- 1、本文档共11页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
基于大数据地APT攻击检验
基于大数据的APT攻击检测
概念
高级持续性威胁(advanced persistent threat,APT)
是指隐匿而持久的电脑入侵过程,通常由某些人员精心策划,针对特定的目标。
其通常是出于商业或政治动机,针对特定组织或国家,并要求在长时间内保持高隐蔽性。
高级长期威胁包含三个要素:高级、长期、威胁。
高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。
长期暗指某个外部力量会持续监控特定目标,并从其获取数据。
威胁则指人为参与策划的攻击。
APT攻击生命周期
2013年,APT攻击生命周期(美国Mandiant):
初始入侵 – 使用社会工程学、钓鱼式攻击、零日攻击,通过邮件进行。在受害者常去的网站上植入恶意软件(挂马)也是一种常用的方法。
站稳脚跟 – 在受害者的网络中植入远程访问工具,打开网络后门,实现隐蔽访问。
提升特权 – 通过利用漏洞及破解密码,获取受害者电脑的管理员特权,并可能试图获取Windows域管理员特权。
内部勘查 – 收集周遭设施、安全信任关系、域结构的信息。
横向发展 – 将控制权扩展到其他工作站、服务器及设施,收集数据。
保持现状 – 确保继续掌控之前获取到的访问权限和凭据。
任务完成 – 从受害者的网络中传出窃取到的数据。
APT例子:震网病毒
APT特点
组织特点
从APT攻击事件分析来看,APT攻击已突破传统黑客小团队“作坊级协同”模式,上升为一种国家层面“组织级联合”模式,攻击数量、持续性和复杂性不断增加
攻击目标指向高价值资产或物理系统
攻击特点
以“低和慢”模式运行,同时使用用户凭据或零日漏洞,其巨大的复杂性和逃避检测能力,困扰着众多安全领域专家。
“低模式”即网络中保持低调
“慢模式”即执行过程长。
APT攻击(如震网(Stuxnet)、毒区(Duqu)、火焰(Flame)和红十月(Red October)等病毒)
网络安全“老三样”
使用IDS、防火墙、防病毒等常规安全防护系统,乃至于安全信息和事件管理系统(SIEM)都较难应对APT攻击
需要借助于安全专家的人工分析。
大数据APT检测思路
若将大数据分析技术应用于APT攻击检测,将大大提高检测能力。
应对APT攻击“低模式”,检测系统需将所辖网域中各种异常事件及数据完整记录,并利用大数据强分析能力处理数据间的相关性来揭示攻击轨迹
应对“慢模式”,需保留长时间窗口的历史记录数据,在时间窗口内处理所有攻击相关上下文信息。
“低模式”的应对研究
Beehive(蜂窝)
传感器(蜜蜂)
感知异常行为如:提升权限、窃取敏感信息、破坏操作系统
检测系统(蜂群)
分工各异的蜂群维护整个蜂窝
一次APT攻击是由多阶段攻击动作(漏洞发掘、控制权获取、横向移动、目标攻击)组成。
大数据分析将细微动作关联以发现APT攻击的“低模式”。不同安全产品日志的语义相关性,以及日志的大数据特性是重点解决的问题。
Beehive: Large-scale log analysis for detecting suspicious activity in enterprise networks[C],Proceedings of the 29th Annual Computer Security Applications Conference. ACM, 2013: 199-208.
“慢模式”的应对研究
攻击金字塔(Attack Pyramid)
采用攻击树原理及分层模型
Using large scale distributed computing to unveil advanced persistent threats[J]. SCIENCE, 2013, 1(3): pp. 93-105.
“慢模式”的应对研究
攻击金字塔(Attack Pyramid)
使用不同的算法并以MapReduce分布式计算,来判断上下文间和上下文中可能的恶意活动
Using large scale distributed computing to unveil advanced persistent threats[J]. SCIENCE, 2013, 1(3): pp. 93-105.
APT检测产品
IBM公司产品称为大数据安全智能平台(Security Intelligence with Big Data)
它综合安全智能平台的实时处理及安全操作、和大数据平台的大数据处理及分析取证。
Intel公司产品称为安全商务智能平台(Security Business Intelligence platform)
可每天从超过60亿条事件提取特定的事件日志,能更快更智能的响应APT攻击。
您可能关注的文档
最近下载
- ZJ70-4500D20石油钻机使用说(2022年-2023年)明书.docx VIP
- 2023-2024学年人教版高中信息技术必修一第二章第一节《解决问题的一般过程和用计算机解决问题》教案.docx VIP
- GB7258—2022机动车运行安全技术条件修订内容解读29.pdf
- 医学装备使用安全培训.pptx
- Unit6单元整体设计人教版九年级英语全册.pdf
- 中考数学轨迹问题集锦69739.doc VIP
- 2024年河北省继续医学教育公共必修课参考答案.pdf VIP
- 驾校学员心理调节精编.ppt
- 自考06269工程应用英语(13-19)真题试卷.doc VIP
- 智能农业传感器监测和优化农作物生长环境.pptx
文档评论(0)