一種基于同源行為分析的APT異常發(fā)現(xiàn)策略

俞藝涵，付鈺，吳曉平，李洪成

(海軍工程大學(xué)信息安全系，湖北 武漢 430033)

一種基于同源行為分析的APT異常發(fā)現(xiàn)策略

俞藝涵，付鈺，吳曉平，李洪成

(海軍工程大學(xué)信息安全系，湖北 武漢 430033)

APT(advanced persistent threat)攻擊的日益頻繁對(duì)APT攻擊行為的檢測(cè)提出了更高的要求，對(duì)同源行為進(jìn)行分析是盡早發(fā)現(xiàn)APT攻擊行為的一種有效方法。針對(duì)數(shù)據(jù)量過(guò)大造成數(shù)據(jù)對(duì)比認(rèn)證效率低下的難題，提出了借助數(shù)據(jù)標(biāo)簽技術(shù)，建立歷史同源行為數(shù)據(jù)庫(kù)，并將數(shù)據(jù)庫(kù)存儲(chǔ)到云端;依托Hadoop平臺(tái)和MapReduce聚合計(jì)算能力，基于偽隨機(jī)置換技術(shù)完成網(wǎng)絡(luò)全流量并行檢測(cè)，通過(guò)與數(shù)據(jù)庫(kù)中的數(shù)據(jù)標(biāo)簽進(jìn)行對(duì)比驗(yàn)證，來(lái)判斷是否有APT攻擊行為。測(cè)試結(jié)果表明，該方法可盡早從網(wǎng)絡(luò)中發(fā)現(xiàn)APT異常行為，提高全數(shù)據(jù)流檢測(cè)的效率。

APT防御;同源策略;實(shí)時(shí)檢測(cè);數(shù)據(jù)標(biāo)簽;偽隨機(jī)置換

1 引言

近年來(lái)，高級(jí)持續(xù)性威脅 (advanced persistent threat，APT)越來(lái)越引起人們的廣泛關(guān)注，APT具有應(yīng)用技術(shù)手段高超、潛伏時(shí)間長(zhǎng)、目的明確等特點(diǎn)，其引發(fā)的安全事件往往是對(duì)關(guān)鍵要害部門(mén)造成極大安全威脅的社會(huì)性事件［1］。由于APT攻擊者在進(jìn)行攻擊前往往進(jìn)行長(zhǎng)時(shí)間的準(zhǔn)備，且進(jìn)行攻擊時(shí)的時(shí)間跨度可長(zhǎng)達(dá)數(shù)月甚至數(shù)年，這使得如何準(zhǔn)確預(yù)測(cè) APT 的攻擊時(shí)間成為難點(diǎn)［2，3］。

目前，已有大量的學(xué)者對(duì)APT攻擊的原理及特點(diǎn)進(jìn)行了相關(guān)研究，也有學(xué)者提出了應(yīng)對(duì)APT攻擊的安全架構(gòu)和防御策略。杜躍進(jìn)等人［4］提出了一種高低位協(xié)同監(jiān)測(cè)的方法，剖析了APT的外延和內(nèi)涵，將其抽象為數(shù)學(xué)模型并建立了威脅模型，從APT攻擊的源頭、途徑和終端3個(gè)層面監(jiān)測(cè)和發(fā)現(xiàn)APT異常行為;李鳳海等人［5］提出了站在全局角度，利用大數(shù)據(jù)全方位地對(duì)APT攻擊進(jìn)行統(tǒng)籌預(yù)測(cè)與防御的方案;Cole E［6］提出了應(yīng)對(duì) APT幾個(gè)關(guān)鍵性階段針對(duì)性防御的策略。但是，目前對(duì)于如何盡可能早地發(fā)現(xiàn)APT攻擊行為還沒(méi)有具體可實(shí)施的方案。

