面向APT攻击的溯源和推理研究综述 被引量：4

1

作者 杨秀璋 彭国军 +3 位作者 刘思德 田杨 李晨光 傅建明 《软件学报》 北大核心 2025年第1期203-252,共50页

高级可持续性威胁(advanced persistent threat,APT)是一种新型网络攻击,具有极强的组织性、隐蔽性、持续性、对抗性和破坏性,给全球网络安全带来严重危害.传统APT攻击防御倾向于构建模型检测攻击的恶意性或识别家族类别,以被动防御为主... 高级可持续性威胁(advanced persistent threat,APT)是一种新型网络攻击,具有极强的组织性、隐蔽性、持续性、对抗性和破坏性,给全球网络安全带来严重危害.传统APT攻击防御倾向于构建模型检测攻击的恶意性或识别家族类别,以被动防御为主,缺乏全面及深入地梳理APT攻击溯源和推理领域的工作.基于此,围绕APT攻击的溯源和推理的智能化方法开展综述性研究.首先,提出APT攻击防御链,有效地将APT攻击检测、溯源和推理进行区分和关联;其次,详细比较APT攻击检测4个任务的相关工作;然后,系统总结面向区域、组织、攻击者、地址和攻击模型的APT攻击溯源工作;再次,将APT攻击推理划分为攻击意图推理、攻击路径感知、攻击场景还原、攻击阻断和反制这4个方面,对相关研究进行详细总结和对比;最后,讨论APT攻击防御领域的热点主题、发展趋势和挑战. 展开更多

关键词 高级可持续威胁 网络安全 攻击溯源 攻击推理 人工智能

在线阅读 下载PDF 职称材料

高级持续性威胁检测与分析方法研究进展 被引量：1

2

作者 季一木 张嘉铭 +4 位作者 杨倩 杜宏煜 邵思思 张俊杰 刘尚东 《南京邮电大学学报(自然科学版)》 北大核心 2025年第1期1-11,共11页

高级持续性威胁(Advanced Persistent Threat,APT)检测分析是网络安全领域的一个研究热点。APT检测与分析仍然面临着许多挑战,对当前研究进行归纳梳理,总结了APT检测与分析方法研究进展。首先,分析APT攻击威胁建模方法。其次,梳理代表性... 高级持续性威胁(Advanced Persistent Threat,APT)检测分析是网络安全领域的一个研究热点。APT检测与分析仍然面临着许多挑战,对当前研究进行归纳梳理,总结了APT检测与分析方法研究进展。首先,分析APT攻击威胁建模方法。其次,梳理代表性的APT攻击检测方法,包括基于主机和基于网络的相关研究。然后,总结APT攻击分析方法,介绍了攻击溯源与攻击行为推理相关研究。最后,展望未来APT攻击检测与分析的研究方向,以便研究人员了解当前研究现状和拓展研究思路。 展开更多

关键词 高级持续威胁 攻击发现 攻击溯源 攻击推理

在线阅读 下载PDF 职称材料

一种应对APT攻击的安全架构:异常发现 被引量：20

3

作者 杜跃进 翟立东 +1 位作者 李跃 贾召鹏 《计算机研究与发展》 EI CSCD 北大核心 2014年第7期1633-1645,共13页

威胁是一种对特定系统、组织及其资产造成破坏的潜在因素,反映的是攻击实施者依照其任务需求对被攻击对象长期持续地施以各种形式攻击的过程.面对高级可持续威胁(advanced persistent threat,APT),在其造成严重经济损失之前,现有的安全... 威胁是一种对特定系统、组织及其资产造成破坏的潜在因素,反映的是攻击实施者依照其任务需求对被攻击对象长期持续地施以各种形式攻击的过程.面对高级可持续威胁(advanced persistent threat,APT),在其造成严重经济损失之前,现有的安全架构无法协助防御者及时发现威胁的存在.在深入剖析威胁的外延和内涵的基础上,详细探讨了威胁防御模型.提出了一种应对APT攻击的安全防御理论架构:异常发现,以立足解决威胁发现的难题.异常发现作为防御策略和防护部署工作的前提,通过实时多维地发现环境中存在的异常、解读未知威胁、分析攻击实施者的目的,为制定具有针对性的应对策略提供必要的信息.设计并提出了基于异常发现的安全体系技术架构:"慧眼",通过高、低位协同监测的技术,从APT攻击的源头、途径和终端3个层面监测和发现. 展开更多

