發(fā)布時(shí)間：2020-11-05 17:30

　　 隨著信息時(shí)代的到來(lái)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,當(dāng)今社會(huì)產(chǎn)生了翻天覆地的變化,越來(lái)越多的人開(kāi)始享受著網(wǎng)絡(luò)技術(shù)所帶來(lái)的便利,如微博、微信、Facebook、Twitter等的廣泛使用。與此同時(shí),很多組織、公司、政府機(jī)關(guān)等也越來(lái)越重視自身的網(wǎng)絡(luò)建設(shè)。但是,伴隨著網(wǎng)絡(luò)技術(shù)的普及和飛速發(fā)展,多種新型的網(wǎng)絡(luò)安全問(wèn)題逐漸顯現(xiàn)出來(lái)。尤其是近年來(lái)興起的高級(jí)持續(xù)性威脅(APT,advanced persistent threat),它與傳統(tǒng)的網(wǎng)絡(luò)攻擊方式存在顯著的差別,對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施構(gòu)成嚴(yán)重威脅,逐漸成為高等級(jí)安全網(wǎng)絡(luò)的主要威脅之一。本文圍繞著高級(jí)持續(xù)性威脅的檢測(cè)和防御技術(shù),分析了高級(jí)持續(xù)性威脅的特征,并提出了基于流量數(shù)據(jù)特征的檢測(cè)方法,主要內(nèi)容和貢獻(xiàn)如下:1、介紹了高級(jí)持續(xù)性威脅的概況,包括攻擊階段模型和攻擊特點(diǎn)。本文介紹了APT攻擊階段模型的相關(guān)工作,分析了兩種常見(jiàn)的描述高級(jí)持續(xù)性威脅的攻擊階段模型。闡述了APT攻擊的概念,指出了與表征APT攻擊主要特征相關(guān)的三個(gè)主要階段。結(jié)合三個(gè)主要階段的攻擊過(guò)程,詳細(xì)分析了APT攻擊的針對(duì)性、組織性、持續(xù)性、隱蔽性、間接性等特點(diǎn)。2、闡述了現(xiàn)有的APT攻擊防御策略。本文詳細(xì)闡述了現(xiàn)有的APT攻擊防御策略,其中包括安全意識(shí)培訓(xùn)、傳統(tǒng)防御機(jī)制、高級(jí)惡意軟件檢測(cè)以及異常行為檢測(cè)。針對(duì)APT攻擊初次入侵前的信息收集過(guò)程,本文指出要提高網(wǎng)絡(luò)用戶自身的安全意識(shí),避免遭受網(wǎng)絡(luò)釣魚(yú)、仿冒詐騙等社會(huì)工程學(xué)方面的攻擊。介紹了傳統(tǒng)防御機(jī)制中的防火墻技術(shù),比較和分析了計(jì)算機(jī)防火墻與網(wǎng)絡(luò)防火墻的原理和結(jié)構(gòu)。分別闡述了傳統(tǒng)防御機(jī)制中基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的工作原理,分析了它們?cè)跈z測(cè)APT攻擊時(shí)表現(xiàn)出的局限性。3、提出一種基于網(wǎng)絡(luò)流量特征的APT攻擊檢測(cè)方法。本文在基于網(wǎng)絡(luò)流量的入侵檢測(cè)技術(shù)的基礎(chǔ)上,提出了一種基于多種數(shù)據(jù)特征屬性的入侵檢測(cè)方法,通過(guò)機(jī)器學(xué)習(xí)中聚類和分類的相關(guān)算法構(gòu)建入侵檢測(cè)模型,實(shí)現(xiàn)了APT攻擊中異常數(shù)據(jù)的檢測(cè)。實(shí)驗(yàn)中分別使用了j48算法、NaiveBayes算法和k-means算法對(duì)源數(shù)據(jù)進(jìn)行訓(xùn)練分類,構(gòu)建了三種異常檢測(cè)模型,并結(jié)合weka系統(tǒng)輸出的評(píng)價(jià)結(jié)果繪制了相應(yīng)模型的ROC曲線。本文綜合分析了三種檢測(cè)模型的ROC曲線,驗(yàn)證了基于網(wǎng)絡(luò)數(shù)據(jù)特征的檢測(cè)方法能夠檢測(cè)出APT攻擊中的異常數(shù)據(jù),并且達(dá)到了較高的精確度和極低的誤判率。
【學(xué)位單位】：吉林大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位年份】：2018
【中圖分類】：TP393.08
【部分圖文】：

