基于大數據分析的APT攻擊檢測研究綜述

2015-01-06 01:08:34付鈺李洪成吳曉平王甲生

通信學報 2015年11期

付鈺，李洪成，吳曉平，王甲生

（海軍工程大學信息安全系，湖北武漢 430033）

1 引言

在全球網絡信息化程度高速發展的大背景下，具備隱蔽性、滲透性和針對性的高級持續性威脅（APT, advanced persistent threat）對各類高等級信息安全系統造成的威脅日益嚴重，針對特定目標的有組織的APT攻擊日益增多，國家、企業的網絡信息系統和數據安全面臨嚴峻挑戰[1～3]。例如，2008年中國長城網遭遇到美國國防部網絡黑客的攻擊滲透，被植入后門并竊取情報；2010年的“震網”經過多年的準備和潛伏，成功攻擊了位于物理隔離內網中的工業控制系統，遲滯了伊朗的核計劃；2011年的“夜龍行動”竊取了多個跨國能源巨頭公司的高度敏感內部文件；2012年的超級病毒“火焰”成功獲取了中東各國大量的機密信息[4～6]。可以看出，APT攻擊已經對各類關鍵信息基礎設施安全造成巨大威脅，開展APT攻擊防御工作刻不容緩。

在APT攻擊防御工作中，攻擊檢測是安全防護和加固的前提和依據，也是APT攻擊防御中最困難的部分[7]，因此檢測技術已成為當前APT攻擊防御領域的研究熱點。然而，從典型案例來看，APT攻擊具有極強的隱蔽能力和針對性，傳統的檢測設備面對APT攻擊大多束手無策[8]。

由于網絡中的安全數據具有體量巨大、來源多樣、增漲速度快和價值密度低等大數據典型特點[9]，所以基于網絡大數據分析的安全檢測技術近年來逐步興起。該技術可以實現海量網絡安全數據的深度關聯分析，并對寬時間窗內的多類型安全事件進行智能關聯，因此在檢測APT攻擊方面具有明顯優勢。

因此，本文在充分認清APT攻擊過程及特點的基礎上，對基于網絡安全大數據分析的APT攻擊檢測技術進行系統分析，提出了抗APT攻擊的系統綜合防御體系框架和系統安全檢測框架，并給出了現有檢測技術面臨的挑戰和發展方向。

2 APT攻擊的概念、過程及特點

2.1 APT攻擊的概念

目前，比較權威的APT攻擊定義是由美國國家標準與技術研究所（NIST, national institute of standards and technology）提出的[10]，該定義描述了APT攻擊的攻擊者、攻擊目的、攻擊手段和攻擊過程，但沒有突出APT攻擊具有特定攻擊對象的性質[11]。因此，本文對該定義進行補充，給出以下定義：“APT攻擊是以敵對方的高水平專業知識和豐富資源為基礎，以多種攻擊方式為手段，以破壞關鍵信息基礎設施和阻礙重要任務實施為目的，以特定組織為攻擊對象的隱蔽網絡攻擊”。

2.2 APT攻擊的實施過程

雖然每個 APT攻擊案例的具體攻擊過程都不盡相同，但都可以看作是以下6個階段的組合。

2.2.1 偵查準備階段

為了在高安全等級的網絡中找到可供入侵的脆弱點，攻擊者需要進行充分的偵查和準備工作。除常用的網絡漏洞掃描外，APT攻擊采用的偵查技術還包括基于大數據分析的隱私挖掘和基于社會工程學的信息收集等技術。

1) 基于大數據分析的隱私挖掘。網絡大數據分析技術[12～14]為使攻擊者能夠從公開數據中提取目標組織的機密信息。這些機密信息可以為APT攻擊者開展進一步的攻擊工作做準備。

2) 基于社會工程學的信息收集。在高安全等級的網絡中，最脆弱的防御點是人員。攻擊者利用社會工程手段對目標組織中的各類人員進行心理控制或利用，進而獲得敏感信息[15]。

2.2.2 代碼傳入階段

當 APT攻擊者完成了偵查準備并確定了入侵點后，攻擊者需要傳入惡意代碼，為初次入侵的實施提供基礎。常見的代碼傳入方法有以下2類。

1) 直接傳入。最常見的直接傳入手段是魚叉式網絡釣魚。該手段是以特定接收者為攻擊對象，利用惡意郵件或惡意代碼進行的網絡仿冒行為。由于攻擊者在前期進行了充分的偵查準備，所以垃圾郵件過濾器和基于特征的防御機制往往無法檢測APT攻擊的惡意郵件或代碼[16]。

