的误报与漏报问题,提高用户异常行为检测效果,通过采集用户行为日志生成用户操作行为矩阵,并通过模型定义方式对用户行为进行相似度分析。采用容忍度测算、突变测算、差值测算与峰值测算方法,分析与发现用户异常访问。基于用户画像的异常行为分析方法结合了用户操作行为特征及角色定义,利用用户行为日志历史信息勾勒出用户行为画像,使系统能准确、实时地判断用户行为异常,提高了对异常行为的实时检测与快速响应能力。

蜜罐系统与安管平台联动结合的研究与实践

在信息安全分析和管理领域,企业和组织安装部署了多种信息安全和检测设备。通过这些安全设备和系统,尤其是通过SOC定期收集与安全相关的数据并进行综合关联分析,以发现网络中的威胁事件。蜜罐技术由来已久,其主要是用于部署易受攻击的系统,吸引黑客攻击,记录其非法操作行为,用于延缓攻击速度与取证的安全设备。通过蜜罐与SOC平台的结合,从传统的被动性安全防护变为主动性安全技术防御,利用蜜罐学习黑客的攻防方式,通过SOC平台进行自动检查。基于此,对蜜罐系统与SOC平台联动结合的研究和实践进行论述。