高级持续性威胁网络侧检测理论与方法研究

基本信息
批准号:61702235
项目类别:青年科学基金项目
资助金额:27.00
负责人:翟江涛
学科分类:
依托单位:江苏科技大学
批准年份:2017
结题年份:2020
起止时间:2018-01-01 - 2020-12-31
项目状态: 已结题
项目参与者:吴游,郑威,李萌,朱成名,徐留杰,杨康,丁晨鹏
关键词:
信息隐藏检测信息安全隐秘通信高级持续性威胁
结项摘要

As an attack method which uses many complex technologies, the advanced persistent threat (APT) can conceal in the target network long-term to implement data steal or other sabotages continuously. It is a new widely concerned network security threat now. From it is found to now, its defense technology is always the hot and difficult topics in network security. This project focuses on the covert communication data between the APT concealed in the network and the outbound Command and Control (C&C) server. The traffic modeling methods based on the complex behaviors and events are studied, and the typical covert communication detection methods that the connection establishment, command received and the theft data return transmission processes used between the APT and its C&C are studied. Also, the intergation of multi classifier and the association analysis algorithm are studied. For the key technologies like the accurate network modeling and the model adaptive iteration technology in mixed samples are conquered, the detection accuracy can be effectively improved. The achievements of this project can supply detection theoretical basis and technical support on network side to the APT defense in depth.

高级持续性威胁(Advanced Persistent Threat, APT)作为一种综合运用了多种复杂攻击手段,可通过长期潜伏在目标网络持续不断的执行数据窃取或攻击破坏活动,是近年来广受关注的新型网络安全威胁。从发现至今,其防御技术一直是网络安全领域研究的热点和难点问题。本项目针对已侵入目标信息系统的APT恶意软件与其控制服务器(Command & Control,C&C)之间通联的隐蔽通信数据流实施异常检测。在基于复杂行为和事件开展网络数据流建模研究基础上,对APT与其C&C在建立连接、接收指令装载功能代码以及回传窃密数据过程中所使用典型隐蔽通信进行检测并开展多个弱分类器集成与关联分析技术研究。项目通过攻克多样互联网应用环境下的数据流准确建模以及混杂样本数据下的模型自适应迭代技术,可有效提高检测准确率。本项目研究成果可为APT综合纵深防御提供网络侧检测理论依据和技术支持。

项目摘要

高级持续性威胁(Advanced Persistent Threat, APT)作为一种综合运用了多种复杂攻击手段,可通过长期潜伏在目标网络持续不断的执行数据窃取或攻击破坏活动,是近年来广受关注的新型网络安全威胁。本课题针对当前APT检测理论和方法进行研究,主要开展了如下四个方面的研究工作:(1) 隐蔽通信检测理论与方法。提出了一种基于Markov模型的参数排序隐蔽通信检测方法;分别提出了针对BitTorrent协议中Piece消息和Have消息的隐写分析方法;提出了一种基于xgboost的skype时间式隐蔽通信检测方法;提出了基于三重压缩的JPEG彩色图像检测方法;(2) 域名相关检测理论与方法。提出了一种改进的基于卷积神经网络的恶意域名检测模型,为了提高模型计算速度,进一步提出了一种基于可分离卷积的恶意域名检测模型;提出了一种基于单词语义分析和集成分类器的恶意域名检测算法;提出了一种基于混合异质神经网络的恶意域名检测模型;提出了一种基于回归分析的多层DNS隧道精细化识别方法。(3) 密文流量识别与分析;提出了一种基于多层结构的密文流量识别方法,该方法首先利用信息熵和蒙特卡洛方法区分明文和密文,进而提出采用基于VAE的精细化分类方法;提出了一种基于深度包解析和负载随机性的加密流量识别方法;设计了一种针对SSL加密的VPN流量识别方法。(4) APT建模与分析。建立了基于期望收益理论的不完全信息静态理性博弈模型; 建立了基于前景理论的不完全信息静态博弈模型。在上述理论研究基础上,本课题开发了相关软件并进行实验验证。本课题的研究有力地丰富了APT检测技术的研究内涵,并为实际流量环境下实施APT检测提供理论支持和技术保障。

项目成果
{{index+1}}

{{i.achievement_title}}

{{i.achievement_title}}

DOI:{{i.doi}}
发表时间:{{i.publish_year}}

暂无此项成果

数据更新时间:2023-05-31

其他相关文献

1

硬件木马:关键问题研究进展及新动向

硬件木马:关键问题研究进展及新动向

DOI:
发表时间:2018
2

低轨卫星通信信道分配策略

低轨卫星通信信道分配策略

DOI:10.12068/j.issn.1005-3026.2019.06.009
发表时间:2019
3

卫生系统韧性研究概况及其展望

卫生系统韧性研究概况及其展望

DOI:10.16506/j.1009-6639.2018.11.016
发表时间:2018
4

面向云工作流安全的任务调度方法

面向云工作流安全的任务调度方法

DOI:10.7544/issn1000-1239.2018.20170425
发表时间:2018
5

基于全模式全聚焦方法的裂纹超声成像定量检测

基于全模式全聚焦方法的裂纹超声成像定量检测

DOI:10.19650/j.cnki.cjsi.J2007019
发表时间:2021

翟江涛的其他基金

相似国自然基金

1

高级持续威胁网络行为建模与检测方法研究

批准号:61303264
批准年份:2013
负责人:张博锋
学科分类:F0205
资助金额:23.00
项目类别:青年科学基金项目
2

基于欺骗诱捕的高级威胁智能感知与溯源取证技术

批准号:61902396
批准年份:2019
负责人:刘潮歌
学科分类:F0205
资助金额:25.00
项目类别:青年科学基金项目
3

基于多元行为模式的大规模网络威胁行为检测研究

批准号:61802094
批准年份:2018
负责人:许艳萍
学科分类:F0205
资助金额:24.00
项目类别:青年科学基金项目
4

面向网络威胁安全事件的智能聚合与可视分析方法研究

批准号:U1736109
批准年份:2017
负责人:张繁
学科分类:F0210
资助金额:70.00
项目类别:联合基金项目