文獻標識碼: A
DOI: 10.19358/j.issn.2097-1788.2022.04.008
引用格式: 羅漢新,王金雙,,伍文昌. 基于溯源圖節(jié)點級別的APT檢測[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,,2022,,41(4):49-55.
0 引言
近年來,,高級持續(xù)性威脅(Advanced Persistent Threats,APT)等復(fù)雜攻擊對網(wǎng)絡(luò)空間安全提出更大的挑戰(zhàn),。攻擊者不斷改變攻擊模式,,尋找新的入侵點,并使用混淆方法保持不被發(fā)現(xiàn),。然而,,當前入侵檢測系統(tǒng)通常將系統(tǒng)調(diào)用和網(wǎng)絡(luò)事件作為依據(jù),只攜帶日志條目之間的順序關(guān)系,,難以直接提取有效的關(guān)聯(lián),,因此對于APT的檢測效果不佳。近幾年的研究建議利用溯源圖(Provanace Graph)豐富的上下文信息來實現(xiàn)入侵檢測,。溯源圖是一個有向無環(huán)圖,,圖中節(jié)點表示系統(tǒng)中主體(如進程、線程等)和對象(如文件,、注冊表,、網(wǎng)絡(luò)套接字),有向圖中的邊表示頂點之間的控制流和數(shù)據(jù)流的關(guān)系,。與原始系統(tǒng)審計數(shù)據(jù)相比,,溯源數(shù)據(jù)具有強大的語義表達能力和歷史攻擊關(guān)聯(lián)能力。
目前攻擊者更傾向于使用零日攻擊,,基于特征的方法缺乏檢測未知威脅的能力,。基于異常的圖核(Graph Kernel)檢測方法對整個溯源圖進行檢測,,然而隱蔽入侵活動下生成的溯源圖可能與良性行為活動下生成的溯源圖相似,,因此,難以檢測出相似溯源圖之間的異常,,同時也無法識別和定位異常節(jié)點,。
針對上述問題,本文提出了基于溯源圖節(jié)點級別的APT實時檢測方法,。該方法將溯源數(shù)據(jù)作為源數(shù)據(jù)輸入,,使用K-Means聚類方法和輪廓系數(shù)相結(jié)合的方法對訓(xùn)練數(shù)據(jù)集中良性節(jié)點進行聚類,,得到良性節(jié)點簇以及簇質(zhì)心。最后通過判斷新節(jié)點是否屬于良性節(jié)點簇來判別是否存在異常,,可在節(jié)點級別上進行威脅檢測,。
本文詳細內(nèi)容請下載:http://forexkbc.com/resource/share/2000004990。
作者信息:
羅漢新,,王金雙,,伍文昌
(中國人民解放軍陸軍工程大學(xué) 指揮控制工程學(xué)院,江蘇 南京210007)