下载  >  开发技术  >  其它  > 论文研究-针对APT攻击的动态防御方法研究 .pdf

论文研究-针对APT攻击的动态防御方法研究 .pdf 评分

针对APT攻击的动态防御方法研究,黄俊,李德华,APT攻击作为黑客攻击的一种新型手段,给互联网信息安全带来了严重的威胁。APT攻击具有技术性强、隐藏性好、持续时间长、危害性大等��
山国武技记文在 算杋速度的提高,分布式计算的愈演愈烈,想破解也并非不可能的事情,即使他们在短期内 无法破解密文,但是他们仍然可以对数据进行恶意修改、重放,在这样的情况下,加密技术 就无能为力了 可以看岀,传统的被动防御方法主要采用静态策略,都能在一定程度上发现或阻止攻击。 但是,面对深层伪装,长期潜伏,攻击方式多样的攻击就显得有些力不从心。因此,如 何变被动防御为主动防御方式是网络信息安全研究的重点。 主动防御方法介绍 主动防御是基于程序行为自主分析判断的实吋防护技术,告别传统的以病毒特征作为判 断入侵依据,有效的解决了传统防御方法无法处理木知病毒的弊端。 诱骗技术是近年来网络安全中的一个新的研究热点,是主动防御体系中的最常用的一种 技术。诱骟技术位于内部网内,模拟内部网的日常活动,构建攻山者感兴趣的环境,把入 侵者的火力吸引到自己身上,通过分析入侵者的行为,挖掘攻击者的行为模式。既能够消耗 了攻击者的资源,又保护了其他的主机信息。 日前在对抗攻击的各种方法中,使用了诱骗杋制的,主要是沙箱技术和蜜罐技术 沙箱的诱骗思想在于使用访问控制技术,将不可信模块与实际操作系统隔离,保证操作系统 的鲁棒性用于应对未知威胁时,将未知威胁的载体强制转移到沙箱环境中,通过对可 疑目标在沙箱环境中行为的监控,观察该目标是否做出了危险动作,以此来确定其是否具备 威胁。然而在应对攻击时,随着攻防双方技术手段的博弈升级,具有针对性的A攻击 载体木马、病毒等,可以通过多种方式回避沙箱检测。 蜜罐技术是通过设置诱饵性质的主机、网络服务或者敏感信息,诱使攻山方对它们采 取攻击行为。通过对这些攻击行为的捕获,进而采取针对性的防御措施。然而在的攻 防对抗中,攻击者如果有足够的耐心,在一些预设的技术于段和人工干预下,设置的蜜罐往 往很容易就被发觉。究其原因,还是因为蜜罐环境无法解决仿真度与可控性之间的矛盾。 基于用户行为的诱骗方法 通过上述分析,可以发现,应对攻击,应该有一种立足于用户行为特征的、融合 于实际操作系统和业务流程的手段。而在发现用户行为发生异常后,则应该应用一种诱骗技 术在正常的系统和业务流稈中构造诱骟场景,引诱被怀疑对象做出更多的暴露行为特征的动 作,来加强系统对其身份的识别。 本文提岀了一种基于用户操作文件行为的入侵诱骗技术。诱骗环境建立在真实的系统 环境中,采用真实的文件作为诱饵,使得攻击者无法感知诱骗环境的存在。系统的实现框图 如图3-1所示。截获用户访冋文件的鼠标行为,构建频繁序列模式库。新用户则首先进行离 线训练,构建该用户的正常行为模式库。否则便实吋获取用户访问文件的鼠标行为,进行相 应的预处坦,挖掘当前用户的序列模式。与已经训练的正常模式进行匹配。匹配结果高于可 信阈值时,即判定为合法用户。匹配结果低于怀疑阈值时,即判定为攻击者,立即向安全中 心报警。当匹配结果介于两者之间时,即判定为可疑用户,动态构建诱骗环境,诱使可疑用 户再次浏览诱饵文件,继续挖掘用户的行为,直到确定该用户的身份合法性。 山国武技记文在 开始>新用户 「离线 序列 训练 模板 获取鼠标行为诱骟 可疑 可信 效据预处理 报警 危险 匹配 序列模式挖掘 图 攻击检测系统框图 用户鼠标行为序列模式挖掘 2003年 等人第一次提岀了用鼠标行为特征识别用户的可能性。随后, 等人进行了一个有10个用户参与的实验,得出的结果有37.5%错误率。