面向命令與控制信道的APT攻擊測(cè)試平臺(tái)設(shè)計(jì)和實(shí)現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)安全事件的發(fā)生也越來(lái)越頻繁。近年來(lái)，高級(jí)持續(xù)性威脅(APT)已經(jīng)對(duì)全球范圍內(nèi)的國(guó)家和團(tuán)體造成了嚴(yán)重的破壞，APT防護(hù)已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域的重點(diǎn)。然而，傳統(tǒng)的攻擊檢測(cè)技術(shù)在面對(duì)攻擊手段多樣，持續(xù)時(shí)間長(zhǎng)的APT攻擊，已經(jīng)起不到理想的效果。針對(duì)APT攻擊，國(guó)內(nèi)外學(xué)者在機(jī)器學(xué)習(xí)、云計(jì)算和大數(shù)據(jù)的基礎(chǔ)上提出了一系列的檢測(cè)方法。如何設(shè)計(jì)相應(yīng)的攻擊測(cè)試平臺(tái)對(duì)APT檢測(cè)方法進(jìn)行測(cè)試評(píng)估，成為了一個(gè)亟待解決的問(wèn)題。目前，AP

2、T攻擊測(cè)試平臺(tái)的研究仍然處于空白階段，現(xiàn)有的攻擊測(cè)試系統(tǒng)都是面向傳統(tǒng)的攻擊檢測(cè)方法，難以滿足APT攻擊檢測(cè)方法的測(cè)試需求。本文圍繞以上研究目標(biāo)設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)面向命令與控制信道的APT攻擊測(cè)試平臺(tái)，論文的主要內(nèi)容和成果如下:
　　APT真實(shí)通信流量獲取:目前，真實(shí)攻擊流量的獲取方法，一般都是通過(guò)調(diào)用各種攻擊工具或者腳本來(lái)產(chǎn)生攻擊流量。但是由于沒(méi)有APT攻擊服務(wù)器端的開(kāi)源代碼，這種方法就失去了效果。本文研究并分析了國(guó)際安全公司的AP

3、T攻擊活動(dòng)報(bào)告，提出了一種APT真實(shí)通信流量的獲取方法。利用APT攻擊活動(dòng)報(bào)告中病毒樣本的MD5碼，從VirusShare、VirusTotal和CVE上獲取病毒樣本以及樣本的詳細(xì)信息。設(shè)計(jì)并部署了APT病毒樣本的運(yùn)行環(huán)境，通過(guò)運(yùn)行病毒樣本成功獲取了大量的APT通信流量。
　　APT模擬通信流量生成:傳統(tǒng)的攻擊流量模擬系統(tǒng)基本都是面向常規(guī)攻擊的。APT攻擊的通信特征不同于常規(guī)攻擊，傳統(tǒng)的攻擊流量模擬系統(tǒng)對(duì)APT已經(jīng)不再適用。本文對(duì)

4、安全公司報(bào)告中描述的APT通信特征進(jìn)行了總結(jié)歸納，提出了一種APT模擬通信流量的生成方法。利用從安全公司報(bào)告中提取的APT通信特征，結(jié)合多分形小波的流量生成模型，使用Libnet和Libpcap，實(shí)現(xiàn)了APT模擬通信流量的生成。實(shí)驗(yàn)結(jié)果表明，模擬生成的流量和真實(shí)流量具有較高的擬合度。
　　APT檢測(cè)方法評(píng)估:由于APT檢測(cè)方法的復(fù)雜性，傳統(tǒng)的攻擊測(cè)試系統(tǒng)已經(jīng)無(wú)法滿足其測(cè)試需求。本文設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)面向命令與控制信道的APT攻擊測(cè)試