2) 間接傳入。間接傳入是指攻擊者在一個目標用戶經常訪問的第三方網站中放置一個或多個惡意代碼，從而代替直接向目標發送惡意代碼的過程[17]。

2.2.3 初次入侵階段

在傳入惡意代碼后，APT攻擊者需要通過執行代碼來初次獲得目標主機或網絡的非授權訪問權限。初次入侵階段主要分為漏洞利用和代碼執行 2個入侵過程。

1) 利用零日漏洞或傳統漏洞。APT攻擊在初次入侵階段除了利用未知的零日漏洞外，還會利用Office Word、Excel文檔以及Adobe Reader閱讀器的已知脆弱性等已知漏洞[18]。

2) 直接或間接執行惡意代碼。惡意代碼執行時，一次執行的代碼有限，因此惡意軟件一般會與指揮控制（C&C ,command and control）設備建立連接，并下載和運行其余代碼[19]。

2.2.4 保持訪問階段

在入侵目標網絡之后，攻擊者需要通過各種方式保持對系統的訪問權限。其中，最常用的方式是竊取合法用戶的訪問證書[20]。當攻擊者竊取了用戶訪問證書后，會利用遠程訪問工具（RAT, remote access tools）與多個用戶建立連接，并獲得更多訪問權限，從而使一個或多個初始權限被檢測到的情況下保持訪問。

另外，為了在目標網絡中長期駐留，RAT還會建立客戶端—服務器（C-S, client-server）關系，攻擊者會利用C-S關系在目標網絡中植入更多攻擊模塊，這些模塊的功能是必要時替代初始權限，使攻擊者可以在長時間內根據需要隨時進入或退出系統。

2.2.5 擴展行動階段

當攻擊者可以根據需要在系統內活動時，就會進行內部偵查，進而獲知網絡的拓撲結構和重要情報，并發現和收集有價值的信息資產。在擴展行動階段，APT攻擊者會使用不同用戶的訪問證書來提升權限，并會模仿已偵查到的合法用戶行為，使攻擊行為被系統看作是合法的，因此該階段的 APT行動很難被檢測到。另外，為了在攻擊收益階段之前獲得盡可能多的信息，并規避安全檢測，攻擊者的內部偵查行動往往運行較慢。

2.2.6 攻擊收益階段

APT攻擊的主要目的是竊取敏感信息。在攻擊收益階段，攻擊者首先將數據傳送到一個內部服務器上，并在這里壓縮數據。為規避內容檢測，攻擊者多采用XOR、AES-CBC、Substitution和RC4等方式對敏感數據加密[21]。然后，數據將被傳送到外部的主機上。此時，為了隱藏傳輸過程，APT攻擊者會使用安全傳輸協議，如SSL和TLS。

除竊取敏感信息外，APT的攻擊收益還包括破壞信息基礎設施，例如“震網”在攻擊收益階段成功干擾了關鍵設備控制程序的運行。

2.3 APT攻擊的特點

從實施過程中可以看出，APT攻擊具有以下典型特點。

1) 針對性。APT攻擊的攻擊手段和攻擊方案均針對特定的攻擊對象和目的設計。例如，代碼傳入階段的釣魚程序大多是根據特定用戶的行為習慣而設計的，且惡意代碼的運行環境也都適應于目標主機的操作系統。

2) 持續性。APT攻擊的實施過程包含多個階段，攻擊者多采用逐層滲透的方式突破高安全等級網絡的防御系統，整個攻擊過程經常長達數月到數年。

3) 偽裝性。APT攻擊者經常采用多種方式來偽裝自己的行為，進而規避檢測。例如，攻擊者在保持訪問階段和擴展行動階段分別通過偽造合法簽名和模仿正常行為的方式進行偽造；攻擊收益階段的外泄數據通過加密來規避內容檢測。

4) 間接性。APT攻擊過程中經常使用第三方和中間站作為媒介，而非傳統的點到點攻擊模式。例如，代碼傳入階段的第三方釣魚網站、初次入侵階段的間接執行惡意代碼和保持訪問階段的遠程訪問工具都是APT攻擊間接性的體現。