我们知道,不 同人由于习惯,身体状况,心理等原因,在访问文件时就表现出各自不同的行为特点,如鼠 标的移动轨迹,移动速度,单击、双击左键、右键的频率,滚动滚轮的速度等都是不尽相同 的 鼠标行为数据的获取 系统利用全局钓子 来截获访问文件时鼠标事件,如图3-2所小。包拈 鼠标动作、像素坐标、所在窗口、系统时间。 0x200 0x3CFA10 MOUSEMOVE (1183, 356 AV2ageVie N 56740324 0x200 Ox3CFAlo MOUSEMOVE (1183, 350) AV2agevleN 50740332 0200 Ox3CFA10 MOUSEMOVE(1183, 357) AV2ageview56740341 0x 201 0x3CFA10 LB DN (1183,357) AV2agcVicW56712161 0x202 0X3CFA10 LB UP (1183357) APPage vie:56742292 0:20A 0x]C[A10 MOUSDWl ILL(1103, 357) Av5ageview 56747301 0x20A Ox3CFA10 MOUSEWHEEL (1183, 357) AVageview 567 8781 图截取鼠标数据格式 行为序列的获取 鼠标的运动轨迹可作为挖掘不同用户习惯的典型特征。图可以看出,在阅读同一 文档时,不同的用广衣现出了明显不用的鼠标轨迹行为。 用户1 100—用户2 压50 700 40C 1000 1400 屏幕X轴偬蒸值 图不同用户的鼠标轨迹 山国武技记文在 论文研究鼠标轨迹信息作为判定用户合法性的数据来源。论文釆用抛物线模型表征鼠标 轨迹在拐角处的弯曲程度。该抛物线由拐角处的点作为顶点以及顶点前后的几个点拟合而 成,模型图如图3-4所示。一般情況下,抛物线的对称轴既不平行于轴也不平行于轴 因此,可采用基坐标系变化,变换后的基坐标系以抛物线的顶点为坐标原点,对称轴为Y 轴,开凵方向为Y轴正方向。 如图,, 构成的拋物线的对称轴既不平行于轴也不平行于 轴时,可以得到(1)(2)式 图抛物线示意图 设 组成的直线方程为 ,则可得到()式 同理设 组成的直线方程为 则可得到()式 综合 可得: 山国武技记文在 其中,(5)式中k表示经过新坐标轴的直线在原始坐标轴中的直线斜率。可以得到(6) 式 为了计算方便,我们可以采用近似值,有图可以看出,以轨迹曲线的转弯处作为曲线的 顶点,之前和之后的儿点关丁定点近似对称,因此可以通过接近定点的儿组数据的中点规划 出对称轴。由标准抛物线的 的曲率为可知,对于规整化后的抛物线 的曲 率即为 序列模式挖掘 频繁模式挖掘的重要目的是从大量的数据源中挖掘出潜藏在其屮的用户模式。利用数 据挖掘技术进行入侵检测,不仅可以减小人力的消耗,而且具有良好的智能性。能够很好的 检测未知类型的攻击。 论文利用改进的算法挖掘鼠标轨迹序列的频繁模式序列。 算法是一种 典型的关联规则挖掘算法:第一步通过检索的方式找岀数据库中满足支持度的频繁项集,第 二步依据置信度从频繁相集中找出强关联规则。其寻找频繁项集的步骤为: (1)选取长度K=1,对数据库扫描,找到所有的K=1频繁项集 2)以上·趟产生的频繁项集为基础,步长增加,对新的项集再次计算,生成真正的 频繁项集; (3)重复(2)的过程,直到无法找到新的项集,算法终止。图3-5即为挖掘的频繁模式 序列,每条序列的最后一项为该序列的支持度。 8710.120.110.100.091.00:5 872-0.33-0.00-0.14-0.180.20:4 8732,650.270.201.007,96:5 8740.110.100.001.777.96: 8750,120,110.101,771,00:6 8762.650.110.100.001.77:4 8772.650.110.100.091.77:4 8780,120.110.100.091.77:6 8795.310.330.256.191.00:13 8802.650.270.251.007.96:2 31-0.3-0.00)一0。