关键词 高级可持续威胁 异常发现 高位监测 低位监测 慧眼

在线阅读 下载PDF 职称材料

基于大数据分析的APT攻击检测研究综述 被引量：87

4

作者 付钰 李洪成 +1 位作者 吴晓平 王甲生 《通信学报》 EI CSCD 北大核心 2015年第11期1-14,共14页

高级持续性威胁(APT,advanced persistent threat)已成为高安全等级网络的最主要威胁之一,其极强的针对性、伪装性和阶段性使传统检测技术无法有效识别,因此新型攻击检测技术成为APT攻击防御领域的研究热点。首先,结合典型APT攻击技术... 高级持续性威胁(APT,advanced persistent threat)已成为高安全等级网络的最主要威胁之一,其极强的针对性、伪装性和阶段性使传统检测技术无法有效识别,因此新型攻击检测技术成为APT攻击防御领域的研究热点。首先,结合典型APT攻击技术和原理,分析攻击的6个实施阶段,并归纳攻击特点;然后,综述现有APT攻击防御框架研究的现状,并分析网络流量异常检测、恶意代码异常检测、社交网络安全事件挖掘和安全事件关联分析等4项基于网络安全大数据分析的APT攻击检测技术的研究内容与最新进展;最后,提出抗APT攻击的系统综合防御框架和智能反馈式系统安全检测框架,并指出相应技术在应对APT攻击过程中面临的挑战和下一步发展方向。 展开更多

关键词 网络安全检测 高级持续性威胁 大数据分析 智能反馈 关联分析

在线阅读 下载PDF 职称材料

Augmenter:基于数据源图的事件级别入侵检测

5

作者 孙鸿斌 王苏 +3 位作者 王之梁 蒋哲宇 杨家海 张辉 《计算机科学》 北大核心 2025年第2期344-352,共9页

近年来,高级可持续威胁(APT)攻击频发。数据源图包含丰富的上下文信息,反映了进程的执行过程,具有检测APT攻击的潜力,因此基于数据源图的入侵检测系统(PIDS)备受关注。PIDS通过捕获系统日志生成数据源图来识别恶意行为。PIDS主要面临3... 近年来,高级可持续威胁(APT)攻击频发。数据源图包含丰富的上下文信息,反映了进程的执行过程,具有检测APT攻击的潜力,因此基于数据源图的入侵检测系统(PIDS)备受关注。PIDS通过捕获系统日志生成数据源图来识别恶意行为。PIDS主要面临3个挑战:高效性、通用性和实时性,特别是高效性。目前的PIDS在检测到异常行为时,一个异常节点或一张异常图就会产生成千上万条告警,其中会包含大量的误报,给安全人员带来不便。为此,提出了基于数据源图的入侵检测系统Augmenter,同时解决上述3个挑战。Augmenter利用节点的信息字段对进程进行社区划分,有效学习不同进程的行为。此外,Augmenter提出时间窗口策略实现子图划分,并采用了图互信息最大化的无监督特征提取方法提取节点的增量特征,通过增量特征提取来放大异常行为,同时实现异常行为与正常行为的划分。最后,Augmenter依据进程的类型训练多个聚类模型来实现事件级别的检测,通过检测到事件级别的异常能够更精准地定位攻击行为。在DARPA数据集上对Augmenter进行评估,通过衡量检测阶段的运行效率,验证了Augmenter的实时性。在检测能力方面,与最新工作Kairos和ThreaTrace相比,所提方法的精确率和召回率分别为0.83和0.97,Kairos为0.17和0.80,ThreaTrace为0.29和0.76,Augmenter具有更高的精确率和检测性能。 展开更多

