基于大數(shù)據(jù)分析的APT攻擊檢測研究綜述

付鈺，李洪成，吳曉平，王甲生

（海軍工程大學(xué) 信息安全系，湖北 武漢 430033）

1 引言

在全球網(wǎng)絡(luò)信息化程度高速發(fā)展的大背景下，具備隱蔽性、滲透性和針對性的高級持續(xù)性威脅（APT, advanced persistent threat）對各類高等級信息安全系統(tǒng)造成的威脅日益嚴(yán)重，針對特定目標(biāo)的有組織的APT攻擊日益增多，國家、企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)和數(shù)據(jù)安全面臨嚴(yán)峻挑戰(zhàn)[1～3]。例如，2008年中國長城網(wǎng)遭遇到美國國防部網(wǎng)絡(luò)黑客的攻擊滲透，被植入后門并竊取情報；2010年的“震網(wǎng)”經(jīng)過多年的準(zhǔn)備和潛伏，成功攻擊了位于物理隔離內(nèi)網(wǎng)中的工業(yè)控制系統(tǒng)，遲滯了伊朗的核計劃；2011年的“夜龍行動”竊取了多個跨國能源巨頭公司的高度敏感內(nèi)部文件；2012年的超級病毒“火焰”成功獲取了中東各國大量的機(jī)密信息[4～6]?？梢钥闯?，APT攻擊已經(jīng)對各類關(guān)鍵信息基礎(chǔ)設(shè)施安全造成巨大威脅，開展APT攻擊防御工作刻不容緩。

在APT攻擊防御工作中，攻擊檢測是安全防護(hù)和加固的前提和依據(jù)，也是APT攻擊防御中最困難的部分[7]，因此檢測技術(shù)已成為當(dāng)前APT攻擊防御領(lǐng)域的研究熱點(diǎn)。然而，從典型案例來看，APT攻擊具有極強(qiáng)的隱蔽能力和針對性，傳統(tǒng)的檢測設(shè)備面對APT攻擊大多束手無策[8]。

由于網(wǎng)絡(luò)中的安全數(shù)據(jù)具有體量巨大、來源多樣、增漲速度快和價值密度低等大數(shù)據(jù)典型特點(diǎn)[9]，所以基于網(wǎng)絡(luò)大數(shù)據(jù)分析的安全檢測技術(shù)近年來逐步興起。該技術(shù)可以實(shí)現(xiàn)海量網(wǎng)絡(luò)安全數(shù)據(jù)的深度關(guān)聯(lián)分析，并對寬時間窗內(nèi)的多類型安全事件進(jìn)行智能關(guān)聯(lián)，因此在檢測APT攻擊方面具有明顯優(yōu)勢。

因此，本文在充分認(rèn)清APT攻擊過程及特點(diǎn)的基礎(chǔ)上，對基于網(wǎng)絡(luò)安全大數(shù)據(jù)分析的APT攻擊檢測技術(shù)進(jìn)行系統(tǒng)分析，提出了抗APT攻擊的系統(tǒng)綜合防御體系框架和系統(tǒng)安全檢測框架，并給出了現(xiàn)有檢測技術(shù)面臨的挑戰(zhàn)和發(fā)展方向。

2 APT攻擊的概念、過程及特點(diǎn)

2.1 APT攻擊的概念

目前，比較權(quán)威的APT攻擊定義是由美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST, national institute of standards and technology）提出的[10]，該定義描述了APT攻擊的攻擊者、攻擊目的、攻擊手段和攻擊過程，但沒有突出APT攻擊具有特定攻擊對象的性質(zhì)[11]。因此，本文對該定義進(jìn)行補(bǔ)充，給出以下定義：“APT攻擊是以敵對方的高水平專業(yè)知識和豐富資源為基礎(chǔ)，以多種攻擊方式為手段，以破壞關(guān)鍵信息基礎(chǔ)設(shè)施和阻礙重要任務(wù)實(shí)施為目的，以特定組織為攻擊對象的隱蔽網(wǎng)絡(luò)攻擊”。

2.2 APT攻擊的實(shí)施過程

雖然每個 APT攻擊案例的具體攻擊過程都不盡相同，但都可以看作是以下6個階段的組合。

2.2.1 偵查準(zhǔn)備階段

為了在高安全等級的網(wǎng)絡(luò)中找到可供入侵的脆弱點(diǎn)，攻擊者需要進(jìn)行充分的偵查和準(zhǔn)備工作。除常用的網(wǎng)絡(luò)漏洞掃描外，APT攻擊采用的偵查技術(shù)還包括基于大數(shù)據(jù)分析的隱私挖掘和基于社會工程學(xué)的信息收集等技術(shù)。

1) 基于大數(shù)據(jù)分析的隱私挖掘。網(wǎng)絡(luò)大數(shù)據(jù)分析技術(shù)[12～14]為使攻擊者能夠從公開數(shù)據(jù)中提取目標(biāo)組織的機(jī)密信息。這些機(jī)密信息可以為APT攻擊者開展進(jìn)一步的攻擊工作做準(zhǔn)備。

2) 基于社會工程學(xué)的信息收集。在高安全等級的網(wǎng)絡(luò)中，最脆弱的防御點(diǎn)是人員。攻擊者利用社會工程手段對目標(biāo)組織中的各類人員進(jìn)行心理控制或利用，進(jìn)而獲得敏感信息[15]。

2.2.2 代碼傳入階段

當(dāng) APT攻擊者完成了偵查準(zhǔn)備并確定了入侵點(diǎn)后，攻擊者需要傳入惡意代碼，為初次入侵的實(shí)施提供基礎(chǔ)。常見的代碼傳入方法有以下2類。

1) 直接傳入。最常見的直接傳入手段是魚叉式網(wǎng)絡(luò)釣魚。該手段是以特定接收者為攻擊對象，利用惡意郵件或惡意代碼進(jìn)行的網(wǎng)絡(luò)仿冒行為。由于攻擊者在前期進(jìn)行了充分的偵查準(zhǔn)備，所以垃圾郵件過濾器和基于特征的防御機(jī)制往往無法檢測APT攻擊的惡意郵件或代碼[16]。

2) 間接傳入。間接傳入是指攻擊者在一個目標(biāo)用戶經(jīng)常訪問的第三方網(wǎng)站中放置一個或多個惡意代碼，從而代替直接向目標(biāo)發(fā)送惡意代碼的過程[17]。

2.2.3 初次入侵階段

在傳入惡意代碼后，APT攻擊者需要通過執(zhí)行代碼來初次獲得目標(biāo)主機(jī)或網(wǎng)絡(luò)的非授權(quán)訪問權(quán)限。初次入侵階段主要分為漏洞利用和代碼執(zhí)行 2個入侵過程。

1) 利用零日漏洞或傳統(tǒng)漏洞。APT攻擊在初次入侵階段除了利用未知的零日漏洞外，還會利用Office Word、Excel文檔以及Adobe Reader閱讀器的已知脆弱性等已知漏洞[18]。

2) 直接或間接執(zhí)行惡意代碼。惡意代碼執(zhí)行時，一次執(zhí)行的代碼有限，因此惡意軟件一般會與指揮控制（C&C ,command and control）設(shè)備建立連接，并下載和運(yùn)行其余代碼[19]。

2.2.4 保持訪問階段

在入侵目標(biāo)網(wǎng)絡(luò)之后，攻擊者需要通過各種方式保持對系統(tǒng)的訪問權(quán)限。其中，最常用的方式是竊取合法用戶的訪問證書[20]。當(dāng)攻擊者竊取了用戶訪問證書后，會利用遠(yuǎn)程訪問工具（RAT, remote access tools）與多個用戶建立連接，并獲得更多訪問權(quán)限，從而使一個或多個初始權(quán)限被檢測到的情況下保持訪問。

另外，為了在目標(biāo)網(wǎng)絡(luò)中長期駐留，RAT還會建立客戶端—服務(wù)器（C-S, client-server）關(guān)系，攻擊者會利用C-S關(guān)系在目標(biāo)網(wǎng)絡(luò)中植入更多攻擊模塊，這些模塊的功能是必要時替代初始權(quán)限，使攻擊者可以在長時間內(nèi)根據(jù)需要隨時進(jìn)入或退出系統(tǒng)。

2.2.5 擴(kuò)展行動階段

當(dāng)攻擊者可以根據(jù)需要在系統(tǒng)內(nèi)活動時，就會進(jìn)行內(nèi)部偵查，進(jìn)而獲知網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和重要情報，并發(fā)現(xiàn)和收集有價值的信息資產(chǎn)。在擴(kuò)展行動階段，APT攻擊者會使用不同用戶的訪問證書來提升權(quán)限，并會模仿已偵查到的合法用戶行為，使攻擊行為被系統(tǒng)看作是合法的，因此該階段的 APT行動很難被檢測到。另外，為了在攻擊收益階段之前獲得盡可能多的信息，并規(guī)避安全檢測，攻擊者的內(nèi)部偵查行動往往運(yùn)行較慢。

2.2.6 攻擊收益階段

APT攻擊的主要目的是竊取敏感信息。在攻擊收益階段，攻擊者首先將數(shù)據(jù)傳送到一個內(nèi)部服務(wù)器上，并在這里壓縮數(shù)據(jù)。為規(guī)避內(nèi)容檢測，攻擊者多采用XOR、AES-CBC、Substitution和RC4等方式對敏感數(shù)據(jù)加密[21]。然后，數(shù)據(jù)將被傳送到外部的主機(jī)上。此時，為了隱藏傳輸過程，APT攻擊者會使用安全傳輸協(xié)議，如SSL和TLS。

除竊取敏感信息外，APT的攻擊收益還包括破壞信息基礎(chǔ)設(shè)施，例如“震網(wǎng)”在攻擊收益階段成功干擾了關(guān)鍵設(shè)備控制程序的運(yùn)行。

2.3 APT攻擊的特點(diǎn)

從實(shí)施過程中可以看出，APT攻擊具有以下典型特點(diǎn)。

1) 針對性。APT攻擊的攻擊手段和攻擊方案均針對特定的攻擊對象和目的設(shè)計。例如，代碼傳入階段的釣魚程序大多是根據(jù)特定用戶的行為習(xí)慣而設(shè)計的，且惡意代碼的運(yùn)行環(huán)境也都適應(yīng)于目標(biāo)主機(jī)的操作系統(tǒng)。

2) 持續(xù)性。APT攻擊的實(shí)施過程包含多個階段，攻擊者多采用逐層滲透的方式突破高安全等級網(wǎng)絡(luò)的防御系統(tǒng)，整個攻擊過程經(jīng)常長達(dá)數(shù)月到數(shù)年。

3) 偽裝性。APT攻擊者經(jīng)常采用多種方式來偽裝自己的行為，進(jìn)而規(guī)避檢測。例如，攻擊者在保持訪問階段和擴(kuò)展行動階段分別通過偽造合法簽名和模仿正常行為的方式進(jìn)行偽造；攻擊收益階段的外泄數(shù)據(jù)通過加密來規(guī)避內(nèi)容檢測。

4) 間接性。APT攻擊過程中經(jīng)常使用第三方和中間站作為媒介，而非傳統(tǒng)的點(diǎn)到點(diǎn)攻擊模式。例如，代碼傳入階段的第三方釣魚網(wǎng)站、初次入侵階段的間接執(zhí)行惡意代碼和保持訪問階段的遠(yuǎn)程訪問工具都是APT攻擊間接性的體現(xiàn)。

