基於目標模型的APT攻擊檢測研究

APT 攻擊的持續性和先進性使得傳統基於時間點和特徵匹配的攻擊檢測技術難以適用,大數據分析是APT攻擊檢測重要研究方向,但海量的安全事件和事件間關聯的隱蔽性制約了該類方法的發展,發現APT攻擊的核心事件及事件間的關聯關係,是APT攻擊檢測亟待解決的關鍵問題。.本項目認為,“目標”是APT攻擊中唯一的不變數,攻擊者圍繞目標制定攻擊方案,只有對目標進行深入分析，才能以不變應萬變, 將APT攻擊過程中繁多的、長時間的、複雜的、片段化的攻擊痕跡組織起來,檢測APT攻擊。本項目擬以“目標”為核心,目標由防禦方自行定義，一般是機構內最有價值的對象，也即是最有可能成為APT攻擊目標的對象。研究目標模型的建立，並基於目標模型,從海量數據中發現針對目標的APT攻擊的核心事件集和事件間的隱蔽關聯關係,進而檢測出針對目標的APT攻擊,並揭示APT攻擊全過程。

APT攻擊是攻擊者以任務為導向對目標實施的長期、複雜的攻擊。APT攻擊過程中根據目標環境動態採用各種攻擊手段，攻擊效果顯著且難於防範，已成為網路滲透和系統攻擊的演進趨勢，而其危害性遠遠大於傳統的網路攻擊，對經濟、能源甚至國家的政治及軍事造成嚴重危害。因此，研究APT攻擊檢測技術，發現正在進行中的APT攻擊，並還原APT攻擊的整個過程是安全領域的必然需求，具有重大的現實意義。本項目認為，“目標”是 APT 攻擊中唯一的不變數，只有明確目標，才能以不變應萬變，將 APT 攻擊過程中繁多的、長時間的、複雜的、片段化的攻擊痕跡組織起來，實現 APT 攻擊檢測的目的。因此，本項目以防禦方自定義的保護對象，即最有可能成為APT攻擊目標的對象為核心，關聯APT攻擊過程中的海量安全事件，實現APT攻擊檢測，並還原APT攻擊全過程。本項目第一年度主要研究通用目標模型的建立及動態目標模型的生成，搭建大數據分析平台；第二季度研究基於模型的擴展圖及目標安全影響圖的自動生成，以及研究基於目標模型的種子安全事件生成方法與疊代啟發式隱蔽關聯發現方法；第三季度為搭建實驗環境，模擬典型APT攻擊，根據仿真實驗結果對相關技術方案進行調整工作。本項目按期完成研究計畫，將項目研究成果形成多篇高質量的論文，並在國內外的知名會議和期刊上投稿並錄用，如IEEE Access、Security and Communication Network等。本項目共發表及錄用論文19篇，其中SCI檢索10篇，EI檢索4篇，申請專利4項。本項目結合已有的工作基礎，在對APT攻擊進行深入研究的基礎之上，提出基於目標模型的APT攻擊檢測。目標可由防禦方自行定義，往往是機構內最有價值的對象，也即是最有可能成為APT攻擊目標的對象。基於目標模型對安全事件進行多尺度量化，從海量數據集中挖掘出最有可能構成針對目標的APT攻擊的安全事件，形成種子安全事件集，並基於目標模型發現安全事件間的隱蔽關聯關係。這項研究的科學意義還在於為APT攻擊檢測、網路攻擊檢測提供新的研究方法和研究思路。