面向APT攻击的溯源和推理研究综述 被引量：4

1

作者 杨秀璋 彭国军 +3 位作者 刘思德 田杨 李晨光 傅建明 《软件学报》 北大核心 2025年第1期203-252,共50页

高级可持续性威胁(advanced persistent threat,APT)是一种新型网络攻击,具有极强的组织性、隐蔽性、持续性、对抗性和破坏性,给全球网络安全带来严重危害.传统APT攻击防御倾向于构建模型检测攻击的恶意性或识别家族类别,以被动防御为主... 高级可持续性威胁(advanced persistent threat,APT)是一种新型网络攻击,具有极强的组织性、隐蔽性、持续性、对抗性和破坏性,给全球网络安全带来严重危害.传统APT攻击防御倾向于构建模型检测攻击的恶意性或识别家族类别,以被动防御为主,缺乏全面及深入地梳理APT攻击溯源和推理领域的工作.基于此,围绕APT攻击的溯源和推理的智能化方法开展综述性研究.首先,提出APT攻击防御链,有效地将APT攻击检测、溯源和推理进行区分和关联;其次,详细比较APT攻击检测4个任务的相关工作;然后,系统总结面向区域、组织、攻击者、地址和攻击模型的APT攻击溯源工作;再次,将APT攻击推理划分为攻击意图推理、攻击路径感知、攻击场景还原、攻击阻断和反制这4个方面,对相关研究进行详细总结和对比;最后,讨论APT攻击防御领域的热点主题、发展趋势和挑战. 展开更多

关键词 高级可持续威胁 网络安全 攻击溯源 攻击推理 人工智能

在线阅读 下载PDF 职称材料

基于超图Transformer的APT攻击威胁狩猎网络模型 被引量：3

2

作者 李元诚 林玉坤 《通信学报》 EI CSCD 北大核心 2024年第2期106-114,共9页

针对物联网环境中高级持续性威胁(APT)具有隐蔽性强、持续时间长、更新迭代快等特点,传统被动检测模型难以对其进行有效搜寻的问题,提出了一种基于超图Transformer的APT攻击威胁狩猎(HTTN)模型,能够在时间跨度长、信息隐蔽复杂的物联网... 针对物联网环境中高级持续性威胁(APT)具有隐蔽性强、持续时间长、更新迭代快等特点,传统被动检测模型难以对其进行有效搜寻的问题,提出了一种基于超图Transformer的APT攻击威胁狩猎(HTTN)模型,能够在时间跨度长、信息隐蔽复杂的物联网系统中快速定位和发现APT攻击痕迹。该模型首先将输入的网络威胁情报(CTI)日志图和物联网系统内核审计日志图编码为超图,经超图神经网络(HGNN)层计算日志图的全局信息和节点特征;然后由Transformer编码器提取超边位置特征;最后对超边进行匹配计算相似度分数,从而实现物联网系统网络环境下APT攻击的威胁狩猎。在物联网仿真环境下的实验结果表明,提出的HTTN模型与目前主流的图匹配神经网络相比均方误差降低约20%,Spearman等级相关系数提升约0.8%,匹配精度提升约1.2%。 展开更多

关键词 高级持续性威胁 威胁狩猎 图匹配 超图

在线阅读 下载PDF 职称材料

基于传染病和网络流模型分析APT攻击对列车控制系统的影响 被引量：1

3

作者 赵骏逸 唐涛 +2 位作者 步兵 李其昌 王晓轩 《铁道学报》 EI CAS CSCD 北大核心 2024年第4期119-129,共11页

高级可持续威胁(APT)是目前工业控制系统面临的主要威胁之一。APT攻击利用计算机设备漏洞入侵列车控制网络,感染并且扩散到网络中的其他设备,影响系统正常运行,因此评价APT攻击对列车控制系统的影响非常必要。提出一种基于传染病模型和... 高级可持续威胁(APT)是目前工业控制系统面临的主要威胁之一。APT攻击利用计算机设备漏洞入侵列车控制网络,感染并且扩散到网络中的其他设备,影响系统正常运行,因此评价APT攻击对列车控制系统的影响非常必要。提出一种基于传染病模型和网络流理论结合的APT攻击影响分析方法。首先,分析在APT攻击的不同阶段设备节点状态之间的转化规则,结合传染病理论建立APT攻击传播模型,研究攻击过程中的节点状态变化趋势;其次,把设备节点的状态变化融入网络流模型中,研究APT攻击过程中设备节点状态变化对列车控制网络中列车移动授权信息流的影响;最后,结合列车控制系统的信息物理耦合关系,分析APT攻击对列控系统整体性能的影响。仿真实验展现了APT攻击过程中节点状态变化的趋势,验证该方法在分析APT病毒软件在列车控制网络中的传播过程对列车控制系统整体性能影响的有效性,为管理者制定防御方案提供依据,提升列车控制系统信息安全水平。 展开更多

