返回
高级持续性威胁中隐蔽可疑DNS行为的检测

高级持续性威胁中隐蔽可疑DNS行为的检测

ID:37065236

大小:1016.33 KB

页数:51页

时间:2019-05-17

高级持续性威胁中隐蔽可疑DNS行为的检测_第1页
高级持续性威胁中隐蔽可疑DNS行为的检测_第2页
高级持续性威胁中隐蔽可疑DNS行为的检测_第3页
高级持续性威胁中隐蔽可疑DNS行为的检测_第4页
高级持续性威胁中隐蔽可疑DNS行为的检测_第5页
资源描述:

《高级持续性威胁中隐蔽可疑DNS行为的检测》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、分类号:TP393单位代码:10183研究生学号:2015532017密级:公开吉林大学硕士学位论文(学术学位)高级持续性威胁中隐蔽可疑DNS行为的检测DetectionofCovertandSuspiciousDNSBehaviorinAdvancedPersistentThreats作者姓名:王晓琪专业:计算机系统结构研究方向:网络安全指导教师:李强教授培养单位:计算机科学与技术学院2018年月高级持续性威胁中隐蔽可疑DNS行为的检测DetectionofCovertandSuspiciousDNSBehaviorinAdvancedPersistentThreats作者姓名:

2、王晓琪专业名称:计算机系统结构指导教师:李强教授学位类别:工学硕士答辩日期:年月日未经本论文作者的书面授权,依法收存和保管本论文书面版本、电子版本的任何单位和个人,均不得对本论文的全部或部分内容进行任何形式的复制、修改、发行、出租、改编等有碍作者著作权的商业性使用(但纯学术性使用不在此限)。否则,应承担侵权的法律责任。吉林大学硕士学位论文原创性声明本人郑重声明:所呈交的硕士学位论文,是本人在指导教师的指导下,独立进行研究工作所取得的成果。除文中已经注明引用的内容外,本论文不包含任何其他个人或集体已经发表或撰写过的作品成果。对本文的研究做出重要贡献的个人和集体,均已在文中以明确方式标

3、明。本人完全意识到本声明的法律结果由本人承担。学位论文作者签名:日期:年月日《中国优秀博硕士学位论文全文数据库》投稿声明研究生院:本人同意《中国优秀博硕士学位论文全文数据库》出版章程的内容,愿意将本人的学位论文委托研究生院向中国学术期刊(光盘版)电子杂志社的《中国优秀博硕士学位论文全文数据库》投稿,希望《中国优秀博硕士学位论文全文数据库》给予出版,并同意在《中国博硕士学位论文评价数据库》和CNKI系列数据库中使用,同意按章程规定享受相关权益。论文级别:■硕士□博士学科专业:计算机系统结构论文题目:高级持续性威胁中隐蔽可疑DNS行为的检测作者签名:指导教师签名:年月日作者联系地址(邮

4、编):长春市前进大街2699号吉林大学计算机科学与技术学院(130012)作者联系电话:18204319669摘要摘要高级持续性威胁中隐蔽可疑DNS行为的检测近年来,随着网络规模的不断发展,各种网络安全问题不断出现,其中一种复杂的多步攻击——高级持续性威胁(advancedpersistentthreats,APT)备受关注。该攻击危害企业、组织甚至国家安全,给目标带来了巨大的经济损失,其重要特征是攻击持续时间跨度大,在目标网络内长期潜伏。APT攻击是大型组织或者团体使用多种多样的先进技术手段对指定目标进行的有组织、有目的、隐蔽性强、持续性长的新型安全威胁。现有的安全防御措施,如防

5、火墙,反病毒工具、入侵检测系统等,还无法有效检测APT,数据复杂性、计算复杂性和系统复杂性导致APT攻击的检测更加困难。现有研究认为通过分析APT攻击中目标网络的DNS请求,可以有效的帮助检测APT攻击。本文提取DNS请求数据中的时间相关特征,结合其余特征利用变化向量分析方法和信誉评分系统检测APT活动中隐蔽可疑的DNS行为。本文提出了一种协助检测APT的框架APDD,该框架由数据收集、数据预处理、特征提取、变化向量分析和信誉评分五组模块组成,通过分析大量的DNS请求数据检测长时间周期下APT中隐蔽可疑的DNS行为。数据收集模块收集网络内部的DNS请求数据;数据预处理模块将收集到的

6、DNS请求数据执行数据缩减;特征提取模块从DNS请求数据中提取特征;变化向量分析模块利用变化向量分析方法(changevectoranalysis,CVA)和滑动时间窗口方法分析了待检测域名访问记录与现有APT相关域名之间的相似度;信誉评分模块建立了一个信誉评分系统对相似度较高的待检测域名访问记录进行打分;APDD框架最终输出一个可疑域名访问记录排名列表,可用于后续人工优先分析最可疑的记录,从而提高APT攻击的检测效率;利用一个大型校园网中收集的包含1,584,225,274条DNS请求记录的数据加入仿真攻击数据来验证框架的有效性与正确性。本文提出的检测框架APDD具有较好的灵活性

7、和扩展性。本文提出了两种算法:数据缩减算法和CAA算法。数据缩减算法用来处理收集到的DNS请求数据,降低数据规模,提高数据的分析和处理效率;CAA算法是基于CVA方法的,用来找到与APT中DNS行为相似的域名访问记录。最后通过进行5组不同参数的实验验证框架的有效性,可以检测到仿真攻击排名在可疑域名访I摘要问记录排名列表靠前的位置。实验结果表明提出的框架可以有效的检测到APT中隐蔽可疑的DNS行为。关键字:高级持续性威胁,DNS请求数据,数据缩减,变化向量分析,信誉评分

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。