APT攻擊的一個(gè)顯著特點(diǎn)是其在一個(gè)長(zhǎng)時(shí)間跨度內(nèi)進(jìn)行持續(xù)性進(jìn)攻，可能是幾個(gè)月甚至幾年。在這樣一個(gè)長(zhǎng)時(shí)間跨度的攻擊中，如何能盡可能早地發(fā)現(xiàn)攻擊者的行為是APT攻擊的防御方所面臨的難題。而在攻擊實(shí)施的最初階段，攻擊者往往尋找被攻擊方的一個(gè)薄弱點(diǎn)進(jìn)行攻擊(單點(diǎn)突破階段)。在此過(guò)程中，攻擊者會(huì)利用技術(shù)手段或社會(huì)工程學(xué)手段先控制被攻擊網(wǎng)絡(luò)中的一臺(tái)主機(jī)、一個(gè)路由器或者一個(gè)用戶權(quán)限作為跳板來(lái)為下一步攻擊行為做好準(zhǔn)備。在這一時(shí)段內(nèi)，同一來(lái)源的主機(jī)、設(shè)備或者操作者的行為必將出現(xiàn)反常，如訪問(wèn)非常用 IP 地址、權(quán)限擴(kuò)大、頻繁登錄等［7，8］。本文旨在抓住 APT攻擊的這一特點(diǎn)，對(duì)同源行為進(jìn)行分析，從而盡早發(fā)現(xiàn)APT攻擊。

以APT攻擊的單點(diǎn)突破階段為突破點(diǎn)，創(chuàng)新性地提出一種基于同源行為分析的APT異常發(fā)現(xiàn)策略，該策略依托Hadoop架構(gòu)以及MapReduce技術(shù)，運(yùn)用基于散列函數(shù)的數(shù)據(jù)標(biāo)簽技術(shù)和偽隨機(jī)置換并行驗(yàn)證技術(shù)，對(duì)防御網(wǎng)絡(luò)中來(lái)自同一主機(jī)的網(wǎng)絡(luò)行為進(jìn)行學(xué)習(xí)并建立云數(shù)據(jù)庫(kù)，對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行實(shí)時(shí)監(jiān)控，通過(guò)與數(shù)據(jù)庫(kù)中的數(shù)據(jù)標(biāo)簽進(jìn)行對(duì)比來(lái)判斷是否有APT攻擊行為。本文的創(chuàng)新點(diǎn)在于:利用APT攻擊在單點(diǎn)突破階段的特征，提出同源行為的概念，并通過(guò)分析同源行為對(duì)APT攻擊進(jìn)行檢測(cè);提出基于散列函數(shù)的數(shù)據(jù)標(biāo)簽技術(shù)來(lái)對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行處理，從單個(gè)數(shù)據(jù)對(duì)比驗(yàn)證的角度降低數(shù)據(jù)對(duì)比驗(yàn)證時(shí)的開(kāi)銷;提出基于偽隨機(jī)變化的數(shù)據(jù)標(biāo)簽對(duì)并行驗(yàn)證技術(shù)，對(duì)實(shí)時(shí)監(jiān)測(cè)時(shí)的歷史行為數(shù)據(jù)庫(kù)進(jìn)行抽樣，從全流量檢測(cè)的角度進(jìn)一步降低數(shù)據(jù)對(duì)比驗(yàn)證時(shí)的開(kāi)銷。

2 基于散列函數(shù)的數(shù)據(jù)標(biāo)簽技術(shù)

如果簡(jiǎn)單地將一定時(shí)間段內(nèi)一臺(tái)主機(jī)的不同歷史同源行為數(shù)據(jù)進(jìn)行存儲(chǔ)，實(shí)時(shí)同源行為數(shù)據(jù)通過(guò)遍歷數(shù)據(jù)庫(kù)進(jìn)行對(duì)比驗(yàn)證，這樣不僅不能滿足數(shù)據(jù)庫(kù)的安全要求，當(dāng)歷史同源行為數(shù)據(jù)的大小超過(guò)某個(gè)值以后，進(jìn)行驗(yàn)證的開(kāi)銷和耗時(shí)將隨實(shí)時(shí)同源行為數(shù)據(jù)大小的增加而呈指數(shù)倍增長(zhǎng)。最直接的數(shù)據(jù)對(duì)比驗(yàn)證方法是將原始數(shù)據(jù)與現(xiàn)有數(shù)據(jù)進(jìn)行直接對(duì)比驗(yàn)證，雖然這種方法能夠完全準(zhǔn)確地比較出數(shù)據(jù)是否相同，但是在APT防御中將實(shí)時(shí)同源行為文件與海量歷史同源行為文件進(jìn)行對(duì)比驗(yàn)證，顯然開(kāi)銷太大且太過(guò)低效，為此本文提出一種基于散列函數(shù)的數(shù)據(jù)標(biāo)簽技術(shù)。