关键词 高级可持续威胁 网络流理论 传染病模型 列车控制系统 攻击影响分析

在线阅读 下载PDF 职称材料

高级持续性威胁检测与分析方法研究进展 被引量：1

4

作者 季一木 张嘉铭 +4 位作者 杨倩 杜宏煜 邵思思 张俊杰 刘尚东 《南京邮电大学学报(自然科学版)》 北大核心 2025年第1期1-11,共11页

高级持续性威胁(Advanced Persistent Threat,APT)检测分析是网络安全领域的一个研究热点。APT检测与分析仍然面临着许多挑战,对当前研究进行归纳梳理,总结了APT检测与分析方法研究进展。首先,分析APT攻击威胁建模方法。其次,梳理代表性... 高级持续性威胁(Advanced Persistent Threat,APT)检测分析是网络安全领域的一个研究热点。APT检测与分析仍然面临着许多挑战,对当前研究进行归纳梳理,总结了APT检测与分析方法研究进展。首先,分析APT攻击威胁建模方法。其次,梳理代表性的APT攻击检测方法,包括基于主机和基于网络的相关研究。然后,总结APT攻击分析方法,介绍了攻击溯源与攻击行为推理相关研究。最后,展望未来APT攻击检测与分析的研究方向,以便研究人员了解当前研究现状和拓展研究思路。 展开更多

关键词 高级持续威胁 攻击发现 攻击溯源 攻击推理

在线阅读 下载PDF 职称材料

一种应对APT攻击的安全架构:异常发现 被引量：20

5

作者 杜跃进 翟立东 +1 位作者 李跃 贾召鹏 《计算机研究与发展》 EI CSCD 北大核心 2014年第7期1633-1645,共13页

威胁是一种对特定系统、组织及其资产造成破坏的潜在因素,反映的是攻击实施者依照其任务需求对被攻击对象长期持续地施以各种形式攻击的过程.面对高级可持续威胁(advanced persistent threat,APT),在其造成严重经济损失之前,现有的安全... 威胁是一种对特定系统、组织及其资产造成破坏的潜在因素,反映的是攻击实施者依照其任务需求对被攻击对象长期持续地施以各种形式攻击的过程.面对高级可持续威胁(advanced persistent threat,APT),在其造成严重经济损失之前,现有的安全架构无法协助防御者及时发现威胁的存在.在深入剖析威胁的外延和内涵的基础上,详细探讨了威胁防御模型.提出了一种应对APT攻击的安全防御理论架构:异常发现,以立足解决威胁发现的难题.异常发现作为防御策略和防护部署工作的前提,通过实时多维地发现环境中存在的异常、解读未知威胁、分析攻击实施者的目的,为制定具有针对性的应对策略提供必要的信息.设计并提出了基于异常发现的安全体系技术架构:"慧眼",通过高、低位协同监测的技术,从APT攻击的源头、途径和终端3个层面监测和发现. 展开更多

关键词 高级可持续威胁 异常发现 高位监测 低位监测 慧眼

在线阅读 下载PDF 职称材料

基于大数据分析的APT攻击检测研究综述 被引量：87

6

作者 付钰 李洪成 +1 位作者 吴晓平 王甲生 《通信学报》 EI CSCD 北大核心 2015年第11期1-14,共14页

高级持续性威胁(APT,advanced persistent threat)已成为高安全等级网络的最主要威胁之一,其极强的针对性、伪装性和阶段性使传统检测技术无法有效识别,因此新型攻击检测技术成为APT攻击防御领域的研究热点。首先,结合典型APT攻击技术... 高级持续性威胁(APT,advanced persistent threat)已成为高安全等级网络的最主要威胁之一,其极强的针对性、伪装性和阶段性使传统检测技术无法有效识别,因此新型攻击检测技术成为APT攻击防御领域的研究热点。首先,结合典型APT攻击技术和原理,分析攻击的6个实施阶段,并归纳攻击特点;然后,综述现有APT攻击防御框架研究的现状,并分析网络流量异常检测、恶意代码异常检测、社交网络安全事件挖掘和安全事件关联分析等4项基于网络安全大数据分析的APT攻击检测技术的研究内容与最新进展;最后,提出抗APT攻击的系统综合防御框架和智能反馈式系统安全检测框架,并指出相应技术在应对APT攻击过程中面临的挑战和下一步发展方向。 展开更多

