基于标签序列学习的APT攻击检测方法研究

作     者：岳豪 

作者单位：北京工业大学 

学位级别：硕士

导师姓名：杨震

授予年度：2023年

学科分类：08[工学] 0839[工学-网络空间安全] 

主      题：攻击检测 网络事件本体 溯源图 攻击意图 标签标记 

摘      要：随着互联网的高速发展,网络安全问题愈发严重。其中,高级持续性威胁(Advanced Persistent Threat,APT)正日益突显出其问题性并呈现出爆发式的增长趋势。APT攻击与传统网络攻击在攻击方式和目标上存在显著差异,具有更高的隐蔽性和针对性,因此更难以被检测以及防御。APT攻击会导致严重的数据泄露、金融损失、知识产权流失等不可逆影响,已经成为当前网络安全的一个极其严峻的挑战。本文全面深入研究现有APT攻击检测方法,发现还存在一些不足之处:(1)在实际场景中,由于互联网系统的高度复杂性和数据异构性,单一数据源的APT攻击检测技术不再适用于当前情况;(2)现有方法在解决样本数据不平衡的问题时,通常采用减少负样本数量的方式来平衡样本数据,但是往往忽视了对于正样本数据的重视和充分利用,这限制了攻击检测效果的提高。针对上述不足,本文提出一种基于标签序列学习的APT攻击检测方法,旨在有效融合多源异构数据,充分利用正样本数据。本文的研究工作主要包含以下几点:(1)针对数据的异构性,本文设计一种本体驱动的多源异构数据自动化融合方法。目的是防止在将多源异构审计数据转换为溯源图的过程中丢失有益信息,出现语义鸿沟。具体来说,本文提出了一个综合的、多层次的及可扩展的网络事件本体,它由APT攻击检测领域的核心概念组成,主要包括主机、主体、客体、事件、标签五类顶层核心概念。然后,通过本体驱动的方式,构建出全面、完整的溯源图,实现多源异构数据有效整合,提高了APT攻击检测的精度和效率。(2)针对正样本数据利用不充分,本文设计一种攻击意图驱动的语义标签标记方法。目的是标记潜在的攻击行为,增加正样本数据,优化样本数据集,进而全面提高攻击检测模型的攻击检测效果。具体来说,首先,本文基于APT的攻击意图设计了机密性标签和可信度标签两类标签,旨在通过标签标记方法增加正样本数量。然后,基于这两类标签研究并提出标签初始化策略和标签传播策略,从而提高标签的覆盖率和标记的准确度。(3)在上述两项工作的基础上,提出一种基于标签序列学习的APT攻击检测方法,并使用10个真实的APT攻击数据集评估方法的有效性。评估的结果为平均精确率93.05%,召回率98.12%,F1-score 95.36%,优于现有基准方法。