关键词 高级可持续威胁 数据源图 入侵检测 增量特征 异常行为

在线阅读 下载PDF 职称材料

基于LDA模型的海量APT通信日志特征研究 被引量：3

6

作者 孙名松 韩群 《计算机工程》 CAS CSCD 北大核心 2017年第2期194-200,205,共8页

为实现高级持续性威胁(APT)的通信检测,提出一种对服务器端和主机端日志数据的检测方法。通过建立IP地址数据库,采用DBSCAN聚类算法对海量日志数据进行收集和处理得到异常通信日志。利用高级持续性威胁14种通信特征的隐含狄利克雷分布(L... 为实现高级持续性威胁(APT)的通信检测,提出一种对服务器端和主机端日志数据的检测方法。通过建立IP地址数据库,采用DBSCAN聚类算法对海量日志数据进行收集和处理得到异常通信日志。利用高级持续性威胁14种通信特征的隐含狄利克雷分布(LDA)建模对异常通信日志进行检测。实验结果表明,与潜在语义分析和概率潜在语义分析检测模型相比,LDA建模提高了APT通信检测的效率和准确度。 展开更多

关键词 高级持续性威胁 大数据处理 IP规范 DBSCAN算法 特征描述

在线阅读 下载PDF 职称材料

非对称信息条件下APT攻防博弈模型 被引量：6

7

作者 孙文君 苏旸 曹镇 《计算机应用》 CSCD 北大核心 2017年第9期2557-2562,共6页

针对目前缺少对高级持续威胁(APT)攻击理论建模分析的问题,提出了一种基于Flip It模型的非对称信息条件下的攻防博弈模型。首先,将网络系统中的目标主机等资产抽象为目标资源节点,将攻防场景描述为攻防双方对目标资源的交替控制;然后,... 针对目前缺少对高级持续威胁(APT)攻击理论建模分析的问题,提出了一种基于Flip It模型的非对称信息条件下的攻防博弈模型。首先,将网络系统中的目标主机等资产抽象为目标资源节点,将攻防场景描述为攻防双方对目标资源的交替控制;然后,考虑到攻防双方在博弈中观察到的反馈信息的不对称性以及防御效果的不彻底性,给出了在防御者采取更新策略时攻防双方的收益模型及最优策略的条件,同时给出并分别证明了达到同步博弈与序贯博弈均衡条件的定理;最后通过数例分析了影响达到均衡时的策略及防御收益的因素,并比较了同步博弈均衡与序贯博弈均衡。结果表明周期策略是防御者的最优策略,并且与同步博弈均衡相比,防御者通过公布其策略达到序贯博弈均衡时的收益更大。实验结果表明所提模型能够在理论上指导应对隐蔽性APT攻击的防御策略。 展开更多

关键词 博弈论 非对称信息 网络攻击 高级持续威胁 网络安全

在线阅读 下载PDF 职称材料

APT攻击分层表示模型 被引量：8

8

作者 谭韧 殷肖川 +1 位作者 廉哲 陈玉鑫 《计算机应用》 CSCD 北大核心 2017年第9期2551-2556,共6页

针对攻击链模型攻击阶段划分过细且无法表示攻击手段的问题,提出了一种高级可持续性威胁(APT)攻击分层表示模型(APT-HARM)。通过总结分析大量公开的APT事件报告和参考APT攻击链模型与分层攻击表示模型(HARM),将APT攻击分为攻击链和攻击... 针对攻击链模型攻击阶段划分过细且无法表示攻击手段的问题,提出了一种高级可持续性威胁(APT)攻击分层表示模型(APT-HARM)。通过总结分析大量公开的APT事件报告和参考APT攻击链模型与分层攻击表示模型(HARM),将APT攻击分为攻击链和攻击树上下两层,并将其形式化定义。首先,将APT攻击分为由侦察、渗透、行动和撤出四个阶段组成的攻击链,并研究了各阶段特点;然后,研究各阶段中采取的攻击手段,并依据其逻辑关系组成攻击树。APT攻击按照攻击链分阶段依次进行,各阶段按照攻击树流程依次执行。案例分析表明,本模型相较攻击链模型具有粒度划分合理、攻击描述完备准确的优点。APT-HARM形式化地定义了APT攻击,为APT攻击的预测和防范提供了一种思路。 展开更多