5) 共享性。APT攻擊組織之間互相販賣漏洞攻擊碼及搭配的惡意軟件在網絡中越來越普遍，這表明各攻擊組織之間的資源共享性逐步增強。

3 基于大數據分析的APT檢測研究現狀

現有的許多基于網絡大數據分析的攻擊檢測技術可以用以檢測APT攻擊。其中，常用的基于底層原始數據分析的檢測技術主要有網絡流量異常檢測、主機惡意代碼異常檢測和社交網絡安全事件挖掘3類；基于高層網絡事件融合的檢測技術主要是安全事件關聯分析。另外，APT攻擊防御安全框架可以為各項APT防御和檢測技術提供運行環境，對于有效應對APT攻擊至關重要。因此，本節針對抗APT攻擊的防御框架和4項安全檢測技術，分別進行介紹和分析。

3.1 APT攻擊防御框架研究現狀

目前，許多學者提出了不同的抗APT攻擊安全框架，為高等級安全網絡的建設提供了重要的參考依據。其中，針對高等級安全網絡的APT防御問題，文獻[22]建立了包含APT檢測網關、組織內部私有云、安全管理中心、安全存儲中心和APT威脅管理控制臺的 APT防御體系結構。此外，針對現有抗APT攻擊安全產品單純分析惡意行為而無法解讀未知威脅的問題，文獻[23]提出了一種基于異常發現的“慧眼”架構。“慧眼”架構將網絡安全監測過程分為低位監測和高位監測，利用低位監測機制監控主機的應用環境、系統環境、通信環境、傳輸環境和數據環境，并利用高位監測機制對網絡協議特征和流量統計特征進行分析。另外，針對傳統的“網關、服務器和PC終端”3層網絡架構應對APT攻擊的劣勢。文獻[24]提出了一種改進的分層集中式網絡安全架構，通過集中分析和管控的方法，使企業內部的安全防護部件構成一個有機整體，能夠有效地防范APT網絡攻擊。

以上研究從不同角度建立了抗 APT攻擊安全架構，其中，基于私有云的網絡大數據處理、網絡異常檢測和集中分析管控等功能可以為抗 APT攻擊網絡的產業化實現提供參考。然而，由于 APT攻擊的間接性，不同組織機構之間APT防御信息共享往往成為發現APT攻擊的主要方式，此外，追溯入侵行為的實施者并分析攻擊者實施的與攻擊無關的大量事件可以為檢測APT攻擊提供有效依據，而以上安全架構沒有涉及這些功能。

3.2 網絡流量異常檢測技術研究現狀

網絡流量異常檢測是指以網絡流數據為輸入，通過統計分析、數據挖掘和機器學習等方法，發現異常的網絡數據分組和異常網絡交互等信息。

網絡流量異常檢測過程首先需要使用Sniffer、NetFlow、fprobe和flow-tools等數據流抓取工具[25～27]來采集海量的網絡數據流信息，然后從數據中提取和選擇出可用于檢測異常的數據屬性。常用的數據屬性提取方法有以下 2種：1）直接以網絡流量數據分組頭的各維數值作為數據屬性[26]，例如數據分組的源/目的 IP、源/目的端口、協議類型、數據分組長度和時間等；2）以網絡流量的統計特性作為數據屬性[29～31]，例如固定時間內兩主機間流量字節數、分組個數、數據流個數和流量熵等。

直接以網絡流量數據分組頭的各維數值作為數據屬性的檢測方法主要包括基于無監督學習、監督學習和半監督學習的方法。

在基于無監督學習[32]的異常檢測方面，Kingsly等[33]提出基于聚類算法的網絡異常檢測方法，將網絡數據分組劃分為若干類型，根據這些分類識別各條數據分組為正常或異常，該方法的優勢在于不需要使用已標記出攻擊的流量數據進行訓練。針對聚類檢測方法中數據屬性數量較多的問題，Rubinstein等[34]利用主成分分析法（PCA, principal component analysis）提取具有代表性的主分量，并利用主分量的方差描述其在檢測中的重要程度，進而選擇重要的主成分來降維。此外，針對聚類檢測運算易陷入局部最優的問題，唐成華等[35]考慮到聚類檢測算法結果對初始聚類中心的敏感性，利用遺傳算法的全局搜索能力克服了其在迭代時易陷入局部最優的缺點。

在基于監督學習[36～39]的異常檢測方面，楊雅輝等[40]針對傳統離線入侵檢測方法建立系統速度慢、模型更新代價高等不足，對GHSOM神經網絡模型進行了擴展，提出了一種基于增量式GHSOM神經網絡模型的網絡入侵檢測方法，增強了入侵檢測過程的自適應性和擴展性，進而可以檢測出網絡上新出現的攻擊類型。此外，由于監督學習算法的時效性較差，面對體量巨大且實時更新的網絡流量數據，需要采取一定方法實現在線檢測，因此，武小年等[41]采用滑動窗口方法提高檢測效率，每隔一個測量間隔時間，將最新的測量數據加入到滑動窗口并將最舊的測量數據剔除，保持滑動窗口長度不變，然后在該時間窗口內進行異常檢測。

