面向APT家族分析的攻击路径预测方法研究.pdfVIP

第8卷第1期信息安全学报Vol.8No.1

2023年1月JournalofCyberSecurityJanuary2023

面向APT家族分析的攻击路径预测方法研究

11231

陈伟翔,任怡彤,肖岩军,侯锐,田志宏

1广州大学计算机科学与网络工程学院广州中国510006

2绿盟科技集团股份有限公司广州分公司广州中国510006

3中国科学院信息工程研究所信息安全国家重点实验室北京中国100093

摘要近年来,针对政府机构、工业设施、大型公司网络的攻击事件层出不穷,网络空间安全已成为事关国家稳定、社会安定

和经济繁荣的全局性问题。高级持续威胁(AdvancedPersistentThreat,APT)逐渐演化为各种社会工程学攻击与零日漏洞利用的综

合体,已成为最严重的网络空间安全威胁之一,当前针对APT的研究侧重于寻找可靠的攻击特征并提高检测准确率,由于复杂

且庞大的数据很容易将APT特征隐藏,使得获取可靠数据的工作难度大大增加,如何尽早发现APT攻击并对APT家族溯源分

析是研究者关注的热点问题。基于此,本文提出一种APT攻击路径还原及预测方法。首先,参考软件基因思想,设计APT恶意

软件基因模型和基因相似度检测算法构建恶意行为基因库,通过恶意行为基因库对样本进行基因检测,从中提取出可靠的恶意

特征解决可靠数据获取问题;其次,为解决APT攻击路径还原和预测问题,采用隐马尔可夫模型(HMM)对APT恶意行为链进行

攻击路径还原及预测,利用恶意行为基因库生成的特征构建恶意行为链并估计模型参数,进而还原和预测APT攻击路径,预测

准确率可达90%以上;最后,通过HMM和基因检测两种方法对恶意软件进行家族识别,实验结果表明,基因特征和HMM参数

特征可在一定程度上指导入侵检测系统对恶意软件进行识别和分类。

关键词APT攻击;恶意行为基因库;HMM;攻击路径还原及预测;恶意软件家族分类

中图法分类号TP393DOI号10.19363/J.10-1380/tn.2023.01.01

AResearchonAttack-pathPredictionMethodfor

APTOrganization

11231

CHENWeixiang,RENYitong,XIAOYanjun,HOURui,TIANZhihong

1SchoolofComputerScienceandCyberEngi