关键词 网络安全检测 高级持续性威胁 大数据分析 智能反馈 关联分析

在线阅读 下载PDF 职称材料

基于树型结构的APT攻击预测方法 被引量：23

7

作者 张小松 牛伟纳 +2 位作者 杨国武 卓中流 吕凤毛 《电子科技大学学报》 EI CAS CSCD 北大核心 2016年第4期582-588,共7页

近年来,高级持续性威胁已成为威胁网络安全的重要因素之一。然而APT攻击手段复杂多变,且具有极强的隐蔽能力,使得目前常用的基于特征匹配的边界防护技术显得力不从心。面对APT攻击检测防御难题,提出了一种基于树型结构的APT攻击预测方... 近年来,高级持续性威胁已成为威胁网络安全的重要因素之一。然而APT攻击手段复杂多变,且具有极强的隐蔽能力,使得目前常用的基于特征匹配的边界防护技术显得力不从心。面对APT攻击检测防御难题,提出了一种基于树型结构的APT攻击预测方法。首先结合杀伤链模型构建原理,分析APT攻击阶段性特征,针对攻击目标构建窃密型APT攻击模型;然后,对海量日志记录进行关联分析形成攻击上下文,通过引入可信度和DS证据组合规则确定攻击事件,计算所有可能的攻击路径。实验结果表明,利用该方法设计的预测模型能够有效地对攻击目标进行预警,具有较好的扩展性和实用性。 展开更多

关键词 高级持续性威胁 攻击预测 关联分析 杀伤链

在线阅读 下载PDF 职称材料

面向企业网的APT攻击特征分析及防御技术探讨 被引量：6

8

作者 刘东鑫 刘国荣 +2 位作者 王帅 沈军 金华敏 《电信科学》 北大核心 2013年第12期158-163,共6页

近年来,APT攻击成为信息安全业界的关注热点。针对APT攻击特征分析传统网络安全防御体系对其失效的原因,并在此基础上提出APT攻击防御方案。该防御方案包括基础安全防御和动态防御体系,力求构建从保护、检测、响应到恢复的信息安全防御... 近年来,APT攻击成为信息安全业界的关注热点。针对APT攻击特征分析传统网络安全防御体系对其失效的原因,并在此基础上提出APT攻击防御方案。该防御方案包括基础安全防御和动态防御体系,力求构建从保护、检测、响应到恢复的信息安全防御体系。最后,对APT攻击给业界带来的影响进行了思考和展望。 展开更多

关键词 apt 特征分析 动态防御

在线阅读 下载PDF 职称材料

云环境下APT攻击的防御方法综述 被引量：6

9

作者 张浩 王丽娜 +1 位作者 谈诚 刘维杰 《计算机科学》 CSCD 北大核心 2016年第3期1-7,43,共8页

云计算以其快速部署、弹性配置等特性吸引了大量的组织和机构使用,然而近期出现的高级可持续性威胁(Advanced Persistent Threat,APT)相比传统的网络攻击具有攻击持续性、高隐蔽性、长期潜伏等特性,为实现云平台的信息资产的安全与隐私... 云计算以其快速部署、弹性配置等特性吸引了大量的组织和机构使用,然而近期出现的高级可持续性威胁(Advanced Persistent Threat,APT)相比传统的网络攻击具有攻击持续性、高隐蔽性、长期潜伏等特性,为实现云平台的信息资产的安全与隐私保护带来了极大的冲击和挑战。因此,如何有效地防护APT对云平台的攻击成为云安全领域亟待解决的问题。在阐述APT攻击的基本概念、攻击流程与攻击方法的基础之上,分析了APT新特性带来的多重安全挑战,并介绍了国内外在APT防护方面的研究进展。随后针对APT的安全挑战,提出了云平台下APT防护的建议框架,该框架融入了事前和事中防御策略,同时利用大数据挖掘综合分析可能存在的APT攻击以及用于事中的威胁定位与追踪。最后,介绍了安全框架中的关键技术的研究进展,分析了现有技术的优势与不足之处,并探讨了未来的研究方向。 展开更多