5) 共享性。APT攻擊組織之間互相販賣漏洞攻擊碼及搭配的惡意軟件在網(wǎng)絡(luò)中越來越普遍，這表明各攻擊組織之間的資源共享性逐步增強(qiáng)。

3 基于大數(shù)據(jù)分析的APT檢測研究現(xiàn)狀

現(xiàn)有的許多基于網(wǎng)絡(luò)大數(shù)據(jù)分析的攻擊檢測技術(shù)可以用以檢測APT攻擊。其中，常用的基于底層原始數(shù)據(jù)分析的檢測技術(shù)主要有網(wǎng)絡(luò)流量異常檢測、主機(jī)惡意代碼異常檢測和社交網(wǎng)絡(luò)安全事件挖掘3類；基于高層網(wǎng)絡(luò)事件融合的檢測技術(shù)主要是安全事件關(guān)聯(lián)分析。另外，APT攻擊防御安全框架可以為各項(xiàng)APT防御和檢測技術(shù)提供運(yùn)行環(huán)境，對于有效應(yīng)對APT攻擊至關(guān)重要。因此，本節(jié)針對抗APT攻擊的防御框架和4項(xiàng)安全檢測技術(shù)，分別進(jìn)行介紹和分析。

3.1 APT攻擊防御框架研究現(xiàn)狀

目前，許多學(xué)者提出了不同的抗APT攻擊安全框架，為高等級安全網(wǎng)絡(luò)的建設(shè)提供了重要的參考依據(jù)。其中，針對高等級安全網(wǎng)絡(luò)的APT防御問題，文獻(xiàn)[22]建立了包含APT檢測網(wǎng)關(guān)、組織內(nèi)部私有云、安全管理中心、安全存儲中心和APT威脅管理控制臺的 APT防御體系結(jié)構(gòu)。此外，針對現(xiàn)有抗APT攻擊安全產(chǎn)品單純分析惡意行為而無法解讀未知威脅的問題，文獻(xiàn)[23]提出了一種基于異常發(fā)現(xiàn)的“慧眼”架構(gòu)?！盎垩邸奔軜?gòu)將網(wǎng)絡(luò)安全監(jiān)測過程分為低位監(jiān)測和高位監(jiān)測，利用低位監(jiān)測機(jī)制監(jiān)控主機(jī)的應(yīng)用環(huán)境、系統(tǒng)環(huán)境、通信環(huán)境、傳輸環(huán)境和數(shù)據(jù)環(huán)境，并利用高位監(jiān)測機(jī)制對網(wǎng)絡(luò)協(xié)議特征和流量統(tǒng)計特征進(jìn)行分析。另外，針對傳統(tǒng)的“網(wǎng)關(guān)、服務(wù)器和PC終端”3層網(wǎng)絡(luò)架構(gòu)應(yīng)對APT攻擊的劣勢。文獻(xiàn)[24]提出了一種改進(jìn)的分層集中式網(wǎng)絡(luò)安全架構(gòu)，通過集中分析和管控的方法，使企業(yè)內(nèi)部的安全防護(hù)部件構(gòu)成一個有機(jī)整體，能夠有效地防范APT網(wǎng)絡(luò)攻擊。

以上研究從不同角度建立了抗 APT攻擊安全架構(gòu)，其中，基于私有云的網(wǎng)絡(luò)大數(shù)據(jù)處理、網(wǎng)絡(luò)異常檢測和集中分析管控等功能可以為抗 APT攻擊網(wǎng)絡(luò)的產(chǎn)業(yè)化實(shí)現(xiàn)提供參考。然而，由于 APT攻擊的間接性，不同組織機(jī)構(gòu)之間APT防御信息共享往往成為發(fā)現(xiàn)APT攻擊的主要方式，此外，追溯入侵行為的實(shí)施者并分析攻擊者實(shí)施的與攻擊無關(guān)的大量事件可以為檢測APT攻擊提供有效依據(jù)，而以上安全架構(gòu)沒有涉及這些功能。

3.2 網(wǎng)絡(luò)流量異常檢測技術(shù)研究現(xiàn)狀

網(wǎng)絡(luò)流量異常檢測是指以網(wǎng)絡(luò)流數(shù)據(jù)為輸入，通過統(tǒng)計分析、數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)等方法，發(fā)現(xiàn)異常的網(wǎng)絡(luò)數(shù)據(jù)分組和異常網(wǎng)絡(luò)交互等信息。

網(wǎng)絡(luò)流量異常檢測過程首先需要使用Sniffer、NetFlow、fprobe和flow-tools等數(shù)據(jù)流抓取工具[25～27]來采集海量的網(wǎng)絡(luò)數(shù)據(jù)流信息，然后從數(shù)據(jù)中提取和選擇出可用于檢測異常的數(shù)據(jù)屬性。常用的數(shù)據(jù)屬性提取方法有以下 2種：1）直接以網(wǎng)絡(luò)流量數(shù)據(jù)分組頭的各維數(shù)值作為數(shù)據(jù)屬性[26]，例如數(shù)據(jù)分組的源/目的 IP、源/目的端口、協(xié)議類型、數(shù)據(jù)分組長度和時間等；2）以網(wǎng)絡(luò)流量的統(tǒng)計特性作為數(shù)據(jù)屬性[29～31]，例如固定時間內(nèi)兩主機(jī)間流量字節(jié)數(shù)、分組個數(shù)、數(shù)據(jù)流個數(shù)和流量熵等。

直接以網(wǎng)絡(luò)流量數(shù)據(jù)分組頭的各維數(shù)值作為數(shù)據(jù)屬性的檢測方法主要包括基于無監(jiān)督學(xué)習(xí)、監(jiān)督學(xué)習(xí)和半監(jiān)督學(xué)習(xí)的方法。

在基于無監(jiān)督學(xué)習(xí)[32]的異常檢測方面，Kingsly等[33]提出基于聚類算法的網(wǎng)絡(luò)異常檢測方法，將網(wǎng)絡(luò)數(shù)據(jù)分組劃分為若干類型，根據(jù)這些分類識別各條數(shù)據(jù)分組為正?；虍惓＃摲椒ǖ膬?yōu)勢在于不需要使用已標(biāo)記出攻擊的流量數(shù)據(jù)進(jìn)行訓(xùn)練。針對聚類檢測方法中數(shù)據(jù)屬性數(shù)量較多的問題，Rubinstein等[34]利用主成分分析法（PCA, principal component analysis）提取具有代表性的主分量，并利用主分量的方差描述其在檢測中的重要程度，進(jìn)而選擇重要的主成分來降維。此外，針對聚類檢測運(yùn)算易陷入局部最優(yōu)的問題，唐成華等[35]考慮到聚類檢測算法結(jié)果對初始聚類中心的敏感性，利用遺傳算法的全局搜索能力克服了其在迭代時易陷入局部最優(yōu)的缺點(diǎn)。

在基于監(jiān)督學(xué)習(xí)[36～39]的異常檢測方面，楊雅輝等[40]針對傳統(tǒng)離線入侵檢測方法建立系統(tǒng)速度慢、模型更新代價高等不足，對GHSOM神經(jīng)網(wǎng)絡(luò)模型進(jìn)行了擴(kuò)展，提出了一種基于增量式GHSOM神經(jīng)網(wǎng)絡(luò)模型的網(wǎng)絡(luò)入侵檢測方法，增強(qiáng)了入侵檢測過程的自適應(yīng)性和擴(kuò)展性，進(jìn)而可以檢測出網(wǎng)絡(luò)上新出現(xiàn)的攻擊類型。此外，由于監(jiān)督學(xué)習(xí)算法的時效性較差，面對體量巨大且實(shí)時更新的網(wǎng)絡(luò)流量數(shù)據(jù)，需要采取一定方法實(shí)現(xiàn)在線檢測，因此，武小年等[41]采用滑動窗口方法提高檢測效率，每隔一個測量間隔時間，將最新的測量數(shù)據(jù)加入到滑動窗口并將最舊的測量數(shù)據(jù)剔除，保持滑動窗口長度不變，然后在該時間窗口內(nèi)進(jìn)行異常檢測。

在基于半監(jiān)督學(xué)習(xí)的異常檢測方面，Yasami等[42]將監(jiān)督學(xué)習(xí)和無監(jiān)督學(xué)習(xí)相結(jié)合，利用k-means聚類算法和ID3決策樹學(xué)習(xí)算法進(jìn)行網(wǎng)絡(luò)異常流量的檢測，使用基于歐氏距離的k-means聚類算法對正常流量行為和異常流量行為進(jìn)行訓(xùn)練，然后結(jié)合ID3決策樹判斷是否發(fā)生流量異常。此外，針對k-means聚類算法歐式距離計算中屬性重要程度不一致的問題，陸悠等[43]利用計算絕對熵和條件熵來計算信息增益，進(jìn)而得到特征重要度，并以特征重要度作為特征權(quán)重代入聚類過程。

以網(wǎng)絡(luò)流量統(tǒng)計特性作為數(shù)據(jù)屬性的異常檢測方法比基于數(shù)據(jù)分組頭各維數(shù)值的檢測方法更加高效。這類方法按照檢測的范圍可分為基于單鏈路流量的異常檢測[44]和基于全網(wǎng)絡(luò)流量矩陣的異常檢測[45]2類。前者主要利用流量數(shù)據(jù)的時間相關(guān)性檢測入侵，后者則綜合利用流量的時間相關(guān)性和空間相關(guān)性[46]，采用多元統(tǒng)計分析方法進(jìn)行檢測。由于全網(wǎng)絡(luò)流量矩陣具有高維特性，因此許多研究采用PCA進(jìn)行統(tǒng)計分析[47～49]。此外，考慮到PCA無法反映流量矩陣各維度之間的相關(guān)性，所以一些研究采用支持向量機(jī)（SVM, supported vector machine）等機(jī)器學(xué)習(xí)方法[50]，通過關(guān)聯(lián)各維數(shù)據(jù)來判斷異常是否真的發(fā)生，進(jìn)而降低誤報率。此外，全網(wǎng)絡(luò)異常檢測可以利用基于圖數(shù)據(jù)挖掘的檢測技術(shù)實(shí)現(xiàn)，Noble等[51]通過檢測圖中的異常子結(jié)構(gòu)和異常子圖來挖掘異常。Eberle等[52,53]將深度搜索算法和最短描述長度引入到基于圖數(shù)據(jù)挖掘的異常檢測中，提高了檢測的準(zhǔn)確度。文獻(xiàn)[54～56]使用流量散布圖檢測網(wǎng)絡(luò)流量異常。流量散布圖由于能夠描述網(wǎng)絡(luò)中主機(jī)間的交互模式，因而能幫助網(wǎng)絡(luò)管理員更好地理解流量異常。通過分析總結(jié)，可得到各類網(wǎng)絡(luò)流量異常檢測方法的優(yōu)缺點(diǎn)如表1所示。

網(wǎng)絡(luò)流量異常檢測數(shù)據(jù)源的海量性限制了該技術(shù)在寬時間域內(nèi)的使用，由于APT攻擊具有明顯的持續(xù)性，所以網(wǎng)絡(luò)流量異常檢測技術(shù)容易漏過寬時間域內(nèi)的APT攻擊。此外，APT攻擊往往是多種攻擊手段的組合，而網(wǎng)絡(luò)流量異常檢測技術(shù)的數(shù)據(jù)源種類較為單一。因此，傳統(tǒng)網(wǎng)絡(luò)流量異常檢測技術(shù)在應(yīng)對APT攻擊時存在局限性。

