分享
APT网络攻击演化分析和溯源分析方法.pdf
下载文档

ID:2748913

大小:1.58MB

页数:4页

格式:PDF

时间:2023-11-29

收藏 分享赚钱
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,汇文网负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
网站客服:3074922707
APT 网络 攻击 演化 分析 溯源 方法
SOFTWARE软 件2023第 44 卷 第 7 期2023 年Vol.44,No.7作者简介:侯振堂(1982),男,山西浑源人,硕士,正高级工程师,研究方向:信息化、矿山机电。APT 网络攻击演化分析和溯源分析方法侯振堂 原生芾 侯尚武 潘社辉 郑志辉(河南能源集团有限公司,河南郑州 450046)摘要:本文主要介绍主流 APT 网络攻击演化溯源的主要情况以及存在的问题,并通过攻击时序模式挖掘、攻击时空模型构建、攻击溯源分析等技术的阐述深入研究 APT 网络攻击演化分析和溯源分析方法。关键词:APT 网络攻击;演化分析;时序模式挖掘算法;深度学习中图分类号:TP393.08 文献标识码:A DOI:10.3969/j.issn.1003-6970.2023.07.016本文著录格式:侯振堂,原生芾,侯尚武,等.APT网络攻击演化分析和溯源分析方法J.软件,2023,44(07):066-069APT Network Attack Evolution Analysis and Traceability Analysis MethodHOU Zhentang,YUAN Shengfu,HOU Shangwu,PAN Shehui,ZHENG Zhihui(Henan Energy Group Co.,Ltd.,Zhengzhou Henan 450046)【Abstract】:This paper mainly introduces the main situation and existing problems of the evolution traceability of mainstream APT network attacks,and deeply studies the evolution analysis and traceability analysis methods of APT network attacks through the description of attack timing pattern mining,attack space-time model construction,attack traceability analysis and other technologies.【Key words】:APT network attack;evolution analysis;evolution analysis;depth learning设计研究与应用0 引言随着信息安全技术的进步与安全意识的提升,运营商已经通过加强技术和管理的手段实现对传统网络安全威胁的有效对抗,但针对绕过边界防御潜入内网的威胁(如 APT 攻击)缺乏有效检测手段。APT 攻击(Advanced Persistent Threat,即高级持续性威胁,是一种周期较长、隐蔽性极强的攻击模式。用于演化分析的时序模式挖掘算法不能适应 APT 网络攻击数据的多源异构特性,现有用于演化分析的深度时空模型不能适应系统变量间的复杂时空关联;当前的 APT 网络攻击溯源分析方法在多层次数据自动融合优化等方面都存在着一定问题,本文针对上述内容对 APT 网络攻击演化分析和溯源分析方法进行深入研究改进。1 APT 网络攻击的演化对 APT 网络攻击的演化模式进行挖掘和对时空规律进行建模,可更清晰地了解攻击流程和目的,从而使潜在的受害部门能更有效地制订防御对策。在演化模式挖掘方面,当前 APT 网络攻击的演化模式(如攻击阶段的划分)主要依赖专家经验,随着 APT 网络攻击时序数据的积累,要求从中自动挖掘 APT 网络攻击的演化模式更加经济、高效和准确。