原创力文档- 1、本文档共43页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
ThenameoftheDepartment
BeijingForestStudio
部门名称
北京理工大学信息系统及安全对抗实验中心
结合溯源图的APT检测方法
硕士研究生关迎丹
2021年12月26日
内容提要
•背景简介
•基本概念
•算法原理
–Holmes
–Unicorn
•优劣分析
•应用总结
•参考文献
2
背景简介
•预期收获
–1.熟悉APT攻击的基本概念和检测难点
–2.了解Kill-chain模型和ATTCK框架
–3.理解结合溯源图的APT检测方法原理
–4.了解溯源图的应用领域和发展方向
3
背景简介
•2020年12月,安全公司FireEye的红队(攻击)工具箱遭到窃取,股价下跌8%
•2021年04月,5.33亿个Facebook帐户的个人数据被免费发布,包括电话号码、
全名等大量敏感信息。
4
结合溯源图的APT检测方法
基本概念
基本概念
•APT攻击(AdvancedPersistentThreat,高级持续性威胁)
–指利用先进的攻击手段对特定目标进行长期持续性网络攻击并产生有效威胁的攻击形式
–特点
•针对性:通常针对特定领域目标的重要价值资产,如能源、金融等领域
•持续性:攻击者长期潜伏并持续攻击以获取更多利益
•隐蔽性:使用多种隐藏技术,安全防护系统难以检测
6
基本概念
•APT攻击生命周期(APTLifecycle)
–①社会工程学、网站挂马、邮件钓鱼攻击,
–②保持控制权,永久性木马后门
–③获取更大权限,如应用程序漏洞利用
–④探测内部信息
–⑤寻找其他受害目标
–⑥持续访问目标⑤横向移动
•命令与控制(CommandandControl,CC)
⑥保持存在
•攻击主机和受害主机通信
–⑦窃取数据等任务
④内部侦查
①初始入侵②建落脚点③权限提升⑦完成任务7
基本概念
•杀伤链(Kill-chain)
–一种用于分析APT攻击各阶段步骤的七层模型
•侦察跟踪(Reconnaissance)
•武器构建(Weaponization)
•载荷投递(Delivery)
•漏洞利用(Exploitation)
•安装植入(Installation)
•命令与控制(
文档评论(0)