面向APT網路監測的網路基因基礎理論與關鍵技術研究

當前高級持續威脅APT對國家網路空間安全構成嚴重危害，在網際網路巨大而又複雜多樣的網路流量背景中，其特有的強未知性、深隱蔽性和高危害性使傳統網路監測技術面臨空前嚴峻的挑戰。本項目針對APT網路監測的迫切需求，依託快速發展的大數據和雲計算技術，借鑑生物學機理，以表示網路套用的富語義網路行為模式的數字片斷及組合序列為內涵，提出網路基因的新概念，通過有機結合網路協定逆向分析與網路數據流處理技術，建立一套網路基因構建與計算的基本理論及技術體系，支撐構建辨異容侵的網路生態環境；項目將在海量網路套用的網路基因自動分析提取、高速網路流背景下網路基因實時匹配等關鍵支撐技術上取得突破；通過深度異常行為檢測評估技術的研究，從套用角度驗證網路基因新理論方法對發現未知網路攻擊的有效性。本課題研究成果將為破解APT網路監測難題提供新的理論和技術支撐，也可進一步推廣套用於態勢感知等網路空間安全其它領域。

當前傳統成熟的網路監測技術通常建立在對網路流量模式和攻擊特徵已知的基礎上，難以發現手段未知、行為隱蔽和過程持久的APT威脅。隨著移動網際網路用戶規模的迅猛發展，網路套用層出不窮、網路協定複雜多樣、網路攻擊花樣翻新，網路空間中充斥著巨大而複雜的流量背景，使APT的發現愈加困難，因此，APT網路監測理論與關鍵技術的研究具有重要的套用價值與科學意義。 本項目借鑑生物學機制，提出網路基因新概念對複雜網路行為模式進行表示與處理，以網路基因自動構建為核心，以網路異常行為檢測為目標，充分利用數據流處理的強大計算能力，從網路行為模式與網路基因表示、網路基因自動提取、基於數據流的網路基因實時處理、網路異常行為深度檢測等四個方面研究網路基因構建與計算的基本理論及技術體系。在複雜網路攻擊圖構建方法、基於機率圖模型的複雜網路威脅行為表示及其檢測方法、基於二進制分析的網路協定模型推理技術、基於網路跡的類型感知網路協定逆向訊息聚類方法、基於混合特徵相似性分析的惡意代碼變種檢測算法、基於行為模式特徵的惡意代碼家族演化樹構建算法、基於分割圖的惡意代碼家族世系網路自動構建算法、基於協定基因模型的網路行為異常檢測方法、基於Storm的分散式數據流處理平台、“人在迴路”的異常行為檢測架構、基於傳輸層和套用層集成分析的網路異常檢測模型、基於注意力機制的深度學習的套用層載荷異常檢測算法、基於複雜特徵值耦合關係學習的非獨立同分布數據異常檢測算法等方面取得了一系列創新性研究成果，為進一步提升APT網路監測與未知網路攻擊檢測能力提供了理論和技術支撐。 項目研究期間，在AAAI、CIKM等國內外核心期刊和學術會議上發表學術論文26篇，其中，在國際期刊發表論文6篇，在國際會議發表論文14篇， 7篇論文被SCI收錄，11篇論文被EI收錄，1篇論文在國際會議上獲獎。項目組培養博士生3名、碩士生8名。