表1 各類網(wǎng)絡(luò)流量異常檢測方法的優(yōu)缺點(diǎn)

3.3 惡意代碼異常檢測技術(shù)研究現(xiàn)狀

惡意代碼是指用于完成特定惡意功能的代碼片段，其定義與惡意程序和惡意應(yīng)用類似[57]。惡意代碼主要包括計算機(jī)病毒、蠕蟲、特洛伊木馬、后門、RootKit、僵尸程序和組合惡意代碼等類型[58]。惡意代碼異常檢測是指通過對海量樣本程序的動靜態(tài)特征進(jìn)行智能分析來識別惡意代碼的檢測技術(shù)。目前，工程上普遍使用的惡意代碼檢測方法是基于特征碼的異常檢測，而該方法無法處理未知的惡意代碼，無法有效應(yīng)對爆發(fā)式增長的惡意代碼帶來的威脅[59]，因此該領(lǐng)域研究熱點(diǎn)集中在基于行為的惡意代碼智能異常檢測方面[60～62]?；谛袨榈膼阂獯a檢測的核心內(nèi)容包括特征提取和數(shù)據(jù)分析兩部分，下面分別對這2部分的研究進(jìn)行綜述。

惡意代碼的特征提取方法主要包括以下2類。1）靜態(tài)特征提取方法[63,64]。該方法采用文件結(jié)構(gòu)分析、反編譯、反匯編、控制流和數(shù)據(jù)流分析等技術(shù)[65]，在不運(yùn)行程序的條件下，提取程序的組件、指令、控制流和函數(shù)調(diào)用序列等可用于異常檢測的代碼靜態(tài)特征[66]。該方法的優(yōu)點(diǎn)是樣本覆蓋率高，缺點(diǎn)是對于采用變形、多態(tài)、代碼混淆和加密等技術(shù)的惡意代碼要進(jìn)行多角度分析。2）動態(tài)特征提取方法[67,68]。該方法采用 Anubis、CWSandbox、Norman Sandbox、Joebox 等分析工具[69]，在真實(shí)或虛擬環(huán)境下運(yùn)行程序，進(jìn)而提取API操作、文件系統(tǒng)操作、函數(shù)訪問和系統(tǒng)調(diào)用等代碼動態(tài)特征[70]。該方法的優(yōu)點(diǎn)是可以有效提取采用變形、多態(tài)、代碼混淆和加密等技術(shù)的代碼特征，缺點(diǎn)是特征提取速度慢，而且無法提取在模擬器下運(yùn)行時自動崩潰的惡意代碼特征。

惡意代碼的數(shù)據(jù)分析方法通常利用惡意和非惡意程序樣本，根據(jù)機(jī)器學(xué)習(xí)的理論與方法檢測出異常代碼，并與已有檢測軟件、殺毒軟件和人工檢測結(jié)果進(jìn)行對比，進(jìn)而檢驗(yàn)檢測算法的準(zhǔn)確性。該方法主要分為以下 2類。1）基于分類的惡意代碼檢測，常用方法有樸素貝葉斯算法[71]、決策樹[72]和集成分類器[73]等。2）基于聚類的惡意代碼檢測，常用的方法有k-means聚類[74]和層次聚類[75]等。此外，由于不同類型的特征具有各自的特點(diǎn)，所以可以對同類型的特征使用相同的學(xué)習(xí)方法，而對不同類型的特征分別采用不同的學(xué)習(xí)方法，然后通過綜合各個學(xué)習(xí)機(jī)的檢測結(jié)果來提高檢測精度和效率[76]。

綜上所述，惡意代碼異常檢測技術(shù)可以有效檢測數(shù)量快速增長的未知惡意程序。然而，APT攻擊中惡意代碼偽裝性和隱蔽性很高，而且經(jīng)常通過網(wǎng)絡(luò)流建立C&C關(guān)系，因此與第4.2節(jié)的系統(tǒng)安全檢測框架相比，惡意代碼異常檢測技術(shù)在應(yīng)對仍然存在時空關(guān)聯(lián)能力差和漏檢率較高等問題。

3.4 社交網(wǎng)絡(luò)安全事件挖掘技術(shù)研究現(xiàn)狀

社交網(wǎng)絡(luò)安全行為挖掘是指從社交網(wǎng)絡(luò)海量數(shù)據(jù)中學(xué)習(xí)用戶在網(wǎng)絡(luò)中的行為模式[77]，并挖掘用戶的社交關(guān)系網(wǎng)等社會屬性[78,79]，進(jìn)而為攻擊檢測、計算機(jī)取證和信息安全防護(hù)提供指導(dǎo)和依據(jù)[80]。

社交網(wǎng)絡(luò)安全事件挖掘在網(wǎng)絡(luò)安全檢測方面的應(yīng)用主要分為以下 2類。1）從社交網(wǎng)絡(luò)的信息內(nèi)容和聯(lián)系關(guān)系中挖掘用戶的正常行為模式和用戶間的信任關(guān)系[81,82]，通過在線監(jiān)控將違背行為模式和信任關(guān)系的異常行為歸納為威脅事件，并據(jù)此快速定位攻擊者的不軌行為[83]。2）從社交網(wǎng)絡(luò)數(shù)據(jù)中發(fā)現(xiàn)可疑攻擊者的社會屬性等信息，為攻擊事件溯源和攻擊意圖識別提供指導(dǎo)[84,85]。

社交網(wǎng)絡(luò)海量數(shù)據(jù)的采集工作是安全行為挖掘的前提，常用的社交網(wǎng)絡(luò)數(shù)據(jù)采集有以下2種方法。1）通過編寫爬蟲程序來采集網(wǎng)頁上的內(nèi)容信息。該方法具體涉及到模擬登錄、網(wǎng)頁抓取和網(wǎng)頁解析等步驟[86,87]。在網(wǎng)頁抓取的過程中，考慮到不同用戶的網(wǎng)頁抓取與計算平臺無關(guān)，所以一些研究利用分布式計算平臺提高抓取效率[88]，此外還有一些研究利用增量抓取的方法實(shí)現(xiàn)在線采集[89]。2）利用社交網(wǎng)站提供的應(yīng)用程序接口或公開的數(shù)據(jù)集。例如，許多研究者利用Twitter開放的接口采集Twitter微博數(shù)據(jù)進(jìn)行分析[90～92]，此外，Enron數(shù)據(jù)集等郵件通信日志數(shù)據(jù)集也被用于用戶安全行為挖掘研究[93]。

完成數(shù)據(jù)采集工作之后，需要使用有代表性的數(shù)據(jù)屬性進(jìn)行用戶安全行為挖掘。常見的微博數(shù)據(jù)屬性主要有博文內(nèi)容特征、用戶聯(lián)系人關(guān)聯(lián)關(guān)系和用戶發(fā)帖分布情況等[94,95]；常見的郵件通信日志數(shù)據(jù)屬性主要有通信關(guān)系、通信頻率、通信時間、抄送關(guān)系和附件大小等[96]。

雖然社交網(wǎng)絡(luò)安全事件挖掘技術(shù)可以識別用戶行為異常，并為攻擊檢測提供指導(dǎo)，但社交網(wǎng)絡(luò)中蘊(yùn)含的攻擊信息畢竟有限，該技術(shù)需要與網(wǎng)絡(luò)流量和惡意代碼異常檢測技術(shù)配合使用，才能更有效地檢測APT攻擊。

3.5 安全事件關(guān)聯(lián)分析技術(shù)研究現(xiàn)狀

安全事件關(guān)聯(lián)分析是通過關(guān)聯(lián)底層安全檢測的結(jié)果來在較高層次檢測網(wǎng)絡(luò)攻擊行為的方法。按照關(guān)聯(lián)對象的不同，現(xiàn)有的安全事件關(guān)聯(lián)分析方法可分為以下4類。

1) 安全設(shè)備報警關(guān)聯(lián)分析[97～100]。該類方法以Snort等安全設(shè)備的海量報警作為輸入，通過報警融合得到更有概括性且更準(zhǔn)確的安全報警。具體的實(shí)施過程是首先給出報警數(shù)據(jù)各維數(shù)值的相似度度量模型，然后利用機(jī)器學(xué)習(xí)等方法確定各維報警數(shù)據(jù)在報警匹配中占有的權(quán)重，最后通過加權(quán)綜合計算報警間的匹配度，并將匹配度超過預(yù)設(shè)閾值的報警進(jìn)行聚合，進(jìn)而降低誤報率[101,102]。該類方法由Valdes等[103]首先提出，它為每個屬性定義了一個相似度計算函數(shù)，通過對報警各屬性相似度進(jìn)行加權(quán)平均計算報警整體相似度，并根據(jù)報警整體相似度是否超過預(yù)設(shè)閾值來聚合報警。在之后的研究中，穆成坡等[104]利用模糊綜合評判思想改進(jìn)了基于屬性相似度的報警聚合方法，很好地處理了多屬性中的模糊信息和聚合過程中的不確定性；郭帆等[105]將所有報警按攻擊類別分為 4類，對于不同類別的報警，分別設(shè)置不同的屬性相似度權(quán)重，從而使報警整體相似度和聚合判決結(jié)果更符合實(shí)際情況。以上方法均達(dá)到了降低誤報率和減少重復(fù)報警的目的。

2) 網(wǎng)絡(luò)和主機(jī)安全關(guān)聯(lián)分析[106～108]。該類方法首先給出網(wǎng)絡(luò)流量和主機(jī)特征異常程度的度量指標(biāo)，然后利用科學(xué)的模型對以上2類指標(biāo)進(jìn)行綜合，進(jìn)而有效提高安全檢測的準(zhǔn)確率。典型的關(guān)聯(lián)模型借鑒推薦算法的思想[109]，利用聚類方法得到網(wǎng)絡(luò)節(jié)點(diǎn)間的流量相似度，并利用反病毒工具得到主機(jī)的可疑度，然后將主機(jī)可疑度作為推薦模型的節(jié)點(diǎn)、流量相似度作為連邊，通過關(guān)聯(lián)得到網(wǎng)絡(luò)中所有主機(jī)的綜合可疑度，進(jìn)而更準(zhǔn)確地檢測惡意程序和入侵。例如，Dimitropoulos等[110]設(shè)計了一個基于關(guān)聯(lián)分析的異常事件診斷系統(tǒng)，該系統(tǒng)通過頻繁模式挖掘和構(gòu)建正常流量行為模型判斷流量異常的類型。美國普林斯頓大學(xué)的Duffield等[111]提出了基于規(guī)則的流量異常檢測方法，通過分析分組級別信息與流級別信息的對應(yīng)關(guān)系建立分組級別告警與流量異常事件的關(guān)聯(lián)。

