高級持續(xù)性威脅遠控階段異常通信的檢測技術(shù)研究.pdf

1、計算機與網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和廣泛應(yīng)用，在給人們帶來便利的同時，也帶來了各種安全問題。近年來，以零日滲透、極具隱蔽性和持久性控制為主要特點的高級持續(xù)性威脅(Advanced Persistent Threat，APT)已成為網(wǎng)絡(luò)安全領(lǐng)域關(guān)心的最大威脅，引起了業(yè)界和科學(xué)界的廣泛重視。如何及時地發(fā)現(xiàn)我方網(wǎng)絡(luò)中可能存在的APT攻擊威脅，是防御APT威脅的重要問題之一。本文結(jié)合部分APT攻擊案例和樣本數(shù)據(jù)，針對APT攻擊遠控階段的異常通信的行為特

2、點進行了分析，在此基礎(chǔ)上設(shè)計可實現(xiàn)異常遠控通信檢測的相關(guān)特征，并提出了應(yīng)用性較強的基于機器學(xué)習(xí)的異常通信檢測方法，并以該方法為核心，設(shè)計與實現(xiàn)了APT攻擊遠控階段異常通信的檢測程序，通過實驗驗證了檢測程序的有效性。
　　本研究主要內(nèi)容包括：⑴通過對APT攻擊遠控階段異常通信的深入研究，詳細分析了被控主機通常利用域名生成算法(Domain Generation Algorithm，DGA)生成動態(tài)域名獲取C&C服務(wù)器的IP地址的原因

3、、DGA生成動態(tài)域名的工作原理以及與域名結(jié)構(gòu)上與正常域名的不同;另一方面則從多個角度全面分析了在遠控過程中，APT攻擊的TCP通信行為與正常通信之間存在的差異。根據(jù)這些特點，提出了基于機器學(xué)習(xí)的異常通信檢測方法。⑵根據(jù)對多種DGA動態(tài)域名和合法域名在字符特征上的分析對比，設(shè)計提取多項特征指標，并通過相關(guān)域名樣本驗證這些特征指標的區(qū)分能力，考慮到檢測模型的精度和效率，利用特征選擇算法確定了11項用于實際檢測DGA動態(tài)域名的特征指標。⑶針對

4、遠控階段APT攻擊異常TCP通信行為的特點，利用網(wǎng)絡(luò)流量分析的方法確定了TCP流作為特征提取源，然后設(shè)計提取了多項特征指標，并結(jié)合實際數(shù)據(jù)對這些特征指標的有效性進行分析，最后也利用特征選擇算法確定了10項最優(yōu)的檢測特征。⑷根據(jù)設(shè)計的特征指標，對比分析多種機器學(xué)習(xí)方法構(gòu)建的檢測模型的性能，最終確定DGA動態(tài)域名和異常TCP通信檢測模型均為GBDT分類器。然后設(shè)計并實現(xiàn)APT攻擊遠控階段異常通信的檢測程序，該檢測程序利用PF RING的Li