关键词 高级可持续性威胁 攻击链 攻击树 分层攻击表示模型

在线阅读 下载PDF 职称材料

基于通信特征的APT攻击检测方法 被引量：9

9

作者 戴震 程光 《计算机工程与应用》 CSCD 北大核心 2017年第18期77-83,共7页

高级持续性威胁(APT)已经在全球范围内产生了严重的危害,APT攻击检测已经成为网络安全防护领域的重点。由于APT具有攻击手段多样,持续时间长等特点,传统的检测技术已经起不到理想的效果。利用从国际安全公司报告中提取的APT通信特征,提... 高级持续性威胁(APT)已经在全球范围内产生了严重的危害,APT攻击检测已经成为网络安全防护领域的重点。由于APT具有攻击手段多样,持续时间长等特点,传统的检测技术已经起不到理想的效果。利用从国际安全公司报告中提取的APT通信特征,提出了一种基于通信特征的APT攻击检测方法。为了提高该方法的检测效果,还提出了利用bloom filter对报文进行快速筛选和精确匹配相结合的双层通信特征匹配算法。实验结果表明,该方法具有较高的检测率和较低的误报率。 展开更多

关键词 apt检测 特征提取 特征匹配 BLOOM FILTER

在线阅读 下载PDF 职称材料

结合动态行为和静态特征的APT攻击检测方法 被引量：5

10

作者 梁鹤 李鑫 +1 位作者 尹南南 李超 《计算机工程与应用》 CSCD 北大核心 2023年第18期249-259,共11页

针对APT攻击网络流量难以获得,模拟的数据与现实又很难匹配的问题,提出了一种基于动态行为和静态特征结合的APT攻击检测方法。采用Noriben沙箱提取待测软件的进程行为、文件行为、注册表行为和网络行为构建动态行为特征集,基于Transform... 针对APT攻击网络流量难以获得,模拟的数据与现实又很难匹配的问题,提出了一种基于动态行为和静态特征结合的APT攻击检测方法。采用Noriben沙箱提取待测软件的进程行为、文件行为、注册表行为和网络行为构建动态行为特征集,基于Transformer-Encoder算法识别APT恶意软件的准确率达到了95.8%。对识别出的APT恶意软件进行组织分类,提取软件调用的DLL(dynamic link library)和API(application programming interface),并组合成DLL:API的特征形式,将1D-CNN(one dimensional convolutional neural networks)算法应用于APT恶意软件组织分类的准确率达到了98.7%,比之前的方法提高了5个百分点。与热门的深度学习算法和机器学习算法的实验效果做对比,数据表明,提出的方法相比其他方法,准确率有较大提升。 展开更多

关键词 高级持续性威胁(apt)攻击 动态行为 静态特征 Transformer-Encoder 1D-CNN

在线阅读 下载PDF 职称材料

APT攻击详解与检测技术 被引量：7

11

作者 贺诗洁 黄文培 《计算机应用》 CSCD 北大核心 2018年第A02期170-173,182,共5页

高级持续性威胁(APT)以窃取特定目标的机密情报或者是破坏计算机系统为目的,严重威胁着企业、社会甚至是国家层面的信息安全。针对现有APT攻击检测技术不能完全有效地检测出APT攻击的问题,提出了APT攻击的检测思路。首先,从定义和实际... 高级持续性威胁(APT)以窃取特定目标的机密情报或者是破坏计算机系统为目的,严重威胁着企业、社会甚至是国家层面的信息安全。针对现有APT攻击检测技术不能完全有效地检测出APT攻击的问题,提出了APT攻击的检测思路。首先,从定义和实际情况出发对APT攻击的特征进行了总结,围绕APT攻击的生命周期详细分析了APT攻击的过程,并列举了常用的技术手段;然后,归纳了传统检测技术在应对APT攻击时的困难之处,总结了目前APT攻击检测技术以及它们的优缺点;最后,提出了检测APT攻击的思路。对APT攻击的检测应充分考虑对未知威胁的检测、对APT攻击的判断、对部分历史数据的分析以及实时性检测。 展开更多