3) 不同領(lǐng)域安全事件關(guān)聯(lián)分析[112,113]。該類方法利用不同領(lǐng)域安全事件中具有內(nèi)在關(guān)聯(lián)的若干屬性進(jìn)行融合，通過綜合各類安全事件信息來檢測網(wǎng)絡(luò)攻擊。例如，網(wǎng)絡(luò)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)和物理信息系統(tǒng)的拓?fù)浣Y(jié)構(gòu)是一致的[114]，所以可以將網(wǎng)絡(luò) IP地址與物理信息系統(tǒng)的設(shè)備 ID進(jìn)行關(guān)聯(lián)，進(jìn)而實(shí)現(xiàn)異源安全數(shù)據(jù)的融合。具體地，美國北卡羅萊納州立大學(xué)的Ning等[115]提出了一種異常事件因果關(guān)聯(lián)分析方法，該方法的目的是關(guān)聯(lián)同一原因引起的多個異常事件，建立異常事件與攻擊之間的因果關(guān)系?；?Ning等的研究成果，美國北卡羅萊納州立大學(xué)的 Cui等[116]設(shè)計了一種離線的異常事件關(guān)聯(lián)器，該關(guān)聯(lián)器能夠在保證關(guān)聯(lián)速度的同時降低關(guān)聯(lián)的錯誤率。

4) 攻擊步驟關(guān)聯(lián)分析[117～120]。該類方法利用專家經(jīng)驗(yàn)建立攻擊模型，通過將已檢測到的攻擊與攻擊模型進(jìn)行匹配來識別攻擊意圖，為下一階段的攻擊檢測提供依據(jù)。常用的攻擊模型主要有概率攻擊圖或最大概率攻擊路徑等[121]。

目前，安全事件關(guān)聯(lián)分析技術(shù)存在的局限性包括：攻擊步驟關(guān)聯(lián)分析中攻擊模型建立過程的主觀性過強(qiáng)；安全事件關(guān)聯(lián)分析的關(guān)聯(lián)對象類型仍不夠全面。

4 抗APT攻擊的系統(tǒng)安全防御框架展望

由以上分析可知，現(xiàn)有的APT攻擊防御框架均存在局限性，且單獨(dú)使用某項(xiàng)技術(shù)無法有效檢測APT攻擊。因此，本文建立了綜合性的系統(tǒng)安全防御框架，并提出了一種基于智能反饋和大數(shù)據(jù)分析的系統(tǒng)安全檢測框架，綜合利用多種安全技術(shù)分層次檢測APT攻擊。

4.1 系統(tǒng)綜合防御框架

由于APT攻擊綜合運(yùn)用多種技術(shù)手段，且攻擊的持續(xù)性和偽裝性較強(qiáng)，因此APT防御系統(tǒng)必須具備智能檢測和深度關(guān)聯(lián)分析的功能，并能夠有針對性地實(shí)施安全防護(hù)和主動反制。基于此，本文提出一種抗APT攻擊的系統(tǒng)綜合防御建議框架，如圖1所示。

圖1 抗APT攻擊的系統(tǒng)綜合防御框架示意

圖1中，系統(tǒng)綜合防御框架包括系統(tǒng)安全檢測、系統(tǒng)安全防護(hù)和主動防御3個階段，各階段的運(yùn)行過程如下。

1) 在系統(tǒng)安全檢測階段，首先利用針對多對象多進(jìn)程的集成入侵檢測網(wǎng)關(guān)對網(wǎng)絡(luò)訪問事件進(jìn)行初步檢測；然后收集來自于攻擊方、網(wǎng)關(guān)和內(nèi)網(wǎng)的各類網(wǎng)絡(luò)信息，并提取出安全事件特征；最后利用智能反饋和大數(shù)據(jù)分析方法對安全事件特征進(jìn)行深度關(guān)聯(lián)分析，進(jìn)一步發(fā)現(xiàn)集成入侵檢測網(wǎng)關(guān)無法識別的APT攻擊。

2) 在系統(tǒng)安全防護(hù)階段，根據(jù)上一階段的檢測結(jié)果和第三方機(jī)構(gòu)共享的攻擊情報，阻止網(wǎng)絡(luò)中的惡意程序運(yùn)行并阻斷非法的控制和傳輸進(jìn)程，加強(qiáng)系統(tǒng)內(nèi)各主機(jī)節(jié)點(diǎn)的安全措施，對網(wǎng)絡(luò)中被攻擊者利用的脆弱點(diǎn)進(jìn)行有針對性的系統(tǒng)安全加固。

3) 在主動防御階段，為避免攻擊者利用防御系統(tǒng)未完全修復(fù)的漏洞和未及時封鎖的權(quán)限進(jìn)行下一階段攻擊，防御系統(tǒng)應(yīng)利用數(shù)據(jù)溯源等方法確認(rèn)攻擊者信息，利用主動防御機(jī)制對檢測出的攻擊者進(jìn)行干擾和反制。

圖1所示的防御框架區(qū)別于傳統(tǒng)高安全防護(hù)等級系統(tǒng)防御框架的創(chuàng)新之處在于以下幾個方面。

1) 系統(tǒng)框架集攻、偵、防于一體

由于 APT攻擊是有組織的攻擊者對特定對象實(shí)施的定向攻擊，所以某次成功的系統(tǒng)安全防護(hù)對于消除APT威脅隱患的貢獻(xiàn)十分有限，有必要對溯源出的攻擊者實(shí)施主動反擊，因此集攻、偵、防于一體的系統(tǒng)安全防御框架有利于從根本上防御APT攻擊。

2) 綜合關(guān)聯(lián)各類信息進(jìn)行檢測

該框架的系統(tǒng)安全檢測模塊綜合提取網(wǎng)關(guān)、內(nèi)網(wǎng)和攻擊方3個方面的信息。其中，攻擊方信息參與檢測過程有助于防御方利用社會工程學(xué)等方法對APT攻擊威脅進(jìn)行預(yù)判，有效解決APT攻防對抗中的信息不對稱問題。而傳統(tǒng)的防御框架沒有考慮到攻擊方相關(guān)信息在攻擊檢測中的重要性，因此該框架可以更好地檢測APT攻擊。

3) 建立攻擊檢測情報共享機(jī)制

在APT攻擊的檢測工作中，除了內(nèi)網(wǎng)本身收集到的數(shù)據(jù)之外，第三方機(jī)構(gòu)提供的APT攻擊信息對于檢測APT攻擊也至關(guān)重要。Verizon Business公司 2013年數(shù)據(jù)泄漏調(diào)查報告顯示，在被發(fā)現(xiàn)的數(shù)據(jù)泄漏案例中，有43%來自于外部用戶或不相關(guān)組織的告知[18]。因此，該框架中的第三方情報共享機(jī)制可以突破單點(diǎn)防護(hù)的傳統(tǒng)觀念，有效提高系統(tǒng)防御APT攻擊的能力。

4.2 系統(tǒng)安全檢測框架

系統(tǒng)安全檢測階段是系統(tǒng)綜合防御框架的核心，因此本節(jié)對該階段的實(shí)施過程進(jìn)行詳細(xì)設(shè)計，具體如圖2所示。

圖2中，系統(tǒng)安全檢測框架包括3個數(shù)據(jù)處理層次和一項(xiàng)反饋機(jī)制，各部分的實(shí)施過程如下。

Level 0：原始安全數(shù)據(jù)獲取。該層次主要利用各種網(wǎng)絡(luò)數(shù)據(jù)收集設(shè)備獲取受保護(hù)網(wǎng)絡(luò)系統(tǒng)和相關(guān)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)流量、應(yīng)用程序和社交網(wǎng)絡(luò)等信息，對于大規(guī)模網(wǎng)絡(luò)，這些信息往往是海量的。

Level 1：寬時間域數(shù)據(jù)關(guān)聯(lián)分析。該層次利用網(wǎng)絡(luò)中的各類原始數(shù)據(jù)，挖掘出能一定程度上反映攻擊狀況的網(wǎng)絡(luò)安全事件，為更高層次進(jìn)一步關(guān)聯(lián)分析提供基礎(chǔ)。具體實(shí)現(xiàn)的功能有網(wǎng)絡(luò)流量異常檢測、惡意代碼異常檢測和社交網(wǎng)絡(luò)安全事件挖掘 3類。為應(yīng)對APT攻擊的極強(qiáng)持續(xù)性和階段性，該層次數(shù)據(jù)挖掘的過程中應(yīng)適量將時間窗口拉大，通過寬時間域數(shù)據(jù)分析提取安全事件。

圖2 基于智能反饋和大數(shù)據(jù)分析的系統(tǒng)安全檢測框架示意

Level 2：寬應(yīng)用域事件關(guān)聯(lián)分析。由于寬時間域數(shù)據(jù)關(guān)聯(lián)分析提取出的安全事件數(shù)量龐大，安全事件類型多樣，且存在大量虛警信息，因此有必要通過安全關(guān)聯(lián)的方式從大量安全事件中提取出真實(shí)的攻擊信息?；诖耍搶哟卫镁W(wǎng)絡(luò)入侵安全事件、惡意代碼和用戶行為安全事件中具有內(nèi)在關(guān)聯(lián)的若干屬性，采用安全事件關(guān)聯(lián)分析方法識別出攻擊發(fā)生的時間、地點(diǎn)、攻擊類型和強(qiáng)度等信息。

Feedback：智能反饋。為充分利用安全事件關(guān)聯(lián)分析得到的攻擊信息，彌補(bǔ)Level 1中海量數(shù)據(jù)分析過程缺乏指導(dǎo)的不足，系統(tǒng)安全檢測框架引入智能反饋機(jī)制。該機(jī)制根據(jù)Level 2中識別出的攻擊信息進(jìn)行攻擊回溯，得到面臨威脅較大的節(jié)點(diǎn)和時間段，并據(jù)此在Level 1對這些節(jié)點(diǎn)和時段的臨近時空范圍進(jìn)行重點(diǎn)分析，進(jìn)而科學(xué)指導(dǎo)下一輪系統(tǒng)安全檢測過程。

圖2所示的檢測框架在檢測APT攻擊方面具備一定的獨(dú)特優(yōu)勢，主要體現(xiàn)在由于APT攻擊的持續(xù)性、針對性和滲透性，所以擴(kuò)大時間和空間范圍進(jìn)行數(shù)據(jù)關(guān)聯(lián)分析是檢測 APT攻擊的最有效途徑之一。然而，檢測范圍的擴(kuò)大會對檢測工作帶來不利影響。一方面，海量數(shù)據(jù)會增加檢測的時間成本；另一方面，考慮到海量數(shù)據(jù)分析的固有特點(diǎn)，盲目地對海量的寬域網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行大數(shù)據(jù)分析往往不僅無法有效檢測攻擊，反而會由于分析過程缺乏指導(dǎo)性而出現(xiàn)大量無關(guān)的檢測結(jié)果。因此利用窄時空域的初步檢測結(jié)果指導(dǎo)下一步的檢測過程，有針對性地對重點(diǎn)節(jié)點(diǎn)的重點(diǎn)時間段進(jìn)行寬域檢測。這種反饋式的檢測方式可以在提高檢測率的同時，提升檢測的時效性，因此可以科學(xué)實(shí)用地檢測APT攻擊。

5 抗APT攻擊的系統(tǒng)安全檢測技術(shù)展望

系統(tǒng)安全檢測框架為 APT攻擊檢測工作提供了技術(shù)支撐，但該框架所集成的各項(xiàng)安全檢測關(guān)鍵技術(shù)均存在一定的局限性。本節(jié)分別給出各項(xiàng)關(guān)鍵技術(shù)在檢測APT攻擊時面臨的挑戰(zhàn)，并提出下一步發(fā)展方向。