现有模式挖掘算法主要包括频繁模式挖掘算法(如 Apriori 算法及其各类变种)和序列模式挖掘算法(如 GSP 算法、PrefixSpan算法等)1。这些算法均要求时序数据的元素是类别型变量且满足离散关系(如相同、不同),无法适应 APT网络攻击时序数据元素的多源异构特性。在时空规律建模方面,现有的 LUR(Land-Use Regression)、CNN(Convolutional Neural Network)等空间模型和ARIMA(Autoregressive Integrated Moving Average)、RNN(Recurrent Neural Network)等时间模型无法同时对时空规律进行建模2。随着深度学习的发展,通过融合空间子模型和时间子模型,设计复杂的深度神经网络,可实现同时对时空规律进行建模的目的,最常见的即融合 CNN 子模型和 RNN 子模型。然而,由于 APT 网络攻击的复杂性,系统变量间的时空关联往往也十分复杂(例如,物理对象之间的空间关联往往不能仅由物理距离度量甚至不能仅在欧式空间中度量,系统状态之间的时间关联由平滑性、周期性等综合67侯振堂 原生芾 侯尚武等:APT 网络攻击演化分析和溯源分析方法确定且受外部上下文影响),导致现有的时空模型无法有效处理。演化分析最重要的应用之一即溯源分析。溯源分析常常被用来监控系统活动。利用依赖图(Dependency Graph)进行溯源分析是一种常用的方法。King 等人最早使用依赖图来向前追溯入侵攻击的原因,通过搜集关联事件信息并定义系统实体间的因果关系,来帮助分析人员在攻击发生后进行溯源分析。Lee 等人建立了一种基于程序执行单元的溯源分析系统 BEEP,通过将应用程序划分成执行单元,其中每个执行单元代表了程序中的主循环的一次迭代,从而提高溯源分析的精确度。由于 BEEP 在创建图的过程中会引入噪音,导致空间效率低下,为解决这个问题,Ma 等人建立了一个轻量级的溯源系统 ProTracer,通过系统事件分段与单元级别追踪,为起源对象提供支持(如任何文件的源和祖先)。上述方案仅针对系统底层的主体、客体与事件,并没有使用系统高层的语义(如用户层的行为)来进行全方位的溯源分析。针对此问题,Ma 等人再次提出了改进方案,提出了一种基于语义感知的程序注释和插桩的溯源分析技术,能为一次攻击行为提供系统的高层语义信息,但是仅用高层次语义却没有对应系统底层调用的细节行为,同样难以保证溯源分析的完整性。综上所述,现有用于演化分析的时序模式挖掘算法不能适应 APT 网络攻击数据的多源异构特性,现有用于演化分析的深度时空模型不能适应系统变量间的复杂时空关联;当前的 APT 网络攻击溯源分析方法在多层次数据自动融合优化等方面都存在着一定问题。2 APT 网络攻击演化分析和溯源分析方法通过研究 APT 网络攻击演化分析和溯源分析方法,其具体研究方法和技术路线如图 1 所示3。2.1 APT 网络攻击时序模式挖掘时序模式指能够表征数据在时间上演化规律的符号序列,是一种符号主义建模手段,因此具有较强的可理解性和可解释性。探索 APT 网络攻击的时序模式(如攻击阶段模式、阶段行为模式等),对理解 APT 网络攻击演化规律、制订 APT 网络攻击防御策略等工作有着重要的意义。然而,现有时序模式挖掘算法(如AprioriAll、PrefixSpan、GSP 等)无法适应 APT 网络攻击数据的特性,主要表现在:现有时序模式挖掘算法均要求时序数据的元素是类别型变量且满足离散关系(如相同、不同),但 APT 网络攻击时序数据的元素可能包含类别型变量和连续型变量,甚至类别型变量间由于语义关联性也可能产生非离散的连续关系。为此,通过能适应连续关系元素时序数据的时序模式挖掘算法,以适应 APT 网络攻击时序模式挖掘任务。