关键词 云计算 高级可持续性威胁 大数据挖掘 威胁定位

在线阅读 下载PDF 职称材料

基于GAN-LSTM的APT攻击检测 被引量：16

10

作者 刘海波 武天博 +1 位作者 沈晶 史长亭 《计算机科学》 CSCD 北大核心 2020年第1期281-286,共6页

高级持续性威胁(Advanced Persistent Threat,APT)带来的危害日趋严重。传统的APT检测方法针对的攻击模式比较单一,处理的APT攻击的时间跨度相对较短,没有完全体现出APT攻击的时间序列性,因此当攻击数据样本较少、攻击持续时间较长时准... 高级持续性威胁(Advanced Persistent Threat,APT)带来的危害日趋严重。传统的APT检测方法针对的攻击模式比较单一,处理的APT攻击的时间跨度相对较短,没有完全体现出APT攻击的时间序列性,因此当攻击数据样本较少、攻击持续时间较长时准确率很低。为了解决这个问题,文中提出了基于生成式对抗网络(Generative Adversarial Netwokrs,GAN)和长短期记忆网络(Long Short-term Memory,LSTM)的APT攻击检测方法。一方面,基于GAN模拟生成攻击数据,为判别模型生成大量攻击样本,从而提升模型的准确率;另一方面,基于LSTM模型的记忆单元和门结构保证了APT攻击序列中存在相关性且时间间距较大的序列片段之间的特征记忆。利用Keras开源框架进行模型的构建与训练,以准确率、误报率、ROC曲线等技术指标,对攻击数据生成和APT攻击序列检测分别进行对比实验分析。通过生成式模型生成模拟攻击数据进而优化判别式模型,使得原有判别模型的准确率提升了2.84%,与基于循环神经网络(Recurrent Neural Network,RNN)的APT攻击序列检测方法相比,文中方法在检测准确率上提高了0.99个百分点。实验结果充分说明了基于GAN-LSTM的APT攻击检测算法可以通过引入生成式模型来提升样本容量,从而提高判别模型的准确率并减少误报率;同时,相较于其他时序结构,利用LSTM模型检测APT攻击序列有更好的准确率和更低的误报率,从而验证了所提方法的可行性和有效性。 展开更多

关键词 网络安全 博弈论 高级持续性威胁 生成式对抗网络 长短期记忆网络

在线阅读 下载PDF 职称材料

基于大数据分析的APT防御方法 被引量：8

11

作者 王丽娜 余荣威 +2 位作者 付楠 鞠瑞 徐鹏志 《信息安全研究》 2015年第3期230-237,共8页

大数据时代下,将大数据分析技术引入高级可持续性攻击防御体系是必然趋势.充分考虑高级可持续性攻击防护框架的需求,充分考虑所有可能的攻击模式和防护方法,基于大数据分析技术提出了一个参考性的APT防护框架.利用大数据技术对监控检测... 大数据时代下,将大数据分析技术引入高级可持续性攻击防御体系是必然趋势.充分考虑高级可持续性攻击防护框架的需求,充分考虑所有可能的攻击模式和防护方法,基于大数据分析技术提出了一个参考性的APT防护框架.利用大数据技术对监控检测数据进行深度关联分析,不仅能够综合分析目标系统是否存在被攻击的风险,实现事前预警,也可对当前受到的攻击威胁进行综合研判,更加准确地理解意图和反向追踪,从而及时采取相关的策略阻止攻击,实现事中阻断;还可同时对安全审计信息进行大数据分析,根据追踪路径重现数据的历史状态和演变过程,实现事后审计溯源. 展开更多

