近年來,一類稱為高級持續(xù)威脅（APT）的網(wǎng)絡(luò)攻擊給政府,企業(yè)等組織帶來了非常嚴(yán)重的損失。這一類稱為APT的攻擊具有可持續(xù)時(shí)間長、攻擊手段復(fù)雜、隱蔽性強(qiáng)等特點(diǎn),使得這類攻擊很難被檢測到。我們發(fā)現(xiàn),在面對潛伏時(shí)間長、隱蔽性高的APT攻擊時(shí),傳統(tǒng)的檢測方法,如防火墻,入侵檢測系統(tǒng)等,無法實(shí)現(xiàn)有效地檢測。而且,通過提取APT攻擊特征采用機(jī)器學(xué)習(xí)算法進(jìn)行檢測的方法存在著依賴數(shù)據(jù)集的質(zhì)量、易于被攻擊者躲避、檢測效率低的不足。于是,本文提出了一種基于圖檢測APT的方法,將屬于同一類的APT攻擊作為檢測對象,通過域名與IP地址建立域名圖,結(jié)合APT具體的攻擊特征,采用適當(dāng)?shù)念A(yù)處理和剪枝策略實(shí)現(xiàn)對APT攻擊進(jìn)行更有效地檢測。通過對一系列APT具體攻擊報(bào)告和現(xiàn)有檢測APT方法的研究,我們有以下發(fā)現(xiàn):1.在APT攻擊中,不可避免地會產(chǎn)生被感染主機(jī)與外部的命令與控制服務(wù)器（C&C服務(wù)器）產(chǎn)生C&C通信,C&C域名是連接內(nèi)部感染主機(jī)與C&C服務(wù)器進(jìn)行C&C通信的橋梁。2.我們通過對一些具體的APT攻擊實(shí)例的研究,發(fā)現(xiàn)了屬于同一類APT攻擊進(jìn)行的C&C通信具有相似性... 

【文章來源】：吉林大學(xué)吉林省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：53 頁

【學(xué)位級別】：碩士

【部分圖文】：

APT攻擊利用的漏洞3）C&C通信階段

第1章引言4成初始妥協(xié)之后，攻擊者會立刻與外部的C&C服務(wù)器進(jìn)行C&C通信。圖1.2展示了APT的主要入侵方法。圖1.2APT的侵入方法值得注意的是，在實(shí)際的操作中，攻擊者往往不采用觸發(fā)0日漏洞的惡意代碼，而是采用公共的漏洞，因?yàn)橛脩舫３Ｈ狈Π踩庾R，軟件常常處于較低的版本，所以這些早已經(jīng)公開的公共漏洞對它們來說就是0日漏洞。圖1.3展示了APT利用的主要的漏洞。圖1.3APT攻擊利用的漏洞3）C&C通信階段一旦攻擊者進(jìn)入目標(biāo)系統(tǒng)，它們就會想方設(shè)法盡可能長時(shí)間地駐留在系統(tǒng)中。常用的方式是竊取可靠的證書。當(dāng)竊取到可靠的證書之后，攻擊者會在多個(gè)被妥協(xié)

第2章論文動機(jī)11組攻擊者發(fā)動同一類型的APT攻擊表現(xiàn)出來的，例如，APT1中C&C域名得到的網(wǎng)頁中包含特殊的HTML標(biāo)記，ke3chang攻擊簇表現(xiàn)出相似的HTTP回復(fù)模式。只是，這些特殊標(biāo)記、回復(fù)模式表現(xiàn)出的相似性是一類局部相似性。對于這種相似性，攻擊者可以在不影響攻擊性能的情況下輕易改變這種相似性模式，使得利用這種相似性模式進(jìn)行檢測的方法失效。所以，我們利用APT攻擊中C&C通信中惡意域名與IP地址存在重疊映射的現(xiàn)象作為檢測APT的特征，這樣攻擊者在擁有有限的惡意域名和攻擊資源的情況下需要付出很大代價(jià)才能改變這種特征，這正是我們進(jìn)行有效檢測的基矗圖2.1惡意域名映射圖通常來說，惡意攻擊升級改進(jìn)的過程是在現(xiàn)有的惡意代碼的基礎(chǔ)上進(jìn)行修改。新的惡意代碼會在結(jié)合原有的惡意代碼的基礎(chǔ)上提升感染的機(jī)制，有效負(fù)載的效果。這就是為什么說被劃分到相同攻擊簇的惡意攻擊會在行為、執(zhí)行、策略和特征方面表現(xiàn)出相似性[18]，于是我們得出結(jié)論APT的相似性，是以APT攻擊簇的形式呈現(xiàn)的。事實(shí)上，惡意攻擊表現(xiàn)出的這種相似性，正是防御者對于惡意攻擊與普通正常行為進(jìn)行區(qū)分檢測的橋梁，通常檢測思路是將與表現(xiàn)出相似惡意行為特點(diǎn)的攻擊進(jìn)行聚類。所以，不同于其他檢測APT攻擊的方法，我們這篇論文將檢測對象集中在APT屬于相同攻擊簇的一組攻擊上，試圖去檢測出在系統(tǒng)內(nèi)部屬于相同攻擊簇的所有APT的攻擊。而且攻擊者在侵入系統(tǒng)之后，會對被感染的系統(tǒng)的漏洞進(jìn)行修復(fù)，避免在進(jìn)行攻擊的過程中，受到其他攻擊者的影響。所以，我們針對同一攻擊簇的檢測策略，能讓我們更集中地提取出APT在一個(gè)系統(tǒng)內(nèi)部表現(xiàn)的相似性的特點(diǎn)是非常必要而且是有效的。


本文編號：3398185