數(shù)據(jù)標(biāo)簽［9］是由歷史同源行為文件進(jìn)行相應(yīng)運(yùn)算后生成的、唯一代表歷史同源行為的一種信息。在驗(yàn)證時(shí)，無(wú)需訪問(wèn)原始?xì)v史同源行為文件，也不需要網(wǎng)絡(luò)傳輸文件，只需少量的數(shù)據(jù)傳輸即可進(jìn)行實(shí)時(shí)同源行為與歷史同源行為的對(duì)比驗(yàn)證。

數(shù)據(jù)標(biāo)簽生成模塊將歷史同源行為文件Mi以時(shí)間窗序列分割成N個(gè)子文件，對(duì)每個(gè)子文件進(jìn)行運(yùn)算生成數(shù)據(jù)標(biāo)簽，計(jì)算式為:

其中，Wi=v｜i，i為歷史同源行為子文件 mi中的索引 i，v為一個(gè)安全素?cái)?shù)，在文件處理的過(guò)程中隨機(jī)生成，將v和i連接之后相當(dāng)于對(duì)索引文件進(jìn)行了加密處理，可以保證Wi不同且不可預(yù)測(cè)，滿足了安全性要求。h(x)為散列函數(shù)，在這里使用MD5消息摘要算法，經(jīng)散列轉(zhuǎn)換后可得到一個(gè)128位的二進(jìn)制數(shù)并將其轉(zhuǎn)換成大數(shù)，參與隨后的運(yùn)算。g為一個(gè)安全素?cái)?shù)，并滿足g mod n=1，m為文件塊轉(zhuǎn)化的十進(jìn)制大數(shù)，d是RSA算法中生成的密鑰，n是RSA算法中生成的大素?cái)?shù)模底。

生成的數(shù)據(jù)標(biāo)簽傳輸給云數(shù)據(jù)庫(kù)進(jìn)行保存，原始?xì)v史同源行為文件則可以不作保留。在這里需要解釋的是，考慮到云數(shù)據(jù)庫(kù)也作為需防御保護(hù)的一部分，也可能遭受APT攻擊，為滿足其安全性，采用散列函數(shù)的數(shù)據(jù)標(biāo)簽技術(shù)而不是應(yīng)用簡(jiǎn)單的數(shù)據(jù)標(biāo)簽技術(shù)。

3 基于偽隨機(jī)置換的數(shù)據(jù)標(biāo)簽對(duì)并行驗(yàn)證

在實(shí)時(shí)檢測(cè)過(guò)程中，可根據(jù)實(shí)際防護(hù)需求將系統(tǒng)部署在網(wǎng)絡(luò)的主干鏈路中，針對(duì)全網(wǎng)進(jìn)行檢測(cè)，也可將系統(tǒng)部署在分支網(wǎng)絡(luò)中，特定地針對(duì)某一臺(tái)主機(jī)進(jìn)行檢測(cè)。在對(duì)網(wǎng)絡(luò)中的全數(shù)據(jù)流進(jìn)行檢測(cè)的過(guò)程中，可簡(jiǎn)單地通過(guò)抓取分組技術(shù)獲取分組頭五元組信息作為數(shù)據(jù)源，從而能使檢測(cè)數(shù)據(jù)的獲取相對(duì)簡(jiǎn)單，但可靠性有所降低;也可以把通過(guò)深層協(xié)議解析技術(shù)獲取的協(xié)議類型、使用權(quán)限等同源信息作為數(shù)據(jù)源，從而使檢測(cè)數(shù)據(jù)的可靠性更高，但網(wǎng)絡(luò)開(kāi)銷更大。為實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)全數(shù)據(jù)流的檢測(cè)，解決檢測(cè)中的開(kāi)銷問(wèn)題，本文從硬件架構(gòu)和檢測(cè)策略兩個(gè)方面進(jìn)行解決。