关键词 高级可持续性攻击 大数据 数据管理 深度分析 数据挖掘

在线阅读 下载PDF 职称材料

Augmenter:基于数据源图的事件级别入侵检测

12

作者 孙鸿斌 王苏 +3 位作者 王之梁 蒋哲宇 杨家海 张辉 《计算机科学》 北大核心 2025年第2期344-352,共9页

近年来,高级可持续威胁(APT)攻击频发。数据源图包含丰富的上下文信息,反映了进程的执行过程,具有检测APT攻击的潜力,因此基于数据源图的入侵检测系统(PIDS)备受关注。PIDS通过捕获系统日志生成数据源图来识别恶意行为。PIDS主要面临3... 近年来,高级可持续威胁(APT)攻击频发。数据源图包含丰富的上下文信息,反映了进程的执行过程,具有检测APT攻击的潜力,因此基于数据源图的入侵检测系统(PIDS)备受关注。PIDS通过捕获系统日志生成数据源图来识别恶意行为。PIDS主要面临3个挑战:高效性、通用性和实时性,特别是高效性。目前的PIDS在检测到异常行为时,一个异常节点或一张异常图就会产生成千上万条告警,其中会包含大量的误报,给安全人员带来不便。为此,提出了基于数据源图的入侵检测系统Augmenter,同时解决上述3个挑战。Augmenter利用节点的信息字段对进程进行社区划分,有效学习不同进程的行为。此外,Augmenter提出时间窗口策略实现子图划分,并采用了图互信息最大化的无监督特征提取方法提取节点的增量特征,通过增量特征提取来放大异常行为,同时实现异常行为与正常行为的划分。最后,Augmenter依据进程的类型训练多个聚类模型来实现事件级别的检测,通过检测到事件级别的异常能够更精准地定位攻击行为。在DARPA数据集上对Augmenter进行评估,通过衡量检测阶段的运行效率,验证了Augmenter的实时性。在检测能力方面,与最新工作Kairos和ThreaTrace相比,所提方法的精确率和召回率分别为0.83和0.97,Kairos为0.17和0.80,ThreaTrace为0.29和0.76,Augmenter具有更高的精确率和检测性能。 展开更多

关键词 高级可持续威胁 数据源图 入侵检测 增量特征 异常行为

在线阅读 下载PDF 职称材料

基于LDA模型的海量APT通信日志特征研究 被引量：3

13

作者 孙名松 韩群 《计算机工程》 CAS CSCD 北大核心 2017年第2期194-200,205,共8页

为实现高级持续性威胁(APT)的通信检测,提出一种对服务器端和主机端日志数据的检测方法。通过建立IP地址数据库,采用DBSCAN聚类算法对海量日志数据进行收集和处理得到异常通信日志。利用高级持续性威胁14种通信特征的隐含狄利克雷分布(L... 为实现高级持续性威胁(APT)的通信检测,提出一种对服务器端和主机端日志数据的检测方法。通过建立IP地址数据库,采用DBSCAN聚类算法对海量日志数据进行收集和处理得到异常通信日志。利用高级持续性威胁14种通信特征的隐含狄利克雷分布(LDA)建模对异常通信日志进行检测。实验结果表明,与潜在语义分析和概率潜在语义分析检测模型相比,LDA建模提高了APT通信检测的效率和准确度。 展开更多

关键词 高级持续性威胁 大数据处理 IP规范 DBSCAN算法 特征描述

在线阅读 下载PDF 职称材料

针对APT攻击中恶意USB存储设备的防护方案研究 被引量：7

14

作者 谈诚 邓入弋 +1 位作者 王丽娜 马婧 《信息网络安全》 2016年第2期7-14,共8页

文章针对APT攻击中的恶意USB存储设备设计了一套安全防护方案。该方案构造USB存储设备的白名单,只允许白名单中的USB存储设备与计算机系统进行交互,从而防止APT攻击中定制的恶意USB存储设备对主机的非授权访问;将USB存储设备与单位各级... 文章针对APT攻击中的恶意USB存储设备设计了一套安全防护方案。该方案构造USB存储设备的白名单,只允许白名单中的USB存储设备与计算机系统进行交互,从而防止APT攻击中定制的恶意USB存储设备对主机的非授权访问;将USB存储设备与单位各级员工绑定,在特定主机对特定的USB存储设备写保护,有效阻止了APT攻击者利用社会工程学的方法诱导内部人员对系统中数据进行越权访问;通过监控向USB存储设备复制数据的进程行为,防止隐藏的恶意程序暗中窃取系统中的数据。文章方案可以很好地防止系统中的数据遭到窃取和泄露,具有良好的实用性。文章方案进行了相关的功能测试,测试结果表明该方案可行。 展开更多