在基于半監督學習的異常檢測方面，Yasami等[42]將監督學習和無監督學習相結合，利用k-means聚類算法和ID3決策樹學習算法進行網絡異常流量的檢測，使用基于歐氏距離的k-means聚類算法對正常流量行為和異常流量行為進行訓練，然后結合ID3決策樹判斷是否發生流量異常。此外，針對k-means聚類算法歐式距離計算中屬性重要程度不一致的問題，陸悠等[43]利用計算絕對熵和條件熵來計算信息增益，進而得到特征重要度，并以特征重要度作為特征權重代入聚類過程。

以網絡流量統計特性作為數據屬性的異常檢測方法比基于數據分組頭各維數值的檢測方法更加高效。這類方法按照檢測的范圍可分為基于單鏈路流量的異常檢測[44]和基于全網絡流量矩陣的異常檢測[45]2類。前者主要利用流量數據的時間相關性檢測入侵，后者則綜合利用流量的時間相關性和空間相關性[46]，采用多元統計分析方法進行檢測。由于全網絡流量矩陣具有高維特性，因此許多研究采用PCA進行統計分析[47～49]。此外，考慮到PCA無法反映流量矩陣各維度之間的相關性，所以一些研究采用支持向量機（SVM, supported vector machine）等機器學習方法[50]，通過關聯各維數據來判斷異常是否真的發生，進而降低誤報率。此外，全網絡異常檢測可以利用基于圖數據挖掘的檢測技術實現，Noble等[51]通過檢測圖中的異常子結構和異常子圖來挖掘異常。Eberle等[52,53]將深度搜索算法和最短描述長度引入到基于圖數據挖掘的異常檢測中，提高了檢測的準確度。文獻[54～56]使用流量散布圖檢測網絡流量異常。流量散布圖由于能夠描述網絡中主機間的交互模式，因而能幫助網絡管理員更好地理解流量異常。通過分析總結，可得到各類網絡流量異常檢測方法的優缺點如表1所示。

網絡流量異常檢測數據源的海量性限制了該技術在寬時間域內的使用，由于APT攻擊具有明顯的持續性，所以網絡流量異常檢測技術容易漏過寬時間域內的APT攻擊。此外，APT攻擊往往是多種攻擊手段的組合，而網絡流量異常檢測技術的數據源種類較為單一。因此，傳統網絡流量異常檢測技術在應對APT攻擊時存在局限性。

表1 各類網絡流量異常檢測方法的優缺點

3.3 惡意代碼異常檢測技術研究現狀

惡意代碼是指用于完成特定惡意功能的代碼片段，其定義與惡意程序和惡意應用類似[57]。惡意代碼主要包括計算機病毒、蠕蟲、特洛伊木馬、后門、RootKit、僵尸程序和組合惡意代碼等類型[58]。惡意代碼異常檢測是指通過對海量樣本程序的動靜態特征進行智能分析來識別惡意代碼的檢測技術。目前，工程上普遍使用的惡意代碼檢測方法是基于特征碼的異常檢測，而該方法無法處理未知的惡意代碼，無法有效應對爆發式增長的惡意代碼帶來的威脅[59]，因此該領域研究熱點集中在基于行為的惡意代碼智能異常檢測方面[60～62]。基于行為的惡意代碼檢測的核心內容包括特征提取和數據分析兩部分，下面分別對這2部分的研究進行綜述。

惡意代碼的特征提取方法主要包括以下2類。1）靜態特征提取方法[63,64]。該方法采用文件結構分析、反編譯、反匯編、控制流和數據流分析等技術[65]，在不運行程序的條件下，提取程序的組件、指令、控制流和函數調用序列等可用于異常檢測的代碼靜態特征[66]。該方法的優點是樣本覆蓋率高，缺點是對于采用變形、多態、代碼混淆和加密等技術的惡意代碼要進行多角度分析。2）動態特征提取方法[67,68]。該方法采用 Anubis、CWSandbox、Norman Sandbox、Joebox 等分析工具[69]，在真實或虛擬環境下運行程序，進而提取API操作、文件系統操作、函數訪問和系統調用等代碼動態特征[70]。該方法的優點是可以有效提取采用變形、多態、代碼混淆和加密等技術的代碼特征，缺點是特征提取速度慢，而且無法提取在模擬器下運行時自動崩潰的惡意代碼特征。

