《高級持續威脅網路行為建模與檢測方法研究》是依託中國人民解放軍國防科技大學,由張博鋒擔任項目負責人的青年科學基金項目。
基本介紹
- 中文名:高級持續威脅網路行為建模與檢測方法研究
- 項目類別:青年科學基金項目
- 項目負責人:張博鋒
- 依託單位:中國人民解放軍國防科技大學
中文摘要,結題摘要,
中文摘要
面對高級持續威脅(APT)帶來的挑戰,傳統的檢測系統缺乏靈活的檢測框架和統一的威脅模型,檢測手段的可擴展性和檢測模式生成的自動化程度不足。項目針對網際網路環境中APT網路行為的多階段協作特點,從檢測的角度抽象其表現出的網路事件關聯等共性特徵,擬建立一種可載入多樣化監測手段和威脅判別方法的基於多層次網路事件聚合的新型APT網路行為模型與檢測框架。項目將突破基於多層次網路事件聚合的APT網路行為建模與檢測語義映射、基於個體事件聚合與群體屬性約簡的網路威脅模式挖掘,以及基於事件多層次聚合模型的APT網路行為判別等關鍵技術,為提高多樣化的APT網路行為分析、模式獲取和檢測的便捷性,增強威脅檢測算法向APT檢測能力轉變的自動化水平提供基本的理論依據和有效的技術手段。
結題摘要
本項目針對網際網路環境中APT的多階段協作特點,抽象其在檢測方所表現出的網路事件關聯等共性特徵這些特徵表現在網路事件的時空關聯上。項目提出了量化和度量網路時空關聯性的方法以及網路連線和威脅判別的機率圖建模方法NLDA,並能夠針對當前典型的網管和安全監測數據進行實例化,具有較強的描述能力和適應性。提出了基於個體事件聚集與群體屬性約簡的高級持續威脅模式挖掘方法AM2,同時基於挖掘的模式和NLDA訓練的模型進行多步驟高級網路攻擊的檢測,實現了吞吐率較高的線上版網路攻擊檢測原型系統。設計了基於雲端的反惡意軟體系統CloudEyes,基於逆向哈希結構的特徵匹配檢測機制,能大量的降低掃描範圍,提供可回溯的精確的惡意數據片段定位信息。提出並實現了基於地址連線埠跳變的網路威脅防範機制RPAH,能有效抵禦掃描,可以明顯地降低APT第一階段感染速率和最壞情況下的損失。