14-0.170).25 图轨迹频繁模式序列 实时异常检测 巳用户开始操作文件,使截获鼠标的轨迹信恳,进行预处理,得到每一次的轨迹偏 移序列,利用频繁模式挖掘算法挖掘当前用户操作文件的频繁模式序列。接着与已知规则斥 中的频繁模式序列进行匹配,用向量来表示序列,用 函数来衣征序列模式之间的 匹配度,匹配函数定义如下 山国武技记文在 其中 序列K与序列Y的匹配度可以表小为: a3B303 其中,为向量中的属性,为向量中属性的个数。为正常行为模式序列,为当前用户行 为模式序列。a为序列X在正常模式序列库中同等长度序列中的支持度百分比,β为序列Y 在当前用户鼠标行为模式序列库中同等长度序列中的支持度百分比,0为序列X中各个属性 的支持度百分比,σ为序列Y中各个属性的支持度百分比,利用公式(1)(2)(3)计算得到的 即表示当前模式序列与正常用户模式序列的匹配度,给定两个匹配度阈值ε1和 E2,ε1表示可信阈值,82表示异常阈值,若匹配度 >8,,则判定当前为合法用 。若匹度 <82,则判定当前为攻击者。若ε <8,,即判定当前 用户可疑,构建动态诱坏境,继续判定用户的合法性。 动态构建诱骗环境 论文将诱骗环境融合在真实的业务系统中,通过在用户很可能经过的地方放置用户感兴 趣的文件。诱骗环境设質銜单,攻击者很难察觉,一段时间后自动删除诱骗文档,资源消耗 小,管理简单。诱骗文档的获取分两种:一是将当前可以用户正在操作的文档名分割后作为 关键字,通过在当前主机中查找相关的非关键文档。作为攻击者兴趣文档,然后将其作为秀 骗文档复制到岀前文档的目录中。当前文档浏览完成以后,若是攻击者,就很有可能继续就 近浏览相似的文档。·旦操作这些诱骗文档就可以继续通过用户的行为来确定是否为合法用 二是将正常用户最近频繁浏览的非关键文档复制到当前文档的目录中,正常用户就很有 可能会打开浏览,最近频繁阅读的文件的操作行为更能代表用户的行为习惯,有利于提高检 测的准确率。 结论 表实验结果 用户 文档类型未进入诱骗检未进入诱骗误通过诱骗检测通过诱骗误检 测率 检率 率 率 用 用 用户 用户 山国武技记文在 论文采集位用户最近周的操作文档的行为数据。利用本系统的方法,获取用户读 取类型以及类型和类型文件的鼠标行为分析处理,构建各自的正常频繁模式序 列。然后让其他用户不同时间多次来操作正常用户的主机的文档。其中位用户的实验结果 如表所示。可知,在为进入诱骟环境之前的检测率 之间,误检率在 之 间。在通过设置诱骗环境以后,检测率在 之间,误检率在 之间。总体来 讲,随着诱骗环境的介入,檢测效果有一定的改善。从实际实验环境可知,这几名互相浏览 对方主机文件的用户都带有一定的目的性,从而使得诱骗环境不能较好的发挥作用。在实际 应用中,由于攻击者需要不断搜寻有价值的文件,因而更容易进入诱骗环境,检测结果相对 论文会有更好的效果。 参考文献 天眼实验室《年中国高级持续性威胁()研究报告》 徐远泽张文科罗影等攻击及其防御研究通信技术 杨光明子基于入侵检测的防御平台的设计与实现北京北京邮电大学 权乐高姝徐松攻击行动研究信息网络安全 杜跃进应对面临的挑战中国信息安全 王在富浅析攻击检测与防护策略无线互联科技 王文龙动态目标防御中的诱骗与反攻击方法研宄华中科技人学 王宇韩伟杰攻击特征分析与对策研究保密科学技术 钱钢邓勤基于蜜罐技术的入侵检测系统研宄计算机应用技术 沈超蔡忠闽管晓宏基于鼠标行为特征的用户身份认证与监控通信学报 小文静傅涛基于改进 算法的入侵检测数据挖掘模型研究软件