关键词 高级持续性威胁 信息安全 检测技术 命令与控制通信 未知威胁

在线阅读 下载PDF 职称材料

高等级安全网络抗APT攻击方案研究 被引量：9

12

作者 李凤海 李爽 +1 位作者 张佰龙 宋衍 《信息网络安全》 2014年第9期109-114,共6页

文章在分析高安全等级网络所面临的APT攻击风险基础上,简述了高安全等级网络抗APT攻击方案的主要思想,阐述了高安全等级网络抗APT攻击方案设计,并提出了高安全等级网络抗APT攻击的思想和策略。

关键词 高安全等级网络 高级持续性威胁 apt攻击

在线阅读 下载PDF 职称材料

APT样本逻辑表达式生成算法 被引量：3

13

作者 杜镇宇 李翼宏 张亮 《计算机工程与应用》 CSCD 北大核心 2018年第1期1-10,共10页

深入研究已知APT攻击事件,以威胁情报共享理论为基础,提出一种APT样本逻辑表达式生成算法IOCG。该算法能够自动生成可机读的IOCs,解决现有IOC的逻辑关系固定,逻辑项个数不变,规模庞大以及无法对一类样本生成表达式的局限性。同时能够减... 深入研究已知APT攻击事件,以威胁情报共享理论为基础,提出一种APT样本逻辑表达式生成算法IOCG。该算法能够自动生成可机读的IOCs,解决现有IOC的逻辑关系固定,逻辑项个数不变,规模庞大以及无法对一类样本生成表达式的局限性。同时能够减少冗余及无用APT样本特征处理时间消耗,提高情报分析共享速率,积极应对复杂多变的APT攻击态势。实验采用自助法对APT1样本进行抽样,将样本分成实验集及训练集,再分别利用该算法与IOC_Aware插件对训练集生成逻辑表达式,对比表达式本身及检测效果上的差异。实验结果表明,该算法是有效的,并能提高检测效果。 展开更多

关键词 高级持续性威胁(apt) 熵 攻击指示器(IOCs) 逻辑表达式

在线阅读 下载PDF 职称材料

面向APT时空行为的受损主机检测 被引量：2

14

作者 孙一丁 李强 《计算机应用研究》 CSCD 北大核心 2022年第6期1860-1864,共5页

高级持续性威胁(APT)给企业、政府等组织带来沉重的损失。然而大多数检测方法没有同时考虑到APT攻击本质上的两个特性,即时间性和空间性。被入侵主机的行为模式与被入侵之前相比会产生一系列时序性的异常。在空间性方面,受损主机往往会... 高级持续性威胁(APT)给企业、政府等组织带来沉重的损失。然而大多数检测方法没有同时考虑到APT攻击本质上的两个特性,即时间性和空间性。被入侵主机的行为模式与被入侵之前相比会产生一系列时序性的异常。在空间性方面,受损主机往往会继续渗透其他主机。因此,提出一种基于时空特性检测APT受损主机的方法。该方法针对APT攻击中必不可少的身份验证行为进行检测,构建主机认证图,从图中提取特征,利用LSTM学习主机的时序性特征,建立主机关联图,利用GAT提取主机间的空间特征。该方法利用神经网络提取特征,无须人工的特征选择。该方法在公共数据LANL上进行实验,F_(1)得分达到了0.979。 展开更多

关键词 高级持续性威胁 时空性分析 身份验证 神经网络

在线阅读 下载PDF 职称材料

面向分布式网络结构的APT攻击双重博弈模型 被引量：8

15

作者 张为 苏旸 陈文武 《计算机应用》 CSCD 北大核心 2018年第5期1366-1371,共6页

针对目前分布式网络结构缺少防御高级持续威胁(APT)攻击的安全理论模型问题,提出了一种基于纳什均衡理论和节点博弈的博弈模型。首先,通过APT攻击常用手段和分布式网络结构的特点,分析判断攻击者可能采取的攻击路径并提出网络安全防御框... 针对目前分布式网络结构缺少防御高级持续威胁(APT)攻击的安全理论模型问题,提出了一种基于纳什均衡理论和节点博弈的博弈模型。首先,通过APT攻击常用手段和分布式网络结构的特点,分析判断攻击者可能采取的攻击路径并提出网络安全防御框架;其次,通过节点博弈计算漏洞风险系数,在纳什均衡理论的基础上建立基于攻击路径的博弈模型(OAPG),计算攻防双方收益均衡点,分析攻击者最大收益策略,进而提出防御者最优防御策略;最后,用一个APT攻击实例对模型进行验证。计算结果表明,所提模型能够从APT攻击路径对网络攻防双方进行理性分析,为使用分布式网络的机构提供一种合理的防御思路。 展开更多

