APT检测及防御

近年来,APT攻击事件频发。由于APT攻击的针对性、隐蔽性以及攻击成功后对企业、政府、科研机构的危害巨大,因此对APT攻击的关注越来越多。文章专注于APT检测及防御技术,首先列举了几个典型的APT攻击事件,用实例来说明APT攻击的危害;其次阐述了APT攻击的五个阶段及特点,基于APT的攻击流程及特点,列举了现在主流的五种检测方案;最后从技术和管理两个方面提出了APT防御的技术和方法。

基于溯源图和注意力机制的APT攻击检测模型构建

针对现有攻击检测方法难以应对持续时间长、攻击手段复杂隐蔽的高级持续威胁的问题,构建了基于注意力机制和溯源图的APT攻击检测模型。首先,基于系统的审计日志构建能够描述系统行为的溯源图;其次,设计优化算法,确保在不牺牲关键语义的前提下缩减溯源图规模;再次,利用深度神经网络(DNN)将原始攻击序列转换为语义增强的特征向量序列;最后,设计并实现了APT攻击检测模型DAGCN,该模型将注意力机制应用于溯源图序列,利用该机制对输入序列的不同位置分配不同的权重并进行权值计算,能够提取较长时间内的持续攻击的序列特征信息,从而有效地识别恶意节点,还原攻击过程。该模型在识别精确率等多个指标上均优于现有模型,在公开的APT攻击数据集上的实验结果表明,该模型在APT攻击检测中的精确率达到93.18%,优于现有主流检测模型。

面向5G网络的APT攻击检测系统研究

5G网络在承载更多的社会资产、服务和责任的同时,必然会遭受更多的恶意攻击,尤其是高级持续性威胁(Advanced Persistent Threat,APT)攻击。如何保障5G资产安全及网络正常运作,是5G网络首要解决的问题。APT攻击极强的目标性和隐藏性使得传统检测技术无法有效识别。大数据、机器学习等新技术的日益成熟,为新型攻击检测技术的发展带来了机遇。在深入理解5G网络威胁的内涵与特征基础上,提出了面向5G网络的APT攻击检测系统。该系统首先对5G网络流量进行统计分析,建立流量常态模型,用以区分异常流量;然后结合机器学习技术从异常流量中识别出攻击行为。该攻击检测模型通过与传统网络安全设施共享联动,可以取得良好的攻击流量识别防御效果。

基于异构溯源图学习的APT攻击检测方法

APT攻击(Advanced Persistent Threat),指黑客组织对目标信息系统进行的高级持续性的网络攻击。APT攻击的主要特点是持续时间长和综合运用多种攻击技术,这使得传统的入侵检测方法难以有效地对其进行检测。现有大多数APT攻击检测系统都是在整理各类领域知识(如ATT&CK网络攻防知识库)的基础上通过手动设计检测规则来实现的。然而,这种方式智能化水平低,扩展性差,且难以检测未知APT攻击。为此,通过操作系统内核日志来监测系统行为,在此基础上提出了一种基于图神经网络技术的智能APT攻击检测方法。首先,为捕捉APT攻击多样化攻击技术中的上下文关联,将操作系统内核日志中包含的系统实体(如进程、文件、套接字)及其关系建模成一个溯源图(Provenance Graph),并采用异构图学习算法将每个系统实体表征成一个语义向量。然后,为解决APT攻击长期行为造成的图规模爆炸问题,提出了一种从大规模异构图中进行子图采样的方法,在此基础上基于图卷积算法对其中的关键系统实体进行分类。最后,基于两个真实的APT攻击数据集进行了一系列的实验。实验结果表明,提出的APT攻击检测方法的综合性能优于其他基于学习的检测模型以及最先进的基于规则的APT攻击检测系统。

APT检测系统应用分析

本文分析了目前盛行的APT攻击行为类型及危害,介绍了现有的APT检测系统以及系统检测原理,并与以往常规网络安全检测类安全产品进行比对,对APT检测系统的优势做了简明扼要的概述。