2.1.1 研究系统变量语义关联建模方法针对不同的 APT 网络攻击时序模式挖掘问题域(如攻击阶段模式挖掘、阶段行为模式挖掘等),定义相应的系统变量(包括物理对象、系统状态、攻击行为等),基于语义网络(Semantic Network)对系统变图 1 APT 网络攻击演化分析和溯源分析方法技术路线Fig.1 APT network attack evolution analysis and traceability analysis method technical route原始时序数据网络语义扩展Apriort扩展PrefixSpan符号化时序数据多图融合神经网络空间子模型深度时空模型多尺度循环神经网络时间子模型重构挖掘融合用户UI行为数据系统调用行为数据UI攻击溯源图系统调用攻击溯源图混合视角溯源图构建深度时空模型编码器Attention语义向量计算循环神经网络解码器时序模式元素向量化可视化前向后向溯源实时可以行为分析APT网络攻击时序模式挖掘APT网络攻击溯源分析APT网络攻击时空模型构建基于时空模型的溯源解释应用方式合并68软 件第 44 卷 第 7 期SOFTWARE量间的语义关联进行建模。在此基础上,基于 APT 网络攻击多源异构数据融合结果,将系统变量表征到同一隐空间中,并在隐空间中计算系统变量间的语义关联度权值。2.1.2 研究 APT 网络攻击时序数据重构方法如图 2(a)所示,首先采用时间窗口对原始时序数据进行分割,然后基于系统变量间的语义关联度权值,采用聚类算法(如 MeanShift、DBSCAN 等)对每一时间窗口内的多元系统变量进行聚类分析,将聚类结果的核心点定义为该时间窗口的主元系统变量,最后将 APT 网络攻击时序数据重构为符号化的主元系统变量时序数据。2.1.3 研究新型时序模式挖掘算法以经典的模式挖掘算法 Apriori 和 PrefixSpan 为基础,引入模糊计算机制,提出能适应连续关系元素时序数据的时序模式挖掘算法。如图 2(b)所示,针对Apriori 算法,通过在模式拼接、支持度计算和频繁模式筛选三个核心步骤中引入模糊计算机制的方法(例如,在模式拼接过程中考虑元素的顺序,将现有的子模式严格匹配改进为子序列模糊匹配,基于子序列匹配度对候选模式进行聚类处理)。如图 2(c)所示,针对PrefixSpan 算法,通过在支持度计算和序列数据集投影两个核心步骤中引入模糊计算机制的方法(例如,基于元素在投影序列数据集中的加权出现次数计算支持度,基于频繁元素 k 最近邻进行序列投影)。在此基础上,通过调整匹配度阈值、置信度阈值等方式,探索在模式精确度和完整度间的平衡;通过快速过滤非频繁模式等方式,研究改进算法效率的方案。2.2 APT 网络攻击时空模型构建APT 网络攻击模型应一方面从空间上捕捉系统变量的结构关联(如攻击对象在物理空间中的距离或在系统中的交互);另一方面从时间上体现系统变量的演化趋势(如系统状态、攻击步骤之间的转换规律)。将两个垂直层面的数据综合建模,形成一个统一的时空模型,对态势分析、溯源分析等工作都具有重要的意义。然而,由于 APT 网络攻击的复杂性,系统变量之间的时空关联也十分复杂(如攻击对象之间的非欧式空间关联性,系统状态之间的多尺度时间关联性),导致现有的空间模型(如 LUR、CNN 等)、时间模型(如ARIMA、RNN 等)和时空模型(如 CNN+RNN 等)均无法处理如此复杂的时空关联。为此,对面向 APT网络攻击全场景的时空模型进行研究。由于深度神经网络能够方便地融合不同类型的子网络以实现复杂的模型,通过基于深度神经网络进行时空模型的研究4。2.3 APT 网络攻击溯源分析APT 网络攻击发生后,溯源分析能还原整个攻击链路,帮助分析者更高效、更准确地理解整个攻击流程。现有的溯源系统存在两方面问题:首先,现有基于系统信息的溯源系统采用文件、进程和套接字等信息构建攻击图,冗杂且语义不明确,不满足高效性需求。现有基于高层语义的溯源系统缺少对应系统底层调用细节行为的表示,难以满足准确性需求。其次,现有溯源系统大多仅还原攻击过程中的实际数据,对背后的演化模式、攻击套路缺少解释,导致决策者难以理解。为此,对基于用户、系统混合视角的溯源图构建方法,以及基于时空模型的溯源分析理解增强方法进行研究。2.3.1 研究基于混合视角的溯源图构建方法整体框架如图 3 所示,首先,通

此文档下载收益归作者所有

下载文档
你可能关注的文档
收起
展开