5.1 網(wǎng)絡(luò)流量異常檢測面臨的挑戰(zhàn)和發(fā)展方向

網(wǎng)絡(luò)流量異常檢測技術(shù)的實(shí)施依賴于科學(xué)地采集網(wǎng)絡(luò)流量數(shù)據(jù)，而 APT攻擊具有極強(qiáng)的針對性，其攻擊對象往往是安全等級很高的特殊信息系統(tǒng)，如何獲取特定信息系統(tǒng)中的網(wǎng)絡(luò)流量歷史樣本和實(shí)時數(shù)據(jù)是一項(xiàng)很大的挑戰(zhàn)。此外，基于監(jiān)督學(xué)習(xí)的網(wǎng)絡(luò)流量異常檢測方法需要收集大量有代表性的網(wǎng)絡(luò)流量樣本。在樣本收集工作中，直接使用KDD99和DARPA98等得到廣泛認(rèn)可的公開數(shù)據(jù)集是一種易于實(shí)現(xiàn)的方法，而公開數(shù)據(jù)集在用于特定信息系統(tǒng)時不一定具有代表性，因此許多研究者在搭建的實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境或真實(shí)的某類型網(wǎng)絡(luò)上收集網(wǎng)絡(luò)流量樣本。然而，這些收集到的樣本是在某一時間段內(nèi)出現(xiàn)的，由于網(wǎng)絡(luò)狀態(tài)和APT攻擊的信息都在動態(tài)變化，所以利用經(jīng)過一次學(xué)習(xí)得到的結(jié)果進(jìn)行反復(fù)檢測，效果會很差。在線學(xué)習(xí)是解決該問題的有效方法，而在線學(xué)習(xí)方法的樣本標(biāo)記難度較大。因此，實(shí)時獲取特定信息系統(tǒng)中的網(wǎng)絡(luò)流量樣本數(shù)據(jù)并降低標(biāo)記成本是下一步的研究方向。

另外，由于APT攻擊具有較強(qiáng)的持續(xù)性和滲透性，所以APT攻擊所造成的網(wǎng)絡(luò)流量異常一般有明顯的延遲，導(dǎo)致窄時間窗內(nèi)的異常檢測方法失效。傳統(tǒng)的流量異常檢測技術(shù)均以海量的網(wǎng)絡(luò)流數(shù)據(jù)作為輸入，所以寬時間窗內(nèi)網(wǎng)絡(luò)流數(shù)據(jù)體量過大，不僅使數(shù)據(jù)分析成本急劇增加，而且對過于龐大的數(shù)據(jù)進(jìn)行缺乏指導(dǎo)的異常檢測容易產(chǎn)生大量的誤報，進(jìn)而導(dǎo)致檢測結(jié)果失去意義。因此，以更高層次的安全數(shù)據(jù)作為異常檢測的輸入，進(jìn)行多時間窗口關(guān)聯(lián)分析和報警關(guān)聯(lián)分析是下一步的研究方向。

5.2 惡意代碼異常檢測面臨的挑戰(zhàn)和發(fā)展方向

大數(shù)據(jù)條件下的惡意代碼異常檢測要求特征提取過程中自動、快速、有效，而動態(tài)特征提取方法具有樣本覆蓋率低、特征提取速度慢的缺點(diǎn)，所以靜態(tài)分析方法更適合于大數(shù)據(jù)條件下的特征表達(dá)，然而由于APT攻擊是高水平的專業(yè)攻擊者采取的不計技術(shù)成本的攻擊方式，所以絕大多數(shù) APT惡意代碼均采用了加密、代碼混淆等隱蔽手段，導(dǎo)致靜態(tài)的分析方法無法有效提取代碼特征。因此，如何解決動態(tài)特征提取的時效性問題和靜態(tài)特征提取無法識別隱蔽代碼的問題是很大的挑戰(zhàn)。目前，應(yīng)對APT攻擊的主流惡意代碼特征提取方法是沙箱分析技術(shù)，如何結(jié)合代碼的靜態(tài)特征降低沙箱分析的時間和空間成本是惡意代碼特征提取研究領(lǐng)域的發(fā)展方向。

在典型APT攻擊案例中，僵尸程序和遠(yuǎn)程C&C程序得到了廣泛的使用，這些惡意程序往往會在多臺主機(jī)上留下特征痕跡，且伴隨有相互之間的網(wǎng)絡(luò)交互，有些程序還利用延遲的方法來增強(qiáng)隱蔽性，而傳統(tǒng)的惡意代碼異常檢測方法大多單獨(dú)分析主機(jī)上某一時刻的代碼狀態(tài)，對于APT攻擊的檢測效果較差。因此，如何有效檢測延遲僵尸程序和C&C程序是很大的挑戰(zhàn)。在惡意代碼異常檢測過程中進(jìn)行時空關(guān)聯(lián)和網(wǎng)絡(luò)流量關(guān)聯(lián)是惡意代碼特征數(shù)據(jù)分析研究領(lǐng)域的發(fā)展方向。

5.3 社交網(wǎng)絡(luò)安全事件挖掘面臨的挑戰(zhàn)和發(fā)展方向

在社交網(wǎng)絡(luò)安全行為挖掘過程中，盡管數(shù)據(jù)源為非敏感數(shù)據(jù)，但仍可能挖掘出正常用戶的個人隱私[122,123]，為安全行為挖掘者引起法律糾紛，進(jìn)而影響網(wǎng)絡(luò)安全檢測工作的正常進(jìn)行。隱私保護(hù)數(shù)據(jù)挖掘是解決該問題的有效途徑之一，然而基于干擾的隱私保護(hù)數(shù)據(jù)挖掘方法會降低挖掘算法的可用性，影響攻擊檢測的準(zhǔn)確率；基于加密的隱私保護(hù)數(shù)據(jù)挖掘方法成本過高，不易于部署在社交網(wǎng)絡(luò)中[124]。因此，在社交網(wǎng)絡(luò)安全行為挖掘過程中保護(hù)正常用戶的隱私信息是個很大的挑戰(zhàn)。建立網(wǎng)絡(luò)安全檢測的反饋機(jī)制，充分利用可疑攻擊者的信息對挖掘工作進(jìn)行指導(dǎo)是社交網(wǎng)絡(luò)安全行為挖掘研究的發(fā)展方向。

另外，雖然社交網(wǎng)絡(luò)中的安全事件可以為網(wǎng)絡(luò)攻擊檢測提供指導(dǎo)，但是網(wǎng)絡(luò)爬蟲的運(yùn)行需要使用一個初始的用戶節(jié)點(diǎn)進(jìn)行驅(qū)動，考慮到典型的APT攻擊過程大多運(yùn)用社會工程和社交網(wǎng)絡(luò)分析等手段進(jìn)行敏感信息收集，所以網(wǎng)絡(luò)爬蟲的運(yùn)行過程可能被APT攻擊者發(fā)現(xiàn)。設(shè)計高可靠性和隱蔽性的爬蟲程序是社交網(wǎng)絡(luò)安全數(shù)據(jù)采集工作的發(fā)展方向。

5.4 安全事件關(guān)聯(lián)分析面臨的挑戰(zhàn)和發(fā)展方向

由于 APT攻擊本質(zhì)上是多類高級攻擊手段在時間和空間上的組合，所以APT攻擊的檢測過程對安全事件關(guān)聯(lián)分析效果的要求尤其高。然而，現(xiàn)有的安全事件關(guān)聯(lián)分析方法的關(guān)聯(lián)對象仍較為單一，難以發(fā)現(xiàn)不同位置不同時間段內(nèi)安全事件潛在的隱藏關(guān)系。因此，利用各類安全事件的內(nèi)在聯(lián)系，以具體APT攻擊的過程和特點(diǎn)為指導(dǎo)，對信息系統(tǒng)中的所有安全事件進(jìn)行綜合關(guān)聯(lián)分析是個很大的挑戰(zhàn)。

攻擊圖和攻擊路徑等模型過于主觀，不利于在大規(guī)模網(wǎng)絡(luò)推廣使用，且模型假設(shè)過多，在非理想情況下往往會失效，例如許多概率攻擊圖模型假設(shè)攻擊者是理性的，而實(shí)際情況下攻擊者的攻擊行為可預(yù)見性較差，其采用的攻擊手段十分多樣，導(dǎo)致關(guān)聯(lián)分析結(jié)果失效。因此，客觀智能地生成概率攻擊圖是下一步的研究方向。

現(xiàn)有安全事件關(guān)聯(lián)分析研究沒有利用高層次的關(guān)聯(lián)分析結(jié)果進(jìn)一步指導(dǎo)基于底層數(shù)據(jù)的異常檢測實(shí)施過程，即沒有對安全事件關(guān)聯(lián)分析結(jié)果進(jìn)行充分利用。因此，設(shè)計基于關(guān)聯(lián)分析結(jié)果的異常檢測指導(dǎo)方法是下一步的研究方向。

6 結(jié)束語

利用網(wǎng)絡(luò)安全大數(shù)據(jù)分析方法識別 APT攻擊是APT檢測技術(shù)的發(fā)展趨勢。本文針對傳統(tǒng)安全檢測工作中各個檢測系統(tǒng)單獨(dú)工作的問題，將現(xiàn)有的檢測技術(shù)進(jìn)行有效整合，提出了反饋式系統(tǒng)安全檢測框架，并討論了該框架面臨的主要技術(shù)挑戰(zhàn)和發(fā)展方向。除技術(shù)方面的工作外，各組織能否完善網(wǎng)絡(luò)數(shù)據(jù)和攻擊信息的共享機(jī)制，也是影響APT攻擊檢測工作的關(guān)鍵所在。

[1] CHEN P, DESMET L, HUYGENS C. A study on advanced persistent threats[A]. Communications and Multimedia Security-15th International Conference[C]. 2014. 63-72.

[2] NIKOS V, DIMITRI G. The big four—what we did wrong in advanced persistent threat detection[A]. International Conference on Availability,Reliability and Security[C]. 2013. 248-254.

[3] YANG G M Z, TIAN Z H, DUAN W L. The prevent of advanced persistent threat[J]. Journal of Chemical and Pharmaceutical Research,2015, 6(1):572-576.

[4] FRIEDBERG I, SKOPIK F, SETTANNI G,et al. Combating advanced persistent threats: from network event correlation to incident detection[J]. Computers & Security, 2015, 48(2):35-57.

[5] BUTT M I A. BIOS integrity: an advanced persistent threat[A]. Conference Proceedings - 2014 Conference on Information Assurance and Cyber Security[C]. 2014. 47-50.

[6] CHRISTOS X, CHRISTOFOROS N. Advanced persistent threat in 3G networks: attacking the home network from roaming networks[J].Computers & Security, 2015, 40(2): 84-94.

[7] ZHAO W T，ZHANG P F，ZHANG F. Extended Petri net-based advanced persistent threat analysis model[J]. Lecture Notes in Electrical Engineering LNEE，2014, 277: 1297-1305.

[8] GIURA P, WANG W. Using large scale distributed computing to unveil advanced persistent threats[J]. Science, 2013, 1(3):93-105.

[9] 王元卓, 靳小龍, 程學(xué)旗. 網(wǎng)絡(luò)大數(shù)據(jù): 現(xiàn)狀與展望[J]. 計算機(jī)學(xué)報, 2013, 36(6): 1125-1138.WANG Y Z, JIN X L, CHENG X Q. Network big data: present and future[J]. Chinese Journal of Computers, 2013, 36(6): 1125-1138.