們的查準(zhǔn)率和查全率都高達(dá) 99%。由表 5.2 的評(píng)價(jià)結(jié)果，我們繪制了 j48 算法 ROC 曲線，如圖 5.2 所示。表 5.2 采用 j48 算法的評(píng)價(jià)結(jié)果TPRateFPRatePrecision Recall F-Measure MCC ROCAreaPRCAreaClass0.999 0.001 0.999 0.999 0.999 0.998 0.999 0.999 good0.999 0.001 0.999 0.999 0.999 0.998 0.999 0.999 bad從圖 5.2 可以看出，隨著負(fù)樣本中被預(yù)測(cè)為正樣本的數(shù)量的增加，被預(yù)測(cè)為樣本的比率基本保持不變，并且接近于 1。這說(shuō)明該算法有著非常高的準(zhǔn)確率，夠精準(zhǔn)識(shí)別數(shù)據(jù)集中的正常數(shù)據(jù)和異常數(shù)據(jù)，有著較高的精確度和低誤報(bào)率。

圖 5.3 NaiveBayes 算法的 ROC 曲線（3）當(dāng)我們用聚類分析中的 k-means 算法對(duì)同樣的數(shù)據(jù)集進(jìn)行聚類分析后，到表 5.5 所示的混淆矩陣。表 5.5 k-means 算法的混淆矩陣=== Confusion Matrix ===a b <--classified as56144 93 | a = good91 43672 | b = bad表 5.5 的混淆矩陣顯示，有 56144 條正常數(shù)據(jù)被準(zhǔn)確判定為正常，93 條正常據(jù)被誤判為異常；有 43672 條異常數(shù)據(jù)被準(zhǔn)確判定為異常，91 條異常數(shù)據(jù)被

在入侵檢測(cè)上表現(xiàn)出了優(yōu)良的性能。同樣，結(jié)合表 5.6 的評(píng)價(jià)結(jié)果繪制了圖 5.4所示的 ROC 曲線。表 5.6 k-means 算法的分析結(jié)果TPRateFPRatePrecision Recall F-Measure MCC ROCAreaPRCAreaClass0.998 0.002 0.998 0.998 0.998 0.996 0.999 0.998 good0.998 0.002 0.998 0.998 0.998 0.996 0.999 0.999 bad如圖 5.4 所示，隨著誤報(bào)率的增加，檢測(cè)率幾乎保持不變，并且檢測(cè)率無(wú)限接近于 1，這表明該方法訓(xùn)練的模型能夠做到對(duì)數(shù)據(jù)集的精準(zhǔn)分類，保證了入侵檢測(cè)的高精確度和低誤判率。
【參考文獻(xiàn)】

相關(guān)期刊論文 前4條

1 付鈺;李洪成;吳曉平;王甲生;;基于大數(shù)據(jù)分析的APT攻擊檢測(cè)研究綜述[J];通信學(xué)報(bào);2015年11期

2 周濤;;基于統(tǒng)計(jì)學(xué)習(xí)的網(wǎng)絡(luò)異常行為檢測(cè)技術(shù)[J];大數(shù)據(jù);2015年04期

3 高赟;周薇;韓冀中;孟丹;;一種基于文法壓縮的日志異常檢測(cè)算法[J];計(jì)算機(jī)學(xué)報(bào);2014年01期

4 李戈,邵峰晶,朱本浩;基于神經(jīng)網(wǎng)絡(luò)聚類的研究[J];青島大學(xué)學(xué)報(bào)(工程技術(shù)版);2001年04期

相關(guān)碩士學(xué)位論文 前2條

1 佟海奇;面向未知木馬的APT攻擊檢測(cè)方法研究[D];北京郵電大學(xué);2015年

2 吳孔;基于分布式網(wǎng)絡(luò)的APT攻擊與防御技術(shù)研究[D];北京郵電大學(xué);2015年

本文編號(hào)：2871956