摘要
当今世界正值百年未有之大变局,网络空间成为继陆、海、空、天之后的第五大疆域,安全威胁也随之延伸至网络空间。没有网络安全就没有国家安全,在新时代网络空间安全已经上升至国家安全的高度。高级持续性威胁(Advanced Persistent Threat,APT)攻击是网络空间中威胁最大的一种攻击,其危害性大、隐蔽性强、持续时间长。考虑到APT攻击的溯源一直是网络空间攻防中极为重要的一环,提出了一种基于网络流量风险数据聚类的APT攻击溯源方法。首先介绍了所提方法的工作流程,其次对流程中的风险数据聚类算法进行了详细介绍,最后通过实验验证了所提方法的有效性。
内容目录:
1 传统的 APT 攻击溯源方法
1.1 基于日志记录的溯源
1.2 基于包标记技术的溯源
1.3 基于主动感知数据的溯源方法
2 基于网络流量风险数据的溯源方法
2.1 溯源框架
2.2 聚类算法模型
2.2.1 定义
2.2.2 数学模型
2.2.3 聚类算法
2.3 实 验
2.3.1 场景设计
2.3.2 结果评判标准
2.3.3 结果分析
3 结 语
高级持续性威胁(Advanced Persistent Threat,APT)攻击是指攻击者使用多种先进手段,对特定目标展开的持续的、高威胁性的网络攻击活动,它有3个重要特征:(1)攻击能力强,这体现了APT中的A(既先进性)这一方面;(2)持续时间长,这体现了APT中的P(即持续性)这一方面;(3)目标特定,危害程度大,这体现了APT中T(即威胁性)这一方面。这种攻击活动的发起者往往具有较强的