[10] NIST. Managing Information Security Risk: Organization, Mission,and Information System View[R]. US Department of Commerce, 2011.

[11] BHATT P, YANO E T, PER G. Towards a framework to detect multi-stage advanced persistent threats attacks[A]. Proceedings IEEE 8th International Symposium on Service Oriented System Engineering[C].2015. 390-395.

[12] 程學(xué)旗, 靳小龍, 王元卓, 等. 大數(shù)據(jù)系統(tǒng)和分析技術(shù)綜述[J]. 軟件學(xué)報，2014, 25(9):1889-1908.CHEN X Q, JIN X L, WANG Y Z,et al. Survey of big data system and analysis technology[J]. Journal of Software, 2014, 25(9):1889-1908.

[13] 高明, 金澈清, 王曉玲, 等.數(shù)據(jù)世系管理技術(shù)研究綜述[J]. 計算機(jī)學(xué)報, 2010, 33(3):373-389.GAO M, JIN C Q, WANG X L,et al. Survey of data lineage management technology[J]. Chinese Journal of Computers, 2010, 33(3):373-389.

[14] 馮登國，張敏，李昊. 大數(shù)據(jù)安全與隱私保護(hù)[J]. 計算機(jī)學(xué)報, 2014,37(1): 476-458.FENG D G, ZHANG M, LI H. Big data security and privacy preserving[J]. Chinese Journal of Computers, 2014, 37(1): 476-458.

[15] LIU S T, CHEN Y M, LIN S J. A novel search engine to uncover potential victims for APT investigations[J]. LNCS, 2013, 8147:405-416.

[16] LIU S T, CHEN Y M, LIN S J. N-victims: an approach to determine n-victims for APT investigations[J]. LNCS，2012, 7690: 226-240.

[17] GIURA P，WANG W. A context-based detection framework for advanced persistent threats[A]. Proceedings of the 2012 ASE International Conference on Cyber Security[C]. New York, 2012. 69-74.

[18] ROSS B. Advanced persistent threats: minimising the damage[J].Network Security, 2014, (4): 5-9.

[19] 王志, 蔡亞運(yùn), 劉露, 等. 基于覆蓋率分析的僵尸網(wǎng)絡(luò)控制命令發(fā)掘方法[J]. 通信學(xué)報, 2014, 35(1): 156-166.WANG Z, CAI Y Y, LIU L,et al. Using coverage analysis to extract Botnet command-and-control protocol[J]. Journal on Communications,2014, 35(1): 156-166.

[20] NAMAYANJA J M, JANEJA V P. Discovery of persistent threat structures through temporal and geo-spatial characterization in evolving network[A]. 2013 IEEE International Conference on Intelligence and Security Informatics: Big Data, Emergent Threats, and Decision-Making in Security Informatics[C]. 2013. 191-196.

[21] BODMER S, KILGER M, CARPENTER G,et al. Reverse Deception:Organized Cyber Threat Counter-Exploitation[M]. McGraw-Hill Educationand Post & Telecom Press,2014.

[22] 李鳳海, 李爽, 張佰龍, 等. 高等級安全網(wǎng)絡(luò)抗 APT 攻擊方案研究[J]. 信息網(wǎng)絡(luò)安全, 2014, (8):109-114.LI F H, LI S, ZHANG B L,et al. An anti-apt scheme research for high-security network[J]. Information Network Security, 2014, (8):109-114.

[23] 杜躍進(jìn), 翟立東, 李躍, 等. 一種應(yīng)對 APT攻擊的安全架構(gòu): 異常發(fā)現(xiàn)[J]. 計算機(jī)研究與發(fā)展, 2014, 51(7): 1633-1645.DU Y J, ZHAI L D, LI Y,et al. Security architecture to deal with apt attacks: abnormal discovering[J]. Journal of Computer Research and Development, 2014, 51(7): 1633-1645.

[24] 許婷. 一種有效防范 APT攻擊的網(wǎng)絡(luò)安全架構(gòu)[J]. 信息安全與通信保密, 2013, (6):65-67.XU T. A hierarchical-centralized network security architecture effectively preventing APT attacks[J]. Security of Information and Communication, 2013, (6): 65-67.

[25] 高赟, 周薇, 韓翼中, 等. 一種基于文法壓縮的日志異常檢測算法[J]. 計算機(jī)學(xué)報, 2014, 37(1): 73-86.GAO Y, ZHOU W, HAN Y Z,et al. An online log anomaly detection method based on grammar compression[J]. Chinese Journal of Computers, 2014, 37(1): 73-86.

[26] RENUKA D S, YOGESH P. A hybrid approach to counter application layer DDoS attacks[J]. International Journal on Cryptography and Information Security, 2012, 2(2): 45-52.

[27] BOLZONI D. ATLANTIDES: an architecture for alert verification in network intrusion detection system[A]. The 21st Large Installation System Administration Conference[C]. Berkeley, 2007. 141-152.

[28] 張玲, 白中英, 羅守山, 等. 基于粗糙集和人工免疫的集成入侵檢測模型[J]. 通信學(xué)報, 2013, 34(9): 167-176.ZHANG L, BAI Z Y, LOU S S,et al. Integrated intrusion detection model based on rough set and artificial immune[J]. Journal on Communications, 2013, 34(9): 167-176.

[29] HARVEY N J A, NELSON J, ONAK K. Sketching and streaming entropy via approximation theory[A]. The 49th Annual IEEE Symptom on Foundation of Computer Science[C]. Piscataway, New York 2008. 489-498.

[30] NYCHIS G, SEKAR V, ANDERSEN D G,et al. An empirical evaluation of entropy-based traffic anomaly detection[A]. The 8th ACM SIGCOMM Conference on Int Measurement[C]. New York, 2008.151-156.

[31] 穆祥昆, 王勁松, 薛羽豐, 等. 基于活躍熵的網(wǎng)絡(luò)異常流量檢測方法[J]. 通信學(xué)報, 2013, 34(Z2): 51-57.MU X K, WANG J S, XUE Y F,et al. Abnormal network traffic detection approach based on alive entropy[J]. Journal on Communications,2013, 34(Z2): 51-57.

[32] 李錦玲, 汪斌強(qiáng). 基于最大頻繁序列模式挖掘的App-DDoS攻擊的異常檢測[J]. 電子與信息學(xué)報, 2013, 35(7): 1739-1745.LI J L, WANG B Q. Detecting app-DDoS attacks based on maximal frequent sequential pattern mining[J]. Journal of Electronics & Information Technology, 2013, 35(7): 1739-1745.

[33] LEUNG K, LECKIE C. Unsupervised anomaly detection in network intrusion detection using clusters[A]. Proc of Australasian Computer Science Conference[C]. Newcastle, NSW, Australia, 2005. 333-342.

[34] RUBINSTEIN B, NELSON B, HUANG L,et al. Stealthy poisoning attacks on PCA-based anomaly detectors[A]. Proceeding of the ACM SIGMETRICS[C]. New York, USA, 2009.73-74.

[35] 唐成華, 劉鵬程, 湯申生, 等. 基于特征選擇的模糊聚類異常入侵行為檢測[J]. 計算機(jī)研究與發(fā)展, 2015, 52(3):718-728.TANG C H, LIU P C, TANG S S,et al. Anomaly intrusion behavior detection based on fuzzy clustering and features selection[J]. Journal of Computer Research and Development, 2015, 52(3):718-728.

[36] CHANDRASEKAR A, VASUDEVAN V, YOGESH P. Evolutionary approach for network anomaly detection using effective classification[J]. IJCSNS Int Journal of Computer Science and Network Security, 2009, 9(1): 296-302.

[37] 鄭黎明, 鄒鵬, 賈焰, 等. 網(wǎng)絡(luò)流量異常檢測中分類器的提取與訓(xùn)練方法研究[J]. 計算機(jī)學(xué)報, 2012. 35(4): 719-729.ZHENG L M, ZOU P, JIA Y,et al. How to extract and train the classifier in traffic anomaly detection system[J]. Chinese Journal of Computers, 2012, 35(4): 719-729.

[38] SHINGO M, CHEN C, LU N N. Intrusion-detection model based on fuzzy class-association-rule mining using genetic programming network[J]. IEEE Transaction on Systems, Man, and Cybernetics, 2011,41(1): 130-139.

[39] 王秀利, 王永吉. 基于命令緊密度的用戶偽裝入侵檢測方法[J]. 電子學(xué)報, 2014, 42(6): 1225-1229.WANG X L, WANG Y J. Masquerader detection based on command closeness model[J]. Acta Electronica Sinica, 2014, 42(6): 1225-1229.

[40] 楊雅輝, 黃海珍, 沈晴霓, 等. 基于增量式 GHSOM 神經(jīng)網(wǎng)絡(luò)模型的入侵檢測研究[J]. 計算機(jī)學(xué)報, 2014, 37(5):1216-1224.YANG Y H, HUANG H Z, SHEN Q N,et al. Research on intrusion detection based on incremental GHSOM[J]. Chinese Journal of Computers, 2014, 37(5): 1216-1224.

[41] 武小年, 彭小金, 楊宇洋, 等. 入侵檢測中基于SVM的兩級特征選擇方法[J]. 通信學(xué)報, 2015, 36(4):2015127.WU X N, PENG X J, YANG Y Y,et al. Two-level feature selection method based on SVM for intrusion detection[J]. Journal on Communications, 2015, 36(4): 2015127.

[42] YASAMI Y, MOZAFFARI S P. A novel unsupervised classification approach for network anomaly detection byk-means clustering and ID3 decision tree learning methods[J]. Journal of Supercomputing,2010, 53(1): 231-245.

[43] 陸悠, 李偉, 羅軍舟, 等. 一種基于選擇性協(xié)同學(xué)習(xí)的網(wǎng)絡(luò)用戶異常行為檢測方法[J]. 計算機(jī)學(xué)報, 2014, 37(1): 28-40.LU Y, LI W, LUO J Z,et al. A network users abnormal behavior detection approach based on selective collaborative learning[J]. Chinese Journal of Computers, 2014, 37(1): 28-40.

[44] DASH S K, REDDY K S. Adaptive naive Bayes method for masquerade detection[J]. Security and Communications Networks, 2011, 4(4):410-417.

[45] 錢葉魁, 陳鳴, 葉立新. 基于多尺度主成分分析的全網(wǎng)絡(luò)異常檢測方法[J]. 軟件學(xué)報, 2012, 23(2): 361-377.QIAN Y K, CHEN M, YE L X,et al. Network-wide anomaly detection method based on multiscale principal component analysis[J]. Journal of Software, 2012, 23(2):361-377.

[46] 劉大有, 陳慧靈, 齊紅, 等. 時空數(shù)據(jù)挖掘研究進(jìn)展[J]. 計算機(jī)研究與發(fā)展, 2013, 50(2): 225-239.LIU D Y, CHEN H L, QI H,et al. Advance in spatiotemporal data mining[J]. Journal of Computer Research and Development, 2013,50(2): 225-239.

[47] RINGBERG H, SOULE A, REXFORD J,et al. Sensitivity of PCA for traffic anomaly detection[A]. The ACM SIGMETRICS[C]. New York,2007. 78-89.