关键词 高级持续威胁攻击 博弈模型 攻击路径 分布式网络结构 网络空间安全

在线阅读 下载PDF 职称材料

基于攻防树的APT风险分析方法 被引量：5

16

作者 孙文君 苏旸 《计算机应用研究》 CSCD 北大核心 2018年第2期511-514,551,共5页

针对目前缺少APT攻击中系统威胁风险评估理论模型的问题,提出了一种基于攻防树的网络攻击风险分析方法。将APT攻击过程分为攻击阶段与防护阶段,定义不同阶段内的参数计算方法,首先通过漏洞收集和攻击事件捕获构建攻击行为节点,并将防护... 针对目前缺少APT攻击中系统威胁风险评估理论模型的问题,提出了一种基于攻防树的网络攻击风险分析方法。将APT攻击过程分为攻击阶段与防护阶段,定义不同阶段内的参数计算方法,首先通过漏洞收集和攻击事件捕获构建攻击行为节点,并将防护对策映射为防护行为节点;其次形式化定义了漏洞成功利用概率、攻击成本、防护成本和系统损失度等参数,利用ADTool工具生成攻防树和节点参数值;然后引入攻击回报与防护回报的概念,作为系统风险分析的依据;最后构建了基于攻防树的攻击风险分析框架,并通过一个APT攻击实例对框架效果进行了验证。计算结果表明,可通过攻击回报等参数数值的变化评估采取防护对策的效果。该方法对攻防双方策略互相影响的场景描述更加贴近实际,实现了系统威胁风险度分析与防护策略效果评估的目的。 展开更多

关键词 高级持续威胁(apt) 攻防树 风险分析 网络攻击

在线阅读 下载PDF 职称材料

基于HMM的APT攻击路径预测 被引量：1

17

作者 杜镇宇 刘方正 李翼宏 《系统工程与电子技术》 EI CSCD 北大核心 2019年第4期826-834,共9页

针对当前高级持续性威胁(advanced persistent threat,APT)攻击防御技术以被动防御为主的问题,以主动防御为出发点,研究提出基于隐马尔可夫模型(hidden Markov model,HMM)的APT攻击路径预测方法,该方法分为建模和预测两部分。在建模方面... 针对当前高级持续性威胁(advanced persistent threat,APT)攻击防御技术以被动防御为主的问题,以主动防御为出发点,研究提出基于隐马尔可夫模型(hidden Markov model,HMM)的APT攻击路径预测方法,该方法分为建模和预测两部分。在建模方面,首先针对APT攻击的特点建立了APT攻击的隐马尔可夫通用模型,然后提出能够针对某一具体APT攻击,生成该APT攻击的HMM的算法。在预测方面,针对APT攻击样本数量少的问题,改进了HMM的参数计算方法,并引入报警信息确定预测起点,提出一种路径预测算法。实验通过模拟极光行动的攻击方式及流程搭建实验环境,结果表明,该建模及预测算法符合APT攻击场景,并能达到路径预测的目的。 展开更多

