日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
基于記憶的APT檢測(cè)原理

在探討APT攻擊檢測(cè)之前,我們先分析下檢測(cè)的內(nèi)涵。從本質(zhì)上講,檢測(cè)是將求檢對(duì)象從其所依附的環(huán)境中識(shí)別出來(lái)的過(guò)程。為了識(shí)別求檢對(duì)象,我們需要從檢測(cè)環(huán)境中采樣能體現(xiàn)求檢對(duì)象特征的數(shù)據(jù),形成被檢測(cè)域;需要依賴特定的背景知識(shí),形成判據(jù)庫(kù);需要采取一定的判定算法,形成判定機(jī)制;最終在被檢測(cè)域、判據(jù)、判定機(jī)制的共同作用下,做出是否存在求檢對(duì)象的論斷,整個(gè)過(guò)程如圖所示。

創(chuàng)新互聯(lián)主要從事成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)行唐,十多年網(wǎng)站建設(shè)經(jīng)驗(yàn),價(jià)格優(yōu)惠、服務(wù)專(zhuān)業(yè),歡迎來(lái)電咨詢建站服務(wù):18982081108

檢測(cè)邏輯模式

以傳統(tǒng)的入侵檢測(cè)系統(tǒng)(IDS)為例,求檢對(duì)象是網(wǎng)絡(luò)攻擊行為,檢測(cè)環(huán)境就是包含了攻擊行為數(shù)據(jù)的網(wǎng)絡(luò)流量數(shù)據(jù)。為了檢測(cè)攻擊,我們需要實(shí)時(shí)采集網(wǎng)絡(luò)流量,形成IDS的被檢測(cè)域;需要提取各類(lèi)攻擊行為的網(wǎng)絡(luò)特征構(gòu)造特征庫(kù),作為IDS的判據(jù)庫(kù);需要采用特征匹配算法,作為IDS判定流量中是否包含攻擊行為的判斷機(jī)制。有了流量數(shù)據(jù)、特征庫(kù)、特征匹配算法,我們就能檢測(cè)網(wǎng)絡(luò)中是否存在已知攻擊行為。

傳統(tǒng)IDS這種檢測(cè)模式,在應(yīng)對(duì)常規(guī)攻擊曾發(fā)揮了巨大作用,但對(duì)于APT卻顯得無(wú)能為力,主要原因在于:

(1) 傳統(tǒng)IDS的被檢測(cè)域是實(shí)時(shí)網(wǎng)絡(luò)流量,只判斷實(shí)時(shí)網(wǎng)絡(luò)流量中是否包含攻擊行為;而APT整個(gè)過(guò)程的時(shí)間跨度很長(zhǎng),從單個(gè)時(shí)間點(diǎn)的角度看APT無(wú)法了解全貌,也無(wú)法識(shí)別攻擊者的真實(shí)意圖,只有將長(zhǎng)時(shí)間的可疑行為進(jìn)行關(guān)聯(lián)分析才能實(shí)現(xiàn)APT的有效檢測(cè)。

(2) 傳統(tǒng)IDS的判斷機(jī)制是特征匹配,只能檢測(cè)出提取過(guò)攻擊簽名的已知攻擊行為;而APT過(guò)程中往往采用0day、特種木馬、隱蔽通道傳輸?shù)任粗?,無(wú)法通過(guò)誤用檢測(cè)的方式進(jìn)行準(zhǔn)確識(shí)別,只有通過(guò)異常檢測(cè)的方式才有可能識(shí)別出可疑的攻擊行為。

鑒于上述不足,要有效對(duì)抗APT,我們一方面要擴(kuò)大被檢測(cè)域,將基于單個(gè)時(shí)間點(diǎn)的實(shí)時(shí)檢測(cè)轉(zhuǎn)變?yōu)榛跉v史時(shí)間窗的異步檢測(cè);另一方面要豐富判定機(jī)制,在檢測(cè)已知攻擊的同時(shí)能夠兼顧對(duì)未知攻擊的檢測(cè)。為此我們提出了基于記憶的新檢測(cè)模式,共分為四個(gè)步驟:

(1) 擴(kuò)大:即拓寬被檢測(cè)域,對(duì)全流量數(shù)據(jù)進(jìn)行存儲(chǔ)分析。這樣在檢測(cè)到可疑行為時(shí),可回溯與攻擊行為相關(guān)的歷史流量數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析,之前已發(fā)生過(guò)、未能引起分析人員注意的報(bào)警,有可能隱藏著蓄意攻擊意圖,通過(guò)這種回溯關(guān)聯(lián)分析就有可能進(jìn)行有效識(shí)別。有了全流量的存儲(chǔ),就有可能回溯到任意歷史時(shí)刻,采用新的檢測(cè)特征和檢測(cè)技術(shù),對(duì)已發(fā)生的流量進(jìn)行任意粒度的分析,這是本系統(tǒng)最大的特點(diǎn)。

(2) 濃縮:對(duì)存儲(chǔ)下來(lái)的大數(shù)據(jù)進(jìn)行降解操作,刪除與攻擊無(wú)關(guān)的數(shù)據(jù)以節(jié)省空間,同時(shí)保留與攻擊相關(guān)的數(shù)據(jù)以備后續(xù)分析。濃縮環(huán)節(jié)需要借助于攻擊檢測(cè)模塊,可通過(guò)第三方檢測(cè)設(shè)備如IDS的報(bào)警進(jìn)行降解,也可直接對(duì)全流量數(shù)據(jù)進(jìn)行異常檢測(cè)產(chǎn)生可疑報(bào)警,基于報(bào)警事件進(jìn)行降解。

(3) 精確:對(duì)產(chǎn)生的可疑攻擊數(shù)據(jù)做進(jìn)一步深入分析,產(chǎn)生對(duì)攻擊行為的精確報(bào)警??赏ㄟ^(guò)多維數(shù)據(jù)可視化分析,定位可疑會(huì)話,再進(jìn)一步對(duì)流量數(shù)據(jù)進(jìn)行細(xì)粒度協(xié)議解析和應(yīng)用還原,識(shí)別異常行為和偽裝成正常業(yè)務(wù)的攻擊行為。本環(huán)節(jié)需要分析人員的參與,通過(guò)人機(jī)結(jié)合的方式提升分析效率和準(zhǔn)確度。

(4) 場(chǎng)景:對(duì)各類(lèi)攻擊報(bào)警進(jìn)行關(guān)聯(lián),識(shí)別報(bào)警之間的攻擊層語(yǔ)義關(guān)系,根據(jù)孤立報(bào)警中建立完整攻擊場(chǎng)景。通常的做法是以關(guān)聯(lián)規(guī)則的方式建立攻擊場(chǎng)景知識(shí)庫(kù),通過(guò)對(duì)報(bào)警進(jìn)行匹配和關(guān)聯(lián),完成攻擊場(chǎng)景的構(gòu)建。


標(biāo)題名稱(chēng):基于記憶的APT檢測(cè)原理
分享路徑:http://www.5511xx.com/article/dphoipg.html