在硬件架構(gòu)方面，將數(shù)據(jù)庫(kù)存儲(chǔ)在云端，采用Hadoop架構(gòu)，并利用MapReduce技術(shù)對(duì)數(shù)據(jù)標(biāo)簽的對(duì)比驗(yàn)證請(qǐng)求進(jìn)行處理，合理分配分布式計(jì)算資源，使大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)環(huán)境下的實(shí)時(shí)檢測(cè)成為可能。實(shí)時(shí)檢測(cè)時(shí)獲得的數(shù)據(jù)將通過(guò)系統(tǒng)直接上傳至云端，數(shù)據(jù)的處理與對(duì)比驗(yàn)證在云端完成，占用的是檢測(cè)系統(tǒng)的計(jì)算資源而不是網(wǎng)絡(luò)傳輸資源。同時(shí)，利用Hadoop架構(gòu)可隨時(shí)增加DataNode的數(shù)量，系統(tǒng)具有很強(qiáng)的易擴(kuò)展性。

在節(jié)能降耗檢測(cè)工作中，能源計(jì)量技術(shù)發(fā)揮著重要的作用，該技術(shù)的有效應(yīng)用可以極大地提升節(jié)能降耗數(shù)據(jù)采集與監(jiān)測(cè)水平。本文主要對(duì)能源計(jì)量工作在節(jié)能降耗中的作用與地位進(jìn)行簡(jiǎn)要分析，并且從節(jié)能降耗途徑，能源計(jì)量的作用以及政策與公共節(jié)能3個(gè)角度進(jìn)行了具體的分析。

在策略方面，傳統(tǒng)的全流量檢測(cè)通常是對(duì)數(shù)據(jù)源進(jìn)行抽樣來(lái)降低開(kāi)銷，這樣做將使漏報(bào)率大大增加。提出了一種全流量數(shù)據(jù)源采集而抽樣數(shù)據(jù)庫(kù)對(duì)比的思想，在驗(yàn)證實(shí)時(shí)行為數(shù)據(jù)標(biāo)簽時(shí)，采用基于偽隨機(jī)置換的數(shù)據(jù)標(biāo)簽對(duì)驗(yàn)證方法，在降低漏報(bào)率的同時(shí)大大降低了對(duì)比認(rèn)證時(shí)的網(wǎng)絡(luò)開(kāi)銷。偽隨機(jī)置換(pseudo-random permutation，PRP)是序列密碼中產(chǎn)生偽隨機(jī)數(shù)的一種方法。由于一臺(tái)主機(jī)的歷史同源行為數(shù)據(jù)量很大，且有相同行為的數(shù)據(jù)同時(shí)存在云數(shù)據(jù)庫(kù)中，只是因?yàn)樾蛄兴饕沟脭?shù)據(jù)標(biāo)簽有所不同。同時(shí)，對(duì)于一臺(tái)主機(jī)而言，由網(wǎng)絡(luò)行為學(xué)分析可知［10］，在絕大多數(shù)時(shí)間段內(nèi)，其網(wǎng)絡(luò)行為是穩(wěn)定且“一致”的。由此，在進(jìn)行實(shí)時(shí)同源行為數(shù)據(jù)標(biāo)簽與歷史同源行為數(shù)據(jù)標(biāo)簽的對(duì)比時(shí)，并不需要遍歷100%的歷史同源行為樣本。

同源行為并行對(duì)比驗(yàn)證過(guò)程如圖1所示。

圖1 同源行為并行對(duì)比驗(yàn)證過(guò)程

具體步驟如下。

步驟1由相應(yīng)主機(jī)對(duì)應(yīng)的歷史同源行為文件分割成的子文件數(shù)N，確定需對(duì)比的子文件數(shù)據(jù)標(biāo)簽數(shù)C。C是一個(gè)小于N的數(shù)，其值越接近N則可認(rèn)為數(shù)據(jù)標(biāo)簽對(duì)比的完整性越高，相應(yīng)的計(jì)算開(kāi)銷也會(huì)越大。C的具體取值是由N、檢測(cè)對(duì)比需求和計(jì)算開(kāi)銷綜合決定的。