关键词 apt攻击 USB存储设备 白名单 Windows过滤驱动 数据防泄露

在线阅读 下载PDF 职称材料

一种基于ATT&CK的新型电力系统APT攻击建模 被引量：7

15

作者 李元诚 罗昊 +1 位作者 王庆乐 李建彬 《信息网络安全》 CSCD 北大核心 2023年第2期26-34,共9页

以新能源为主体的新型电力系统,新能源与多元负荷形态比例大幅提升。高比例的可再生新能源与电力电子设备的接入以及供给侧和需求侧的随机性,导致电网遭受的攻击面增大,攻击者利用隐蔽和复杂的手段针对新型电力系统发动高级可持续威胁攻... 以新能源为主体的新型电力系统,新能源与多元负荷形态比例大幅提升。高比例的可再生新能源与电力电子设备的接入以及供给侧和需求侧的随机性,导致电网遭受的攻击面增大,攻击者利用隐蔽和复杂的手段针对新型电力系统发动高级可持续威胁攻击,严重影响电网调度与能源消纳。文章基于ATT&CK知识库建立了面向新型电力系统APT攻击的杀伤链模型,针对传统方法难以将APT攻击技术划分到杀伤链攻击阶段,从而导致安全员无法迅速做出防御决策的情况,提出了一种基于杀伤链模型的APT攻击技术阶段划分方法,并采用Bert模型对技术文本进行语义分析,自动将攻击技术划分到所属阶段。实验结果表明,文章所提方法比现有模型具有更好的效果。 展开更多

关键词 新型电力系统 apt攻击 ATT&CK 攻击建模 Bert模型

在线阅读 下载PDF 职称材料

基于四蜜协同的能源系统主动防御安全体系研究

16

作者 朱志成 曹慧 王寅生 《信息网络安全》 北大核心 2025年第6期955-966,共12页

能源系统作为国家关键基础设施,面临高级持续性威胁(APT)和零日漏洞攻击的严峻挑战。文章针对当前能源系统安全防御方案主要依赖特征检测与边界防护,难以应对隐蔽性高、潜伏期长的APT攻击的安全挑战,引入新型基于诱捕的四蜜协同主动防... 能源系统作为国家关键基础设施,面临高级持续性威胁(APT)和零日漏洞攻击的严峻挑战。文章针对当前能源系统安全防御方案主要依赖特征检测与边界防护,难以应对隐蔽性高、潜伏期长的APT攻击的安全挑战,引入新型基于诱捕的四蜜协同主动防御体系,通过在能源系统中部署蜜点、蜜庭、蜜洞和蜜阵构建威胁感知网络,结合欺骗防御与动态协同机制,形成面向能源系统的“护卫式”主动防御系统,实现对攻击者的早期感知、精准判别和溯源威慑。实验结果表明,该系统在应对能源系统复杂网络攻击时可有效捕获攻击行为,及时预警潜在威胁,为能源系统面向APT攻击提供安全防护的新思路。 展开更多

关键词 能源系统安全 高级持续性威胁 威胁感知 协同防御 动态诱捕

在线阅读 下载PDF 职称材料

非对称信息条件下APT攻防博弈模型 被引量：6

17

作者 孙文君 苏旸 曹镇 《计算机应用》 CSCD 北大核心 2017年第9期2557-2562,共6页

针对目前缺少对高级持续威胁(APT)攻击理论建模分析的问题,提出了一种基于Flip It模型的非对称信息条件下的攻防博弈模型。首先,将网络系统中的目标主机等资产抽象为目标资源节点,将攻防场景描述为攻防双方对目标资源的交替控制;然后,... 针对目前缺少对高级持续威胁(APT)攻击理论建模分析的问题,提出了一种基于Flip It模型的非对称信息条件下的攻防博弈模型。首先,将网络系统中的目标主机等资产抽象为目标资源节点,将攻防场景描述为攻防双方对目标资源的交替控制;然后,考虑到攻防双方在博弈中观察到的反馈信息的不对称性以及防御效果的不彻底性,给出了在防御者采取更新策略时攻防双方的收益模型及最优策略的条件,同时给出并分别证明了达到同步博弈与序贯博弈均衡条件的定理;最后通过数例分析了影响达到均衡时的策略及防御收益的因素,并比较了同步博弈均衡与序贯博弈均衡。结果表明周期策略是防御者的最优策略,并且与同步博弈均衡相比,防御者通过公布其策略达到序贯博弈均衡时的收益更大。实验结果表明所提模型能够在理论上指导应对隐蔽性APT攻击的防御策略。 展开更多

