（毕业论文）基于网络通信行为异常的窃密APT攻击检测研究.docVIP

摘 要 随着，信息安全。以高级技术手段，的APT攻击已成为目前网络。。本文结合APT攻击案例以及部分APT攻击样本数据包，对APT攻击实施的各阶段所存在的通信行为进行了分析，并据此提出了一种节点 (1) 通过对典型APT攻击的深入分析，系统性地将窃密APT攻击划分为五个阶段，即信息收集期，恶意程序感染初期，潜伏I期，潜伏II期和撤离期。并结合已知的APT攻击案例和APT通信数据包样本，对各个阶段APT的异常通信行为特点进行详细地分析。 (2) 设计了包括数据包基本信息提取、连接和会话分析、网络通信行为特征提取、节点感染风险分析以及检测结果告警五个模块组成的窃密APT检测系统。对网络数据包的处理和感兴趣信息的提取方法进行介绍，针对内网和外网通信异常特点，构建了共计13种异常通信行为特征，并分别给出了每种特征的统计和计算方法。 (3) 提出了一种基于节点通信行为异常指数的窃密APT检测方法。该方法包括节点异常通信行为判定和内网节点感染指数的计算方法。其中，阈值的判定主要采用基于正常网络通信数据的观测数据通过引入一定的裕度来得到；权值的设定当前主要依赖分析和经验；感染指数的计算过程中引入了相邻窗口的动态阈值机制，用于消除单个窗口内虚警的影响，且能在当前窗口保留对历史观测风险的结果结果本文所提出的异常通信行为的检测方案可行性。 关键词：网络通信行为异常，通信行为，高级持续威胁，AP