步驟 2在對(duì)比驗(yàn)證時(shí)，由隨機(jī)生成一個(gè)驗(yàn)證密鑰K，最后生成ij，其中ij與mj中的i有確定的對(duì)應(yīng)關(guān)系，且1≤j≤C。由此，隨機(jī)選擇出歷史同源行為子文件數(shù)據(jù)標(biāo)簽中的一部分與實(shí)時(shí)同源行為進(jìn)行對(duì)比驗(yàn)證，如圖2所示。

步驟3對(duì)一定時(shí)間段內(nèi)的不同時(shí)間窗中的實(shí)時(shí)數(shù)據(jù)并行進(jìn)行驗(yàn)證，即無(wú)需依循時(shí)序限制，生成隨機(jī)驗(yàn)證樣本后將i值賦予各時(shí)間窗的實(shí)時(shí)數(shù)據(jù)生成驗(yàn)證標(biāo)簽，采用并行計(jì)算，同時(shí)進(jìn)行多個(gè)標(biāo)簽對(duì)的對(duì)比。

步驟4一旦發(fā)現(xiàn)有與歷史數(shù)據(jù)標(biāo)簽吻合的實(shí)時(shí)數(shù)據(jù)則馬上濾除并認(rèn)為其可信。

步驟5將通過(guò)一輪隨機(jī)驗(yàn)證樣本而沒(méi)有發(fā)現(xiàn)吻合驗(yàn)證的實(shí)時(shí)數(shù)據(jù)導(dǎo)入下一輪。如果在一個(gè)合理的時(shí)間段內(nèi)都不能找到吻合樣本標(biāo)簽，則可判斷其為異常行為，將其標(biāo)記并上報(bào)。

圖2 實(shí)時(shí)同源行為對(duì)比驗(yàn)證

另一方面，在檢測(cè)過(guò)程中，由于是對(duì)全流量進(jìn)行檢測(cè)，對(duì)比驗(yàn)證結(jié)果會(huì)有一定的時(shí)延，并不能做到絕對(duì)實(shí)時(shí)性，但這樣的時(shí)延對(duì)整個(gè)單點(diǎn)突破階段及時(shí)間跨度長(zhǎng)達(dá)數(shù)十個(gè)月的整個(gè)APT攻擊來(lái)說(shuō)可忽略不計(jì)。因此，可認(rèn)為這樣的同源行為異常發(fā)現(xiàn)是有效的。

4 實(shí)驗(yàn)測(cè)試

利用5臺(tái)IBM X系列機(jī)架式服務(wù)器搭建Hadoop平臺(tái)，10臺(tái)PC終端和一個(gè)交換機(jī)組成測(cè)試環(huán)境，其網(wǎng)絡(luò)拓?fù)淙鐖D3所示。準(zhǔn)備不同大小的歷史同源行為數(shù)據(jù)分組和實(shí)時(shí)同源行為數(shù)據(jù)分組，分別對(duì)本文提出策略的效率和可靠性進(jìn)行測(cè)試。

4.1 效率測(cè)試

在不同大小歷史同源行為數(shù)據(jù)庫(kù)下，對(duì)不同大小的實(shí)時(shí)同源行為數(shù)據(jù)按照本文提出的策略和一般對(duì)比驗(yàn)證策略進(jìn)行對(duì)比測(cè)試，測(cè)試結(jié)果見(jiàn)表1。

由測(cè)試結(jié)果可以看出，當(dāng)檢測(cè)的歷史同源行為樣本與實(shí)時(shí)同源行為數(shù)據(jù)都較小時(shí)，一般的對(duì)比驗(yàn)證方法在效率上高于基于本文策略的對(duì)比驗(yàn)證方法。然而，當(dāng)歷史同源行為樣本與實(shí)時(shí)同源行為數(shù)據(jù)的大小增加時(shí)，一般的對(duì)比驗(yàn)證方法的耗時(shí)呈線性增長(zhǎng)，而基于本文策略的對(duì)比驗(yàn)證方法的耗時(shí)的增長(zhǎng)并不明顯且遠(yuǎn)小于一般的對(duì)比驗(yàn)證方法，符合在大規(guī)模網(wǎng)絡(luò)環(huán)境下應(yīng)用的要求。