关键词 高级持续性威胁 隐马尔可夫模型 建模 路径预测

在线阅读 下载PDF 职称材料

基于溯源图的网络攻击调查研究综述

18

作者 仇晶 陈荣融 +3 位作者 朱浩瑾 肖岩军 殷丽华 田志宏 《电子学报》 EI CAS CSCD 北大核心 2024年第7期2529-2556,共28页

网络攻击调查是实现主动防御、溯源反制的重要手段.面向高隐蔽、强对抗的现代网络攻击,研究高效率、自动化攻击调查方法,提升己方快速响应复杂网络攻击能力,是智能网络攻防关键技术之一.现有研究通过将系统审计日志建模成可表达攻击事... 网络攻击调查是实现主动防御、溯源反制的重要手段.面向高隐蔽、强对抗的现代网络攻击,研究高效率、自动化攻击调查方法,提升己方快速响应复杂网络攻击能力,是智能网络攻防关键技术之一.现有研究通过将系统审计日志建模成可表达攻击事件因果依赖关系的溯源图,利用溯源图强大的关联分析和语义表达能力,对复杂隐蔽网络攻击进行调查,相较传统方法效果提升显著.在全面收集分析基于溯源图的攻击调查研究工作的基础上,根据溯源图利用方式及特征挖掘维度的差异,将基于溯源图的攻击调查方法划分为基于因果分析、基于深度表示学习和基于异常检测三类,总结凝练每类方法具体工作流程和通用框架.梳理溯源图优化方法,剖析相关技术从理论向产业落地的能力演变历程.归纳攻击调查常用数据集,对比分析基于溯源图的攻击调查代表性技术和性能指标,最后展望了该领域未来发展方向. 展开更多

关键词 攻击调查 溯源图 高级持续性威胁 深度学习 异常检测

在线阅读 下载PDF 职称材料

内存地址泄漏分析与防御 被引量：13

19

作者 傅建明 刘秀文 +1 位作者 汤毅 李鹏伟 《计算机研究与发展》 EI CSCD 北大核心 2016年第8期1829-1849,共21页

高级持续性威胁(advanced persistent threat,APT)攻击通常会利用内存地址泄漏绕过地址空间布局随机化(address space layout randomization,ASLR)、利用面向返回编程技术(return-oriented programming,ROP)绕过数据执行保护(data execu... 高级持续性威胁(advanced persistent threat,APT)攻击通常会利用内存地址泄漏绕过地址空间布局随机化(address space layout randomization,ASLR)、利用面向返回编程技术(return-oriented programming,ROP)绕过数据执行保护(data execution prevention,DEP).针对内存地址泄漏漏洞,以漏洞实例为样本,剖析了各种造成越界内存访问的指针或对象的非法操作,以及侧信道信息泄漏漏洞,并基于造成内存泄漏的过程,给出了相应的漏洞分类.同时,从漏洞利用和攻击的过程出发,总结和归纳了内存布局随机化、内存越界读写保护、内存对象内容保护、内存对象地址随机化等对抗内存地址泄漏的防御方法,从而达到内存布局看不清、内存对象读不到、内存对象内容读不懂、关键内存地址猜不准的保护目的.最后,提出从程序设计角度提供对内存布局随机化、代码地址随机化、内存对象保护等的支持,同时与操作系统建立协作防御机制,从而构建纵深和立体的安全防御体系. 展开更多

关键词 apt攻击 内存损坏 内存地址泄漏 地址空间布局随机化 边界保护

在线阅读 下载PDF 职称材料

基于机器学习的移动终端高级持续性威胁检测技术研究 被引量：14

20

作者 胡彬 王春东 +1 位作者 胡思琦 周景春 《计算机工程》 CAS CSCD 北大核心 2017年第1期241-246,共6页

移动端高级持续性威胁(APT)攻击是近年来出现的一种极其危险的攻击方式,通过窃取信息对设备造成高风险且可持续性的危害。而针对移动端入侵检测的方案由于检测特征不够完善,检测模型准确率不高且存在过拟合问题,导致检测效果不理想。针... 移动端高级持续性威胁(APT)攻击是近年来出现的一种极其危险的攻击方式,通过窃取信息对设备造成高风险且可持续性的危害。而针对移动端入侵检测的方案由于检测特征不够完善,检测模型准确率不高且存在过拟合问题,导致检测效果不理想。针对上述问题提出一种优化的检测模型,利用静态检测技术提取出终端应用的静态特征,优化模型对恶意应用的敏感程度,引用滑动窗口迭代算法提取出延迟攻击特征,以优化模型对延迟攻击的检测能力,同时使用Boost技术将决策树、逻辑回归、贝叶斯等分类算法进行融合,通过实验证明该模型提升了APT检测准确率并规避了过拟合问题。 展开更多

关键词 机器学习 高级持续性威胁检测 分类器 模型融合 静态检测 关联分析

在线阅读 下载PDF 职称材料