LDA模型下的APT通信日志特征研究.pdf

1、隨著信息交互的速度越來(lái)越快，社會(huì)信息化程度不斷的提升，傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)已經(jīng)無(wú)法滿足這個(gè)時(shí)代的需求。尤其對(duì)于APT攻擊檢測(cè)技術(shù)，至今也沒有一個(gè)完善的檢測(cè)方法。如何才能使網(wǎng)絡(luò)能夠更好地抵御攻擊，保證信息安全，是網(wǎng)絡(luò)安全專家們最為關(guān)注的問(wèn)題。
　　高級(jí)持續(xù)性威脅APT（Advanced Persist Threat）是現(xiàn)在黑客攻擊的一種新型手段，大多應(yīng)用在大型組織、重要能源部門或者政府機(jī)構(gòu)。因此，這種行為給網(wǎng)絡(luò)信息安全帶來(lái)了特別大危害

2、?，F(xiàn)有的國(guó)防科研手段落后，目前的研究大多集中于使用一個(gè)特定的漏洞和防范，對(duì)現(xiàn)有的防御系統(tǒng)缺乏更全面的研究存在不足之處，而現(xiàn)有的APT防御手段也存在很多問(wèn)題。課題以網(wǎng)絡(luò)信息安全、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)攻擊的防御策略的技術(shù)理論作為指導(dǎo)，深入分析APT通信的特點(diǎn)，找尋其通信規(guī)律，進(jìn)而發(fā)現(xiàn)通過(guò)利用大規(guī)模數(shù)據(jù)的優(yōu)勢(shì)可以構(gòu)造一個(gè)全面的、高效的檢測(cè)模型，從而彌補(bǔ)傳統(tǒng)方法和模型在面對(duì)APT攻擊異常檢測(cè)上的不足。同時(shí)，將大數(shù)據(jù)與APT攻擊檢測(cè)聯(lián)系起來(lái)也是一次新的

3、嘗試，為以后的研究提供了新的思路。
　　本文采用的APT攻擊檢測(cè)方法通過(guò)互聯(lián)網(wǎng)、行業(yè)內(nèi)的最新進(jìn)展等相關(guān)途徑獲得的最新APT通信信息的文獻(xiàn)和資料，分析出APT通信日志的出十四種異常特征。在小型局域網(wǎng)實(shí)驗(yàn)室中，通過(guò)收集網(wǎng)絡(luò)端與主機(jī)端的通信日志文件，利用DBSCAN聚類算法將收集的日志文件進(jìn)行壓縮處理。對(duì)網(wǎng)絡(luò)地址與主機(jī)對(duì)應(yīng)上提出建立IP地址數(shù)據(jù)庫(kù)解決了日志與主機(jī)映射的難點(diǎn)。在對(duì)日志與異常檢測(cè)結(jié)合上，引進(jìn)LDA文本挖掘模型構(gòu)建新的APT通