圖3 測(cè)試平臺(tái)網(wǎng)絡(luò)拓?fù)?/p>

表1 效率測(cè)試結(jié)果

在實(shí)際應(yīng)用環(huán)境下，隨著網(wǎng)絡(luò)中主機(jī)用戶的增多，Hadoop平臺(tái)中的分布式計(jì)算節(jié)點(diǎn)的數(shù)量可以相應(yīng)地增多，由于是并行分布式計(jì)算，單位節(jié)點(diǎn)下處理數(shù)據(jù)的開(kāi)銷趨于一致，所以可以認(rèn)為效率測(cè)試的結(jié)果具有普遍性。

4.2 可靠性測(cè)試

在歷史同源行為文件大小為512 GB的情況下，對(duì)不同大小且存在威脅的實(shí)時(shí)同源行為文件分別進(jìn)行100次測(cè)試，統(tǒng)計(jì)其誤報(bào)率和漏報(bào)率，測(cè)試結(jié)果見(jiàn)表2。

由測(cè)試結(jié)果可以看出，基于本文策略的對(duì)比驗(yàn)證方法的準(zhǔn)確性極高，可以說(shuō)幾乎不會(huì)出現(xiàn)漏報(bào)情況，而誤報(bào)率則會(huì)隨實(shí)時(shí)同源行為文件大小增加相應(yīng)出現(xiàn)，合理控制實(shí)時(shí)檢測(cè)時(shí)實(shí)時(shí)同源文件的分塊大小將有效解決這一問(wèn)題?？傮w而言，可認(rèn)為系統(tǒng)安全可靠。

表2 可靠性測(cè)試結(jié)果

5 結(jié)束語(yǔ)

本文提出的基于同源行為分析的APT異常行為檢測(cè)策略，針對(duì)的是APT攻擊的單點(diǎn)突破階段，盡可能早地發(fā)現(xiàn)APT攻擊行為。依托Hadoop平臺(tái)與MapReduce的分布式計(jì)算能力，運(yùn)用數(shù)據(jù)標(biāo)簽技術(shù)和偽隨機(jī)置換并行標(biāo)簽對(duì)比技術(shù)，做到了全流量檢測(cè)，達(dá)到了預(yù)期效果。然而，APT攻擊由于其攻擊手段的復(fù)雜性、攻擊技術(shù)的高超性、攻擊時(shí)間的持續(xù)性等特點(diǎn)，對(duì)其的防御不可能僅僅依賴單一的技術(shù)手段與方案，往往需要在多個(gè)層面運(yùn)用多種技術(shù)手段來(lái)綜合應(yīng)對(duì)APT攻擊，而本文提出的策略可作為應(yīng)對(duì)APT攻擊的第一步，為后續(xù)研究起到拋磚引玉的作用。

［1］CHEN P，DESMET L，HUYGENS C.A study on advanced persistent threats ［C］//Proceedings of the 15th International ConferenceConferenceon Communicationsand Multimedia Security，September 25-26，2014，Aveiro，Portugal.Berlin:Springer Press，2014:56-73.

［2］NIKOS V，DIMITRI G.The big four-what we did wrong in advanced persistentthreatdetection ［C］//Proceedings ofInternational Conference on Availability，Reliability and Security，September 2-6，2013，Washington DC，USA.New Jersey:IEEE Press，2013:248-254.

［3］YANG G M Z，TIAN Z H，DUAN W L.The prevent of advanced persistentthreat ［J］.JournalofChemicaland Pharmaceutical Research，2015，6(1):572-576.

［4］杜躍進(jìn)，翟立東，李躍，等.一種應(yīng)對(duì)APT攻擊的安全架構(gòu):異常發(fā)現(xiàn)［J］.計(jì)算機(jī)研究與發(fā)展，2014，7(7):1633-1645.DU Y J，ZHAI L D，LI Y，et al.Security architecture to deal with APT attacks:abnormal discovery ［J］.Journal of Computer Research and Development，2014，7(7):1633-1645.

