利用机器学习与深度学习发现APT攻击中的可疑行为

发布时间：2025-07-19 01:16

　　根据卡巴斯基实验室的研究报告,高级持续性威胁(Advanced Persistent Threat,APT)依旧是2019年计算机安全领域的一个重大威胁。来自不同国家的攻击团体在全球范围内对金融,军事,外交,电信和供电公司,政治家和活动家的计算机系统进行攻击。这种攻击以其高级和难以检测的特点,在比较大的时间跨度里,对目标渗透,攻击,潜伏,扩散,窃取信息。由于其流量低,攻击时间长的,攻击方法多样并且实时在进化特点,具有一定检测难度。做为一种人为定制的复杂攻击过程,APT攻击对现有的网络安全存在极大的危害。其整个攻击的过程非常隐蔽,在长时间跨度下只产生极少量的攻击行为,并混杂在大量的正常活动中。由于域名系统协议(Domain Name System,DNS)在APT中的作用,通过不同攻击阶段产生的DNS异常活动可生成可疑的恶意域名列表,可用于帮助发现APT攻击。但是,该领域内还存在着若干挑战,如(1)检测方法需要面对长时间大跨度的日志数据;(2)较少的攻击样本数据限制监督学习的应用;(3)已有方法没有考虑响应报文与请求报文之间的关系。为了解决需要面对长时间大跨度的日志数据的问题,本文提出一种...

【文章页数】：53 页

【学位级别】：硕士

【部分图文】：

图1.1网络安全服务中各行业购买占比[51]

第1章绪论5在F-security发布的2017年的网络安全综述中（如图1.1所示），安全服务的购买用户按比例从高到低分别为金融保险业44%；服务供应商18%；其他12%；在线游戏10%；世界领先品牌8%；政府机关6%;航空机构1%；船舶机构<1%。图1.1网络安全服务中各行业购....

图3.1AULD流程图

第3章使用无监督学习在大型数据下对DNS恶意行为检测13图3.1AULD流程图3.2.1数据采集通过国内教育网中最大的校园网之一吉林大学校园网，收集了校内（含无线接入）共1,584,225,274条的DNS请求记录，使用这些数据对框架进行测试。为了保护个人隐私，我们对数据的主机I....

图3.3参数选择评估我们得出将参数定为4.98时，canopy模型的表现效果最佳

第3章使用无监督学习在大型数据下对DNS恶意行为检测ARI=[]max()[]…………………….…………..(公式3.2)ARI取值范围为[1,1]，值越大意味着聚类结果与真实情况越吻合。从广义的角度来讲....

图3.4数据泄露时间轴[41]

第3章使用无监督学习在大型数据下对DNS恶意行为检测19我们还阅读了其他报告[40,41]来寻求真实的APT攻击细节并对其进行仿真。我们构建了15，338条黑数据。在本段中，我们将提供一个DNS日志仿真的示例。首先，我们阅读该报告以找到适合模拟的报告。例如，报告[41]中，安全团....

本文编号：4057749