关键词 博弈论 非对称信息 网络攻击 高级持续威胁 网络安全

在线阅读 下载PDF 职称材料

APT攻击分层表示模型 被引量：8

18

作者 谭韧 殷肖川 +1 位作者 廉哲 陈玉鑫 《计算机应用》 CSCD 北大核心 2017年第9期2551-2556,共6页

针对攻击链模型攻击阶段划分过细且无法表示攻击手段的问题,提出了一种高级可持续性威胁(APT)攻击分层表示模型(APT-HARM)。通过总结分析大量公开的APT事件报告和参考APT攻击链模型与分层攻击表示模型(HARM),将APT攻击分为攻击链和攻击... 针对攻击链模型攻击阶段划分过细且无法表示攻击手段的问题,提出了一种高级可持续性威胁(APT)攻击分层表示模型(APT-HARM)。通过总结分析大量公开的APT事件报告和参考APT攻击链模型与分层攻击表示模型(HARM),将APT攻击分为攻击链和攻击树上下两层,并将其形式化定义。首先,将APT攻击分为由侦察、渗透、行动和撤出四个阶段组成的攻击链,并研究了各阶段特点;然后,研究各阶段中采取的攻击手段,并依据其逻辑关系组成攻击树。APT攻击按照攻击链分阶段依次进行,各阶段按照攻击树流程依次执行。案例分析表明,本模型相较攻击链模型具有粒度划分合理、攻击描述完备准确的优点。APT-HARM形式化地定义了APT攻击,为APT攻击的预测和防范提供了一种思路。 展开更多

关键词 高级可持续性威胁 攻击链 攻击树 分层攻击表示模型

在线阅读 下载PDF 职称材料

基于通信特征的APT攻击检测方法 被引量：9

19

作者 戴震 程光 《计算机工程与应用》 CSCD 北大核心 2017年第18期77-83,共7页

高级持续性威胁(APT)已经在全球范围内产生了严重的危害,APT攻击检测已经成为网络安全防护领域的重点。由于APT具有攻击手段多样,持续时间长等特点,传统的检测技术已经起不到理想的效果。利用从国际安全公司报告中提取的APT通信特征,提... 高级持续性威胁(APT)已经在全球范围内产生了严重的危害,APT攻击检测已经成为网络安全防护领域的重点。由于APT具有攻击手段多样,持续时间长等特点,传统的检测技术已经起不到理想的效果。利用从国际安全公司报告中提取的APT通信特征,提出了一种基于通信特征的APT攻击检测方法。为了提高该方法的检测效果,还提出了利用bloom filter对报文进行快速筛选和精确匹配相结合的双层通信特征匹配算法。实验结果表明,该方法具有较高的检测率和较低的误报率。 展开更多

关键词 apt检测 特征提取 特征匹配 BLOOM FILTER

在线阅读 下载PDF 职称材料

结合动态行为和静态特征的APT攻击检测方法 被引量：5

20

作者 梁鹤 李鑫 +1 位作者 尹南南 李超 《计算机工程与应用》 CSCD 北大核心 2023年第18期249-259,共11页

针对APT攻击网络流量难以获得,模拟的数据与现实又很难匹配的问题,提出了一种基于动态行为和静态特征结合的APT攻击检测方法。采用Noriben沙箱提取待测软件的进程行为、文件行为、注册表行为和网络行为构建动态行为特征集,基于Transform... 针对APT攻击网络流量难以获得,模拟的数据与现实又很难匹配的问题,提出了一种基于动态行为和静态特征结合的APT攻击检测方法。采用Noriben沙箱提取待测软件的进程行为、文件行为、注册表行为和网络行为构建动态行为特征集,基于Transformer-Encoder算法识别APT恶意软件的准确率达到了95.8%。对识别出的APT恶意软件进行组织分类,提取软件调用的DLL(dynamic link library)和API(application programming interface),并组合成DLL:API的特征形式,将1D-CNN(one dimensional convolutional neural networks)算法应用于APT恶意软件组织分类的准确率达到了98.7%,比之前的方法提高了5个百分点。与热门的深度学习算法和机器学习算法的实验效果做对比,数据表明,提出的方法相比其他方法,准确率有较大提升。 展开更多

关键词 高级持续性威胁(apt)攻击 动态行为 静态特征 Transformer-Encoder 1D-CNN

在线阅读 下载PDF 职称材料