[48] BRAUCKHOFF D, SALAMATIAN K, MAY M. Applying PCA for traffic anomaly detection: problems and solutions[A]. The INFOCOM[C]. New York, 2009. 46-53.

[49] RUBINSTEIN B I, NELSON B, HUANG L,et al. Stealthy poisoning attacks on PCA-based anomaly detectors[A]. The ACM SIGMETRICS[C]. New York, 2009.

[50] 鄭黎明, 鄒鵬, 韓偉紅, 等. 基于多維熵值分類的骨干網(wǎng)流量異常檢測研究[J]. 計算機(jī)研究與發(fā)展, 2012, 49(9): 1972-1981.ZHENG L M, ZOU P, HAN W H,et al. Traffic anomaly detecting using multi-dimensional entropy classification on backbone network[J].Journal of Computer Research and Development, 2012, 49(9):1972-1981.

[51] NOBLE C C, COOK D J. Graph-based anomaly detection[A]. Proc of ACM International Conference on Knowledge Discovery and Data Mining (SIGKDD)[C]. San Diego, CA, USA, 2003.631-636.

[52] EBERLE W, GRAVES J, HOLDER L. Insider threat detection using a graph-based approach[J]. Journal of Applied Security Research, 2010,6(1): 32-81.

[53] EBERLE W, HOLDER L. Anomaly detection in data represented as graphs[J]. Intelligent Data Analysis, 2007, 11(6): 663-689.

[54] ILIOFOTOU M, PAPPU P, FALOUTSOS M,et al. Network monitoring using traffic dispersion graphs(TDGs)[A]. Proc of ACM SIGCOMM Internet Measurement Workshop (IMC)[C]. Kyoto, Japan,2007. 315-320.

[55] LE D Q, JEONG T, ROMAN H E,et al. Traffic dispersion graph based anomaly detection[A]. Proc of International Symposium on Information and Communication Technology[C]. Hanoi, Vietnam, 2011.36-41.

[56] JIN Y, SHARAFUDDIN E, ZHANG Z. Unveiling core network-wide communication patterns through application traffic activity graph decomposition[A]. Proc of ACM SIGMETRICS[C]. Seattle, WA, USA,2009. 49-60.

[57] 李濤. 數(shù)據(jù)挖掘的應(yīng)用與實(shí)踐[M]. 廈門: 廈門大學(xué)出版社, 2013.LI T. Application and Practice of Data Mining[M]. Xiamen: Press of Xiamen University, 2013.

[58] 崔競松, 郭遲, 陳龍, 等. 創(chuàng)建軟件定義網(wǎng)絡(luò)中的進(jìn)程級縱深防御體系結(jié)構(gòu)[J]. 軟件學(xué)報, 2014, 25(10): 2251-2265.CUI J S, GUO C, CHEN L,et al. Establishing process-level defense-in-depth framework for software defined networks[J]. Journal of Software, 2014, 25(10): 2251-2265.

[59] 楊歡, 張玉清, 胡予濮, 等. 基于權(quán)限頻繁模式挖掘算法的 Android 惡意應(yīng)用檢測方法[J]. 通信學(xué)報, 2013, 34(Z1): 106-115.YANG H, ZHANG Y Q, HU Y P,et al. Android malware detection method based on permission sequential pattern mining algorithm[J].Journal on Communications, 2013. 34(Z1): 106-115.

[60] ZHOU Y J, WANG Z, ZHOU W,et al. 2012 Hey, you, get off of my market: detecting malicious apps in official and alternative Android markets[A]. The 19th Annual Network & Distributed System Security Symposium[C]. 2012. 1-13.

[61] CONTI G, BRATUS S, SANGSTER B,et al. Automated mapping of large binary objects using primitive fragment type classification[J].Digital Forensics Research Conference (DFRWS), 2010, 7:3-12.

[62] SHABTAI A, KANONOY U, ELOVICI Y,et al. Andromaly: a behavioral malware detection framework for Android devices[J]. Journal of Intelligent Information Systems, 2012, 38(1): 161-190.

[63] 李挺, 董航, 袁春陽, 等. 基于 Dalvik指令的 Android惡意代碼特征描述及驗(yàn)證[J]. 計算機(jī)研究與發(fā)展, 2014, 51(7): 1458-1466.LI T, DONG H, YUAN C Y,et al. Description of android malware feature based on dalvik instructions[J]. Journal of Computer Research and Development, 2014, 51(7): 1458-1466.

[64] ZHOU Y J, JIANG X X. Dissecting Android malware: characterization and evolution[A]. Proceedings of the 33rd IEEE Symposium on Security and Privacy[C]. Oakland, USA, 2012. 95-109.

[65] KANCHERLA K, MUKKAMALA S. Image visualization based malware detection[A]. Computational Intelligence in Cyber Security(CICS)[C]. Singapore, 2013.40-44.

[66] 韓曉光, 曲武, 姚宣霞, 等. 基于紋理指紋的惡意代碼變種檢測方法研究[J]. 通信學(xué)報, 2014, 35(8): 125-136.HAN X G, QU W, YAO X X,et al. Research on malicious code variants detection based on texture fingerprint[J]. Journal on Communications, 2014, 35(8): 125-136.

[67] GOODALL J H, RANDWAN H, HALSETH L. Visual analysis of code security[A]. International Workshop on Visualization for Cyber Security (VizSec)[C]. Ottawa, Canada, 2010.46-51.

[68] 蔣鴻玲, 邵秀麗, 李耀芳. 基于MapReduce的僵尸網(wǎng)絡(luò)在線檢測算法[J]. 電子與信息學(xué)報, 2013, 35(7): 1732-1738.JIANG H L, SHAO X L, LI Y F. Online botnet detection algorithm using mapReduce[J]. Journal of Electronics & Information Technology,2013, 35(7): 1732-1738.

[69] 劉豫, 聶眉寧, 蘇璞睿, 等. 基于可回溯動態(tài)污點(diǎn)分析的攻擊特征生成方法[J]. 通信學(xué)報, 2012, 33(5): 21-28.LIU Y, NIE M N, SU P R,et al. Attack signature generation by traceable dynamic taint analysis[J]. Journal on Communications, 2012. 33(5):21-28.

[70] WU D J, MAO C H, WEI T E,et al. DroidMat: Android malware detection through manifest and API calls tracing[A]. Proceedings of the Seventh Asia Joint Conference on Information Security Asia JCIS 2012[C]. Tokyo, Japan, 2012. 62-69.

[71] 朱克楠, 尹寶林, 冒亞明, 等. 基于有效窗口和樸素貝葉斯的惡意代碼分類[J]. 計算機(jī)研究與發(fā)展, 2014, 51(2): 373-381.ZHU K N, YIN B L, MAO Y M,et al. Malware classification approach based on valid window and naive Bayes[J]. Journal on Computer Research and Development, 2014, 51(2): 373-381.

[72] NATARAJ L, KARTHIKEYAN S, JACOB G,et al. Malware images:visualization and automatic classification[A]. Viz-Sec[C]. Pittsburgh,USA, 2011.4.

[73] NATARAJ L, YEGNESWARAN V, PORRAS P,et al. A comparative assessment of malware classification using binary texture analysis and dynamic analysis[A]. The 4th ACM Workshop on Security and Artificial Intelligence[C]. Chicago, USA, 2011.21-30.

[74] 徐小琳, 云曉春, 周勇林, 等. 基于特征聚類的海量惡意代碼自動分析模型[J]. 通信學(xué)報, 2013, 34(8): 146-453.XU X L, YUN X C, ZHOU Y L,et al. Online analytical model of massive malware based on feature clustering[J]. Journal on Communications, 2013, 34(8): 146-453.

[75] LI P, LIU L, GAO D,et al. On challenges in evaluating malware clustering[A]. Recent Advances in Intrusion Detection[C]. Ottawa,Canada, 2010. 238-255.

[76] 楊歡, 張玉清, 胡予濮, 等. 基于多類特征的 Android應(yīng)用惡意行為檢測系統(tǒng)[J]. 計算機(jī)學(xué)報, 2014, 37(1): 15-27.YANG H, ZHANG Y Q, HU Y P,et al. A malware behavior detection system of android application based on multi-class features[J]. Chinese Journal of Computers, 2014, 37(1): 15-27.

[77] MISLOVE A, VISWANATH B, GUMMADI K P. You are who you know: inferring user profiles in online social networks[A]. ACM International Conference on Web Search and Data Mining[C]. New York,USA, 2010.4-6.

[78] 丁宇新, 肖驍, 吳美晶, 等. 基于半監(jiān)督學(xué)習(xí)的社交網(wǎng)絡(luò)用戶屬性預(yù)測[J]. 通信學(xué)報, 2014, 35(8): 15-22.DING Y X, XIAO J, WU M J,et al. Predicting users’profiles in social network based on semi-supervised learning[J]. Journal on Communications, 2014, 35(8): 15-22.

[79] AMGAD M, TAREK H, AHMED H,et al. Using semantic features to detect spamming in social bookmarking systems[A]. ECML PKDD Discovery Challenge Workshop[C]. 2008.55-62.

[80] ZHELEVA E, GETOOR L. To join or not to join: the illusion of privacy in social networks with mixed public and private user profiles[A].The 19th International Conference on World Wide Web[C]. Madrid,Spain, 2009.531-540.

[81] 劉瑤. 社會網(wǎng)絡(luò)特征分析與社團(tuán)結(jié)構(gòu)挖掘[D]. 成都: 電子科技大學(xué), 2013.LIU Y. A Study of Feature Analysis and Community Mining in Social Networks[D]. Chengdu: University of Electronic Science and Technology of China, 2013.

[82] LINDAMOOD J, HEATHERLY R, KANTARCIOGLU M,et al.Inferring private information using social network data[A]. International Conference on World Wide Web[C]. Madrid, Spain,2009.123-130.

[83] 李躍, 翟立東, 王宏霞, 等. 一種基于社交網(wǎng)絡(luò)的移動僵尸網(wǎng)絡(luò)研究[J]. 計算機(jī)研究與發(fā)展, 2012, 49(Suppl): 1-8.LI Y, ZHAI L D, WANG H X,et al. Mobile botnet based on SNS[J].Journal of Computer Research and Development, 2012, 49(Suppl):1-8.

[84] YU H, SHI C W, KAMINSKY M,et al. DSybil: optimal sybil-resistance for recommendation systems[A]. IEEE Symposium on Security and Privacy[C]. 2009. 283-298.

[85] 李陽, 王曉巖, 王昆, 等. 基于社交網(wǎng)絡(luò)的安全關(guān)系研究[J]. 計算機(jī)研究與發(fā)展, 2012, 49(Suppl): 124-130.LI Y, WANG X Y, WANG K,et al. Security relationship based on social network[J]. Journal of Computer Research and Development,2012, 49(Suppl): 124-130.

[86] 王永剛. 以數(shù)據(jù)為中心的在線社會網(wǎng)絡(luò)若干安全問題研究[D]. 北京: 北京大學(xué), 2013.WANG Y G. Data-centric Research on Several Security Problems in Online Social Networks[D]. Beijing: Peking University, 2013.

[87] KIM C, HWANG K B . Naive Bayes classifier learning with feature selection for spam detection in social bookmarking[A]. ECML PKDD Discovery Challenge Workshop[C]. 2008. 32-37.

