apt攻擊下的cc加密信道網(wǎng)絡(luò)行為分析與檢測

1、 學(xué)校代碼：10270 分類號： TP391 學(xué)號：152502839 碩士專業(yè)學(xué)位論文 APT 攻擊下的 C&C 加密信道網(wǎng)絡(luò)行為分析與檢測 學(xué) 院： 信 息 與 機(jī) 電 工 程 學(xué) 院 專業(yè)學(xué)位類別： 工程碩士 專 業(yè) 領(lǐng) 域： 計(jì)算機(jī)技術(shù) 研 究 生 姓 名： 姜 鵬 指 導(dǎo)

2、教 師： 李魯群 完 成 日 期： 2018 年 3 月 上海師范大學(xué)碩士學(xué)位論文 摘要 摘要 摘要 大數(shù)據(jù)和云計(jì)算的背景下， 以往分散式的網(wǎng)絡(luò)攻擊變得越來越?jīng)]有效率， 攻擊者更加傾向?qū)嵤┽槍π?、高級性、持續(xù)性的 APT 攻擊，以期獲取大量核心的機(jī)密

3、數(shù)據(jù)，從而對政府和企業(yè)造成巨大破壞，為攻擊者取得最大利益。 迅速增長的加密流量也改變了網(wǎng)絡(luò)威脅的格局。 越來越多的企業(yè)使用加密技術(shù)為用戶提供服務(wù)，同時(shí)攻擊者也在利用這些優(yōu)勢去規(guī)避安全廠商的檢測。Gartner 預(yù)測，2019 年將有一半的惡意軟件使用加密協(xié)議來構(gòu)建隱蔽信道。 目前為止， 國內(nèi)外在惡意加密流量檢測這個(gè)問題研究還不是很多， 很少學(xué)者從全局的角度去考慮這個(gè)問題。 本文從全局出發(fā)深入統(tǒng)計(jì)分析了正常加密流量和惡意加密流量的異同點(diǎn)

4、， 并根據(jù)安全數(shù)據(jù)難以獲取的特點(diǎn)， 設(shè)計(jì)出能夠較好的處理不平衡數(shù)據(jù)的解決方案，本文的主要工作有： （1） 本文在挖掘 C&C 加密信道網(wǎng)絡(luò)行為方面， 針對網(wǎng)絡(luò)交互過程中的元數(shù)據(jù)，SSL/TLS 加密協(xié)議以及 x.509 證書三個(gè)層面進(jìn)行了統(tǒng)計(jì)分析，并提取相關(guān)特征集。 （2）在 DGA 域名檢測領(lǐng)域，本文提出了基于深度 BLSTM 和威脅情報(bào)的DGA 域名檢測算法， 在不需要提供 DNS 響應(yīng)與請求等上下文信息的前提下，在實(shí)際中對

5、 DGA 域名進(jìn)行檢測并結(jié)合威脅情報(bào)，提高對已知和未知 DGA 域名的檢測效果。 （3） 針對網(wǎng)絡(luò)中惡意樣本數(shù)據(jù)難以獲取， 數(shù)據(jù)集存在正負(fù)樣本不均衡問題，本文提出了基于組合采樣的 Imbalance-LightGBM 算法， 在對樣本進(jìn)行分類之前，先對樣本進(jìn)行組合采樣，對進(jìn)而平衡后的數(shù)據(jù)進(jìn)行建模，從而提高了對 C&C 加密信道的檢測效果。 除此之外， 本文使用傳統(tǒng)分類算法在 APT 攻擊下 C&C 加密信道檢測上進(jìn)行了有

6、針對性的實(shí)驗(yàn)。并驗(yàn)證 Imbalance-LightGBM 算法在不平衡數(shù)據(jù)集上的分類效果，相比原始的 LightGMB 算法，在 ROC 曲線、P-R 曲線、AUC 面積、F1-score 等指標(biāo)都有明顯的提升。 也表明了本文的提出 Imbalance-LightGBM 算法在對 C&C 加密信道檢測上具有一定的優(yōu)勢。 本文的研究內(nèi)容對于進(jìn)一步分析 C&C 加密信道網(wǎng)絡(luò)行為特征以及不平衡數(shù)據(jù)的分類具有重要的學(xué)術(shù)意義和實(shí)