基于通信特征的APT攻击检测方法

高级持续性威胁(APT)已经在全球范围内产生了严重的危害,APT攻击检测已经成为网络安全防护领域的重点。由于APT具有攻击手段多样,持续时间长等特点,传统的检测技术已经起不到理想的效果。利用从国际安全公司报告中提取的APT通信特征,提出了一种基于通信特征的APT攻击检测方法。为了提高该方法的检测效果,还提出了利用bloom filter对报文进行快速筛选和精确匹配相结合的双层通信特征匹配算法。实验结果表明,该方法具有较高的检测率和较低的误报率。

基于样本特征强化的APT攻击多阶段检测方法

针对高级持续性威胁(APT)攻击检测方法普遍缺乏对APT攻击多阶段流量特征多样性的感知,对持续时间较长的APT攻击序列检测效果不佳且难以检测处于不同攻击阶段的多类潜在APT攻击等不足,提出一种基于样本特征强化的APT攻击多阶段检测方法。首先,根据APT攻击特点,将恶意流量划分至不同攻击阶段并构建APT攻击标识序列。其次,通过序列生成对抗网络模拟生成APT攻击多个阶段的标识序列,增加不同阶段序列样本数量实现样本特征强化并提高多阶段样本特征的多样性。最后,提出一种多阶段检测网络模型,基于多阶段感知注意力机制对提取的多阶段流量特征与标识序列进行注意力计算,得到阶段特征向量,并作为辅助信息与标识序列进行拼接操作,增强检测模型对不同阶段感知能力并提高检测精度。实验结果表明,所提方法在2个基准数据集上均有良好的检测效果,对多类潜在APT攻击的检测效果优于其他模型。

面向APT攻击的关联分析检测模型研究

近年来随着Flame、Duqu以及Stuxnet等病毒攻击的曝光,高级持续性威胁(APT)攻击已引起社会各界的广泛重视。APT攻击相比传统攻击具有目标性、持续性、隐蔽性以及复杂性,具有很强的破坏性,造成的攻击后果十分严重。然而,由于APT攻击方式多样化,具有很强的隐蔽性,传统的防护机制,包括防火墙、杀毒软件、入侵检测等很难发现APT攻击,或者发现时可能已经完成了攻击目的。在研究APT攻击特性的基础上建立APT攻击检测模型;同时设定时间窗,对多种攻击检测方法得到的攻击事件进行关联分析,并与APT攻击检测模型进行路径匹配,通过攻击路径的匹配度来判断系统受到的攻击中是否存在APT攻击。实验表明,在攻击检测模型相对完整的情况下,对APT攻击的检测能够达到较高的准确率。

基于沙箱的恶意文件与APT攻击检测方法改进研究

本文对基于沙箱技术的恶意文件与APT攻击检测方法进行了研究,并提出一种轻量级多元融合检测方法。该方法利用虚拟机技术结合内核驱动实现轻量化的容器,在一个虚拟机中同时对多个可疑文件进行检测,互不干扰,达到快速检测的目的;通过加强沙箱逃逸对抗,提高检出率。此方法可以采集和分析网络流量,识别其中的可疑C&C IP/URL,根据APT攻击各个阶段的行为特征,从多个维度进行深层次的分析检测。测试结果表明,本文方法大大提高了恶意文件检测速率和检出比例,有效降低检测结果误报比率。

欧盟网络防御政策研究

欧盟于2013年提出制定网络防御政策,于2022年底发布《欧盟网络防御政策》联合公报,持续深化并实施其网络防御政策.首先从联合开展网络防御的必要性、态势感知在网络防御中的作用、多层面推动网络防御合作等方面总结了欧盟联合公报的主要观点;然后从深化网络防御政策、落实网络防御政策、协同合作保护关键基础设施安全等方面深入分析了欧盟网络防御政策的特点;最后给出了加强我国关键基础设施安全的3点启示和建议.