［5］李鳳海，李爽，張佰龍，等.高等級(jí)安全網(wǎng)絡(luò)抗APT攻擊方案研究［J］.信息網(wǎng)絡(luò)安全，2014(9):109-114 LI F H，LI S，ZHANG B L，et al.An anti-APT scheme research for high-security network［J］.Netinfo Security，2014(9):109-114.

［6］COLE E.Advanced PersistentThreat:Understanding the Danger and How to Protect Your Organization［M］.Boca Raton:CRC Press，2012:1-280.

［7］鄭黎明，鄒鵬，賈焰，等.網(wǎng)絡(luò)流量異常檢測(cè)中分類器的提取與訓(xùn)練方法研究［J］.計(jì)算機(jī)學(xué)報(bào)，2012(4):719-729.ZHENG L M，ZOU P，JIA Y，et al.How to extract and train the classifier in traffic anomaly detection system ［J］.Chinese Journal of Computers，2012(4):719-729.

［8］許婷.一種有效防范APT攻擊的網(wǎng)絡(luò)安全架構(gòu)［J］.信息安全與通信保密，2013(6):65-67.XU T.A hierarchical-centralized network security architecture effectively preventingAPT attacks ［J］.China Information Security，2012(4):65-67.

［9］SEJONG O，SEOG P.Task-role-based access control model［J］.Information System，2003(28):533-562.

［10］張鴿.基于網(wǎng)絡(luò)行為分析的跨站攻防技術(shù)的研究 ［D］.鄭州:解放軍信息工程大學(xué)，2012:46.ZHANG G.Analysis of offensive and defensive techniques cross station based on network behavior ［D］.Zhengzhou:PLA Information Engineering University，2012:46.

A discovery strategy for APT anomaly based on homologous behavior analysis

YU Yihan，F(xiàn)U Yu，WU Xiaoping，LI Hongcheng
Department of Information Security，Naval University of Engineering，Wuhan 430033，China

As APT (advanced persistent threat)attacks are increasingly frequently，higher requirements for the detection of APT attacks were proposed.It was an effective method to early discover the attack behavior of APT based on homologous behavior analysis.Aiming at the problem of low efficiency of data authentication caused by excessive data，the historical behavior database with data label technology was established and the database was stored in the cloud.Relying on the Hadoop platform and the aggregate computing ability of MapReduce and the pseudorandom permutation technique，the whole traffic parallel detection of the network was realized.In order to determine whether there was a APT attack behavior，the detection of APT attacks was implemented by comparing the data labels in the database.Test results show that the proposed method can detect the abnormal behavior of APT from the network as soon as possibleand improve the efficiency of the whole data flow detection.

APT defense，homologous strategy，real-time detection，data label，pseudorandom permutation

s:TheNationalNaturalScienceFoundation ofChina(No.61100042)，TheNatrualScienceFoudation ofHubei(No.2015CFC867)，Project of National Defense Key Laboratory of Information Security Technology(No.KJ-13-111)

TP309.7

A

10.11959/j.issn.1000-0801.2016012

2015-07-06;

2015-11-02

國(guó)家自然科學(xué)基金資助項(xiàng)目(No.61100042);湖北省自然科學(xué)基金資助項(xiàng)目(No.2015CFC867);信息保障技術(shù)國(guó)防重點(diǎn)實(shí)驗(yàn)室基金資助項(xiàng)目(No.KJ-13-111)

俞藝涵(1992-)，男，海軍工程大學(xué)信息安全系碩士生，主要研究方向?yàn)樾畔⑾到y(tǒng)安全。

付鈺(1982-)，女，博士，海軍工程大學(xué)信息安全系副教授，主要研究方向?yàn)樾畔踩L(fēng)險(xiǎn)評(píng)估。

吳曉平(1961-)，男，博士，海軍工程大學(xué)信息安全系教授，主要研究方向?yàn)橄到y(tǒng)分析與決策。

李洪成(1991-)，男，海軍工程大學(xué)信息安全系博士生，主要研究方向?yàn)榇髷?shù)據(jù)安全與風(fēng)險(xiǎn)評(píng)估。