...展开详情
所需积分/C币:8 上传时间:2019-08-16 资源大小:581KB
举报 举报 收藏 收藏
分享 分享
论文研究-LTE-A系统PUSCH功率控制算法 .pdf

LTE-A系统PUSCH功率控制算法,魏豪,刘可文,本文针对现有LTE-A系统上行物理共享信道(PUSCH)功率控制中外环基于PHR处理来更新目标SINR方案存在对小区边缘用户性能改善不明显以及�

立即下载
论文研究-A Graph-Based Conflict-Aware Load-Balancing Algorithm for Database Replication.pdf

基于图的冲突感知的负载均衡算法,郑安根,廖建新,本文针对基于认证的数据库复制协议事务回滚率比较高的问题提出了一个基于图的冲突感知的负载均衡算法。全局上,该算法首先将系统

立即下载
论文研究-A*算法估价函数分析及其改进 .pdf

A*算法估价函数分析及其改进,丁小辉,孙汉旭,针对大范围地图情况下,经典A*算法在扩展节点空间比较大,运行时间比较长这两点不足,在对估价函数特性进行分析的基础之上,提出�

立即下载
论文研究-A Study of Kernel Select for the Relevance Vector Machine.pdf

相关向量机核函数选择研究,彭旸,李德华,文章提出一种相关向量机核选择方法。现有针对相关向量机的研究主要集中在算法稀疏性以防止过学习、加快算法运算速度以适应大数据

立即下载
论文研究-A Fast Algorithm for Fractional-order Total Variation Based Multiplicative Noise Removal.pdf

一种基于分数阶总变分的乘性噪声去噪快速算法,张军,韦志辉,本文利用算子分裂方法提出了一种针对具有一般保真项的基于分数阶总变分的变分模型的快速交替迭代算法.我们提出了两种具有不同保��

立即下载
论文研究-高速铁路移动通信下基于IMT-A的时变信道建模.pdf

信道建模及其仿真方法是高速铁路移动通信系统设计的难点,同时已有的面向高速移动下IMT-A时变信道建模的研究仍存在不足。针对上述挑战,提出了一种高铁移动下具有时变参数的基于IMT-A信道的建模方法。首先,针对IMT-A的城市宏小区场景,设计了一个马尔可夫过程来模拟时变簇的数量变化,接着推导出随时间变化的信道参数的表达式,其中包括簇的延迟、功率、离开角和到达角,并得到了信道冲激响应;其次,分析了信道的时变空时域互相关函数、时变自相关函数以及平稳间隔;最后,对所提信道模型的统计性质进行了仿真,验证了该模型具有时变性且高速铁路信道具有的非平稳性,并证明了所提信道模型可用来模拟高速铁路信道的可行性。

立即下载
论文研究-A New Type of Adaptive Control to Distributed Time-delay Constant for Distributed Time-delay Systems.pdf

一类分布时滞系统的对时滞参数的新型自适应控制,柴琳,费树岷,针对一类带输入时滞、状态时滞、分布时滞的且分布时滞常数未知的线性分布时滞系统,基于LMI方法,采用一种Lyapunov-Krasovskii函数和新型带

立即下载
论文研究-基于ROS的多目标A*改进路径规划算法研究 .pdf

基于ROS的多目标A*改进路径规划算法研究,刘祎然,魏世民,针对移动机器人,提出了一种基于A*改进的连续多目标路径规划算法,并在ROS环境下对改进算法进行仿真。首先,分析了传统A*算法的原��

立即下载
论文研究-基于改进稀疏A*算法的三维航迹规划方法 .pdf

基于改进稀疏A*算法的三维航迹规划方法,张俊峰,周成平,无人飞行器的飞行空间广大,规划环境多种多样,针对带有方向约束的海对陆规划环境,本文提出了一种改进的稀疏A*算法用于该环境下�

立即下载
论文研究-多技能呼叫中心排班算法研究.pdf

论文研究-多技能呼叫中心排班算法研究.pdf,  对多技能呼叫中心的排班问题进行了系统研究.采用考虑顾客放弃的Erlang-A模型计算人力需求,应用动态集合覆盖算法解决多技能排班路由问题,针对多技能优化排班问题设计开发相应的启发式算法,并应用某呼叫中心的实际数据验证了算法的计算效率和优化效果.此外,对不同人力分组方案和不同班时拆分方案进行了一系列试验计算,发现分组细化和班时细分都能够提升排班

立即下载
论文研究-Nonlinear Adaptive Regulation Control of A Quadrotor Unmanned Aerial Vehicle.pdf

四旋翼无人飞行器的非线性自适应镇定控制器设计,曾伟,鲜斌,本文采用在线参数辨识与反馈控制相结合的方法,针对具有欠驱动特性的四旋翼无人飞行器,设计了一种非线性自适应镇定控制器,并且在�

立即下载
论文研究-无人飞行器航迹规划的工程化稀疏A*算法.pdf

针对无人飞行器(unmanned aerial vehicle, UAV)低空突防的作战任务背景, 结合工程实际, 提出了一种面向工程化应用的稀疏A*算法求解航迹规划问题。考虑到UAV的机动性能、任务要求、作战环境威胁等因素, 分别从UAV的最大转弯角度、最小直飞距离和最大航程等约束条件对稀疏A*算法的节点搜索策略进行了设计。针对以固定角度进入目标的任务要求, 引入虚拟威胁圆满足UAV最大转弯角限制。同时, 设计了航路点信息结构, 并采用双向链表进行存储; 提出了基于最小二叉堆的OPEN表维护方法, 提高算法的实时性。最后, 通过规划实例对方法进行了验证。

立即下载
论文研究-基于Leader-Follower的分队队形控制寻径算法研究.pdf

在战场环境中,战术分队的队形在面对复杂静态或动态障碍物时难以较好地保持,针对此问题,提出了基于Leader-Follower算法的改进队形控制方法。在leader寻径阶段,通过在战场导航网格中应用两阶段路径搜索方法,先使用A*算法寻找由三角形通道和可利用地物组成的路径,再使用改进的Funnel算法在考虑队形规模的约束条件下对路径作平滑处理。在follower跟随阶段中,通过采用morphing技术,产生在复杂障碍约束下平滑的中间约束队形序列,并结合提出的队形弹簧模型,局部修正并控制follower每一时刻的速度。为解决面对动态障碍的避碰问题,基于相对速度障碍法,并加入速度协同控制,避免队形在避

立即下载
论文研究-基于S3C2410A的嵌入式网络通信系统设计与实现.pdf

针对嵌入式系统在网络通信中的应用需求,设计并实现了一种基于ARM9微处理器S3C2410A的嵌入式网络通信系统,给出了系统的电路设计方法。重点介绍了系统在ARM-Linux嵌入式操作系统环境下,实现socket通信的Qt/Embedded应用程序的设计方法,并给出了部分源代码。采用此方案设计的嵌入式网络通信系统成本低、功耗小、实时性好。实验结果表明此系统工作稳定、性能高。

立即下载
论文研究-基于HDMI1.4a接口的3D高清视频转换系统设计 .pdf

基于HDMI1.4a接口的3D高清视频转换系统设计,李殿君,童子权,目前市场上的3D电视大都还没有兼容HDMI1.4a接口所规定的3D传输格式标准,针对这一现状,本文介绍了一种基于HDMI1.4a接口协议的高清3D电��

立即下载
论文研究-基于STC12C5A60S2的智能晾衣架设计 .pdf

基于STC12C5A60S2的智能晾衣架设计,薛志超,高阳,针对现今晾衣架功能单一,智能化程度不高的问题,论文基于STC12C5A60S2,设计了一款新型的智能晾衣架。以STC12C5A60S2为主控芯片,采用光

立即下载
论文研究-基于Chirp-BOK-DQPSK调制的超宽带无线通信系统.pdf

针对普通的Chirp-BOK调制效率不高的问题,设计了基于Chirp-BOK-DQPSK调制的超宽带(UWB)无线通信系统,推导与验证了该系统在AWGN信道下的误比特率,分析了该系统在多径环境下存在较大码间干扰的原因。最后通过仿真分析比较了该系统和Chirp-BOK-UWB系统、Chirp-BOK-DBPSK-UWB系统在IEEE 802.15 SG4a给出的CM1和CM7信道下的性能。仿真结果表明,该系统在牺牲一定误码率性能的情况下,能有效提高传输速率。

立即下载
论文研究-核张量子空间分解EEG特征提取方法研究.pdf

针对共空间模式(Common Spatial Patterns,CSP)对源信号和记录的脑电信号之间严格的线性模式的假设关系,充分发挥张量在多维上同时处理的优势,研究了一种核张量子空间分解EEG特征提取方法。首先生成EEG数据的张量,利用带二次等式约束的最小二乘问题解决张量分解问题,并将张量扩展到子空间,减小计算的压力,最后推广到核空间,将数据投影到高维特征空间来增强辨别能力。实验数据采用2005年BCI竞赛III的数据集III_3a,实验结果表明,KTSD方法能够从多类运动想象任务的EEG数据中提取相应的特征,并得到较好分类结果和运行效率。

立即下载