APT攻击检测在大数据分析中的应用

互联网技术为大众带来方便,隐性的网络危险却在暗处一直伺机对用户计算机进行攻击。APT攻击(高级可持续性威胁)是一种新的黑客攻击方法,与传统病毒相比,其具有攻击持续性、高隐蔽性、长期潜伏等特性,因而传统病毒防护技术难以对其进行有效检测与防护,并且会耗费大量时间、人力成本。因而,为了动态监测APT攻击,文中在研究APT进攻特征和方式的基础上,基于大数据技术提出一种能够有效提高APT攻击检测效率的系统方案。实验结果表明,该预测模型能够有效地对攻击目标进行预警,具有较好的扩展性和实用性。

人工智能的安全隐患及其实际应用

近年来,人工智能技术在国内应用范围越来越广泛,涉及智能家居、无人驾驶、网络安全等多个领域。然而人工智能并非只有优点,其在实际应用中也表现出了不少安全隐患。本文以网络安全领域为例,对人工智能在该领域中的应用情况进行了介绍,同时指出了人工智能技术存在的安全隐患,为人工智能技术提供了未来改进优化的可能方向。

人工智能在网络安全领域的应用及技术综述

与发达国家相比,我国在人工智能领域的基础研究和技术应用方面起步比较晚,特别是人工智能在网络安全这个重要领域的应用,国内外的差距还非常明显,从而严重影响了我国网络空间安全能力水平的提升.本文详细阐述了人工智能与网络攻击、网络防御之间的关系,广泛调研了国内外主流信息安全公司在人工智能方面的应用现状,提出了APT检测、0Day漏洞挖掘、云安全是影响网络空间安全能力水平的3大核心领域,深入分析了人工智能技术分别在这3个领域应用的关键技术,并提出了人工智能技术存在的安全隐患,指出人工智能技术并非包治百病的灵丹妙药,为下一步我国信息安全行业如何深度研究和应用人工智能技术提供了科学的参考依据.

ETW在APT进程检测中的应用场景

本文介绍Windows系统内置的Event Tracing for Windows(ETW)架构及其在APT进程检测上的用途。并提出了一种基于ETW技术的APT检测方案,该方案使用ETW作为数据源,记录进程的文件系统操作、网络通信等行为并做进一步分析,从而标记可疑的APT进程。

基于序列特征提取的溯源图上APT攻击检测方法

在真实场景,特别是工业场景下的高级持续性威胁(advanced persistent threat,APT)具有复杂性和长期性,但当前方法无法有效提取攻击中的长期关联关系.针对这一问题,本文提出一种基于溯源图的APT攻击检测方法SeqNet.SeqNet采用序列特征提取方式,实现APT攻击检测.在SeqNet中,首先将描述系统运行状态的溯源图序列转化为特征向量序列,然后使用GRU(gate recurrent unit)模型提取系统状态变化特征,并使用结合局部注意力机制的编解码器模型训练GRU模型,最后利用K-means聚类方法对系统正常行为进行建模.本文在5个公开数据集StreamSpot,wget,shellshock,ClearScope和CADETS上进行了实验,并与当前具有代表性的方法进行了对比.本文方法在5个数据集上都取得了相似或更好的效果.实验结果证明本文方法能够实现真实场景下的APT攻击检测.

网络安全分析中的大数据技术应用的探讨

随着计算机、智能手机逐渐成为我国民众标配,近年来我国网络环境日趋复杂化,而受云技术、虚拟化技术影响,网络边界、主机边界出现的动态和模糊也必须得到关注,基于此,文章简单分析了网络安全分析中的大数据技术,并详细论述了大数据技术在网络安全分析中的具体应用,希望由此能够为相关业内人士带来一定启发。

APT攻击检测与防御

近些年网络安全事件频频发生，安全威胁发生了很大变化，尤其是高级持续性威胁（简称APT）有愈演愈烈之势，使得传统的安全防御工具已难以对其进行有效的防御。自2010年Google承认遭受严重黑客攻击之后，APT高级持续性威胁便成为信息安全圈子人尽皆知的“时髦名词”，当然对于像Google、RsA、Comodo等深受其害的公司而言APT无疑是一场噩梦，噩梦的结果便是对现有安全防御体系的深入思考。而“棱镜”事件警示我们，我国在信息安全领域急需自主可控，对付APT攻击同样如此。本文作者将从所从事的信息安全领域工作出发，通过大量的APT产品测试和分析，阐述针对APT攻击如何进行有效检测和防御。

基于云平台下APT攻击检测与防御技术

云平台在政企行业得到了快速的发展和普及应用,为了保证云平台的安全,需要结合云平台特点有效检测出APT攻击,并且主动采取防御措施.