[88] 葛琳, 季新生, 江濤, 等. 基于關(guān)聯(lián)規(guī)則的網(wǎng)絡(luò)信息內(nèi)容安全事件發(fā)現(xiàn)及其 Map-Reduce實(shí)現(xiàn)[J]. 電子與信息學(xué)報, 2014, 36(8):1831-1837.GE L, JI X S, JIANG T,et al. Discovery of network information content security incidents based on association rules and its implementation in Map-Reduce[J]. Journal of Electronics & Information Technology, 2014, 36(8):1831-1837.

[89] TALEL A, IMEN B D. A reachability-based access control model for online social networks[A]. Databases and Social Networks[C]. New York, USA, 2011, 31-36.

[90] 王風(fēng)宇, 曹首峰, 肖軍, 等. 一種基于Web群體外聯(lián)行為的應(yīng)用層DDoS檢測方法[J]. 軟件學(xué)報, 2013, 24(6): 1263-1273.WANG F Y, CAO S F, XIAO J,et al. Method of detecting application-layer DDoS based on the out-linking behavior of Web community[J]. Journal of Software, 2013, 24(6): 1263-1273.

[91] XU W, ZHOU X. Inferring privacy information via social relations[A].IEEE 24th International Conference on Data Engineering workshop[C].Cancun, Mexico, 2008.525-530.

[92] WANG Y G , ZHAI E N , CAO C,et al. DSpam: defending against spam in tagging systems via users’ reliability[A]. ICPADS[C]. 2010.139-146.

[93] 韓心慧, 肖祥全, 張建宇, 等. 基于社交關(guān)系的DHT網(wǎng)絡(luò) Sybil攻擊防御[J]. 清華大學(xué)學(xué)報（自然科學(xué)版）, 2014, 54(1): 1-7.HAN X H, XIAO X Q, ZHANG J Y,et al. Method of detecting application-layer DDoS based on the out-linking behavior of Web community[J]. Journal of Tsinghua University(Sci & Tech), 2014, 54(1): 1-7.

[94] 丁兆云, 賈焰, 周斌, 等. 微博數(shù)據(jù)挖掘研究綜述[J]. 計算機(jī)研究與發(fā)展, 2014, 51(4): 691-706.DING S Y, JIA Y, ZHOU B,et al. Survey of data mining of microblogs[J]. Journal of Computer Research and Development, 2014, 51(4):691-706.

[95] MO M, WANG D. Exploit of online social networks with semi-supervised learning[A]. IEEE World Congress on Computational Intelligence[C]. Barcelona, Spain, 2010. 18-23.

[96] 李全剛, 時金橋, 秦志光, 等. 面向郵件網(wǎng)絡(luò)事件檢測的用戶行為模式挖掘[J]. 計算機(jī)學(xué)報, 2014, 37(5): 1135-1146.LI Q G, SHI J Q, QIN Z G,et al. Mining user behavior patterns for event detection in email networks[J]. Chinese Journal of Computers,2014, 37(5): 1135-1146.

[97] DHANAKOTI V, NEDUNCHEZHIAN R,et al. Correlated alerts and non-intrusive alerts [J]. Journal of Control Engineering and Applied Informatics. 2012, 14 (4): 3-9.

[98] ELSHOUSH H T, OSMAN I M. Alert correlation in collaborative intelligent intrusion detection systems a survey [J]. Applied Soft Computing, 2011, 11(7): 4349-4365.

[99] 張怡, 趙凱. 警報關(guān)聯(lián)圖: 一種網(wǎng)絡(luò)脆弱性量化評估的新方法[J].國防科技大學(xué)學(xué)報, 2012, 34(3): 109-112.ZHANG Y, ZHAO K. Alert correlation graph: a new method to evaluate the vulnerability of networks[J]. Journal of Defense Sci & Tech University, 2012, 34(3): 109-112.

[100] 田志宏, 王佰玲, 張偉哲, 等. 基于上下文驗(yàn)證的網(wǎng)絡(luò)入侵檢測模型[J]. 計算機(jī)研究與發(fā)展, 2013, 50(3): 498-508.TIAN Z H, WANG B L, ZHANG W Z,et al. Network intrusion detection model based on context verification[J]. Journal of Computer Research and Development, 2013, 50(3): 498-508.

[101] ROSCHKE S, CHENG F, MEINEL C. A flexible and efficient alert correlation platform for distributed IDS [A]. The 4th International Conference on Network and System Security (NSS'10)[C]. Melbourne, Australia, 2010.24-31.

[102] 周穎杰. 基于行為分析的通信網(wǎng)絡(luò)流量異常檢測與關(guān)聯(lián)分析[D].成都: 電子科技大學(xué).ZHOU Y J. Behavior Analysis Based Traffic Anomaly Detection and Correlation Analysis for Communication Networks[D]. Chengdu:University of Electronic Science and Technology of China.

[103] VALDES A, SKINNER K. Probabilistic alert correlation[A]. Proc of RAID 2001[C]. Heidelberg, 2001. 54-68.

[104] 穆成坡, 黃厚寬, 田盛豐, 等. 基于模糊綜合評判的入侵檢測報警信息處理[J]. 計算機(jī)研究與發(fā)展, 2005, 42(10): 1679-1685.MU C P, HUANG H K, TIAN S F,et al. Intrusion-detection alerts processing based on fuzzy comprehensive evaluation[J]. Journal of Computer Research and Development, 2005, 42(10): 1679-1685.

[105] 郭帆, 余敏, 葉繼華. 一種基于分類和相似度的報警聚合方法[J].計算機(jī)應(yīng)用, 2007, 27(10): 2446-2449.GUO F, YU M, YE J H. Alert aggregation algorithm based on category and similarity[J]. Computer Applications, 2007, 27(10):2446-2449.

[106] RAJAB M A, ZARFOSS J, MONROSE F,et al. My botnet is bigger than yours (maybe, better than yours): why size estimates remain challenging[A]. The 1st Conference on First Workshop on Hot Topics in Understanding Botnets[C]. Cambridge, MA, USA, 2007. 5.

[107] ZOU C, CUNNINGHAM R. Honeypot-aware advanced botnet construction and maintenance[A]. The 2006 International Conference on Dependable Systems and Networks (DSN.06)[C]. Philadelphia, PA,2006. 199-208.

[108] 李喬, 何慧, 方濱興, 等. 基于信任的網(wǎng)絡(luò)群體異常行為發(fā)現(xiàn)[J].計算機(jī)學(xué)報, 2014. 37(1): 1-14.LI Q, HE H, FANG B X,et al. Awareness of the network group anomalous behaviors based on network trust[J]. Chinese Journal of Computers, 2014. 37(1): 1-14.

[109] 何毓錕, 李強(qiáng), 嵇躍德, 等. 一種關(guān)聯(lián)網(wǎng)絡(luò)和主機(jī)行為的延遲僵尸檢測方法[J]. 計算機(jī)學(xué)報, 2014. 37(1): 50-61.HE Y K, LI Q, JI Y D,et al. Detecting response-delayed bot by correlating host behavior and network activity[J]. Chinese Journal of Computers, 2014, 37(1): 50-61.

[110] OLIVA I P, DIMITROPOULOS X, MOLINA M,et al. Automating root-cause analysis of network anomalies using frequent itemset mining[A]. Proc of ACM SIGCOMM[C]. New Delhi, India, 2010.467-468.

[111] DUFFIELD N, HAFFNER P, KRISHNAMURTHY B,et al.Rule-based anomaly detection on IP flows[A]. Proc of IEEE INFOCOM[C]. Rio de Janeiro, Brazil, 2009. 424-432.

[112] GIACOBE N A. Application of the JDL data fusion process model for cyber security[A]. In SPIE Defense, Security, and Sensing[C]. 2010.

[113] 臧天寧, 云曉春, 張永錚, 等. 網(wǎng)絡(luò)設(shè)備協(xié)同聯(lián)動模型[J]. 計算機(jī)學(xué)報, 2011, 34(2): 216-228.ZANG T N, YUN X C, ZHANG Y Z,et al. A model of network device coordinative run[J]. Chinese Journal of Computers, 2011, 34(2):216-228.

[114] 劉烴, 趙宇辰, 劉楊, 等. 基于報警數(shù)據(jù)融合的智能電網(wǎng)攻擊檢測方法[J]. 山東大學(xué)學(xué)報（理學(xué)版）, 2014, 49(9): 35-40.LIU T, ZHAO Y C, LIU Y,et al. An alert fusion-based smart grid attack detection method[J]. Journal of Shandong University, 2014,49(9): 35-40.

[115] NING P, CUI Y, REEVES D S. Analyzing intensive intrusion alerts via correlation[A]. Proc of International Symposium on Recent Advances in Intrusion Detection (RAID)[C]. Zurich, Switzerland, 2002.74-94.

[116] NING P, CUI Y, REEVES D,et al. Tools and techniques for analyzing intrusion alerts[J]. ACM Transactions on Information and System Security, 2004, 7(2): 273-318.

[117] 呂慧穎, 彭武, 王瑞梅, 等. 基于時空關(guān)聯(lián)分析的網(wǎng)絡(luò)實(shí)時威脅識別與評估[J]. 計算機(jī)研究與發(fā)展, 2014, 51(5): 1039-1049.LU H Y, PENG W, WANG R M,et al. A real-time network threat recognition and assessment method based on association analysis of time and space[J]. Journal of Computer Research and Development,2014, 51(5): 1039-1049.

[118] 陳小軍, 時金橋, 徐菲, 等. 面向內(nèi)部威脅的最優(yōu)安全策略算法研究[J]. 計算機(jī)研究與發(fā)展, 2014, 51(7): 1565-1577.CHEN X J, SHI J Q, XU F,et al. Algorithm of optimal security hardening measures against insider threat[J]. Journal of Computer Research and Development, 2014, 51(7): 1565-1577.

[119] CHEN X, LI Y. Network security evaluation based on support vector machine[A]. The 2nd International Conference on Green Communication sand Networks[C]. Chongqing, China, 2015. 43-49.

[120] DAGON D, ZOU C, LEE W. Modeling botnet propagation using time zones[A]. The 13th Annual Network and Distributed System Security Symposium (NDSS 2006)[C]. San Diego, CA, 2006. 235-249.

[121] 陳小軍, 方濱興, 譚慶豐, 等. 基于概率攻擊圖的內(nèi)部攻擊意圖推斷算法研究[J]. 計算機(jī)學(xué)報, 2014, 37(1): 62-72.CHEN X J, FANG B X, TAN Q F,et al. Inferring attack intent of malicious insider based on probabilistic attack graph model[J]. Chinese Journal of Computers, 2014, 37(1): 62-72.

[122] 孟小峰, 張嘯劍. 大數(shù)據(jù)隱私管理[J]. 計算機(jī)研究與發(fā)展, 2015,52(2): 265-281.MENG X F, ZHANG X J. Big data privacy management[J]. Journal of Computer Research and Development, 2015, 52(2):265-281.

[123] 張嘯劍, 孟小峰. 面向數(shù)據(jù)發(fā)布和分析的差分隱私保護(hù)[J]. 計算機(jī)學(xué)報, 2014, 37(4):927-949.ZHANG X J, MENG X F. Differential privacy in data publication and analysis[J]. Chinese Journal of Computers, 2014, 37(4):927-949.

[124] DWORK C. A firm foundation for private data analysis[J]. Communications of the ACM, 2011, 54(1): 86-95.