惡意代碼的數據分析方法通常利用惡意和非惡意程序樣本，根據機器學習的理論與方法檢測出異常代碼，并與已有檢測軟件、殺毒軟件和人工檢測結果進行對比，進而檢驗檢測算法的準確性。該方法主要分為以下 2類。1）基于分類的惡意代碼檢測，常用方法有樸素貝葉斯算法[71]、決策樹[72]和集成分類器[73]等。2）基于聚類的惡意代碼檢測，常用的方法有k-means聚類[74]和層次聚類[75]等。此外，由于不同類型的特征具有各自的特點，所以可以對同類型的特征使用相同的學習方法，而對不同類型的特征分別采用不同的學習方法，然后通過綜合各個學習機的檢測結果來提高檢測精度和效率[76]。

綜上所述，惡意代碼異常檢測技術可以有效檢測數量快速增長的未知惡意程序。然而，APT攻擊中惡意代碼偽裝性和隱蔽性很高，而且經常通過網絡流建立C&C關系，因此與第4.2節的系統安全檢測框架相比，惡意代碼異常檢測技術在應對仍然存在時空關聯能力差和漏檢率較高等問題。

3.4 社交網絡安全事件挖掘技術研究現狀

社交網絡安全行為挖掘是指從社交網絡海量數據中學習用戶在網絡中的行為模式[77]，并挖掘用戶的社交關系網等社會屬性[78,79]，進而為攻擊檢測、計算機取證和信息安全防護提供指導和依據[80]。

社交網絡安全事件挖掘在網絡安全檢測方面的應用主要分為以下 2類。1）從社交網絡的信息內容和聯系關系中挖掘用戶的正常行為模式和用戶間的信任關系[81,82]，通過在線監控將違背行為模式和信任關系的異常行為歸納為威脅事件，并據此快速定位攻擊者的不軌行為[83]。2）從社交網絡數據中發現可疑攻擊者的社會屬性等信息，為攻擊事件溯源和攻擊意圖識別提供指導[84,85]。

社交網絡海量數據的采集工作是安全行為挖掘的前提，常用的社交網絡數據采集有以下2種方法。1）通過編寫爬蟲程序來采集網頁上的內容信息。該方法具體涉及到模擬登錄、網頁抓取和網頁解析等步驟[86,87]。在網頁抓取的過程中，考慮到不同用戶的網頁抓取與計算平臺無關，所以一些研究利用分布式計算平臺提高抓取效率[88]，此外還有一些研究利用增量抓取的方法實現在線采集[89]。2）利用社交網站提供的應用程序接口或公開的數據集。例如，許多研究者利用Twitter開放的接口采集Twitter微博數據進行分析[90～92]，此外，Enron數據集等郵件通信日志數據集也被用于用戶安全行為挖掘研究[93]。

完成數據采集工作之后，需要使用有代表性的數據屬性進行用戶安全行為挖掘。常見的微博數據屬性主要有博文內容特征、用戶聯系人關聯關系和用戶發帖分布情況等[94,95]；常見的郵件通信日志數據屬性主要有通信關系、通信頻率、通信時間、抄送關系和附件大小等[96]。

雖然社交網絡安全事件挖掘技術可以識別用戶行為異常，并為攻擊檢測提供指導，但社交網絡中蘊含的攻擊信息畢竟有限，該技術需要與網絡流量和惡意代碼異常檢測技術配合使用，才能更有效地檢測APT攻擊。

3.5 安全事件關聯分析技術研究現狀

安全事件關聯分析是通過關聯底層安全檢測的結果來在較高層次檢測網絡攻擊行為的方法。按照關聯對象的不同，現有的安全事件關聯分析方法可分為以下4類。

1) 安全設備報警關聯分析[97～100]。該類方法以Snort等安全設備的海量報警作為輸入，通過報警融合得到更有概括性且更準確的安全報警。具體的實施過程是首先給出報警數據各維數值的相似度度量模型，然后利用機器學習等方法確定各維報警數據在報警匹配中占有的權重，最后通過加權綜合計算報警間的匹配度，并將匹配度超過預設閾值的報警進行聚合，進而降低誤報率[101,102]。該類方法由Valdes等[103]首先提出，它為每個屬性定義了一個相似度計算函數，通過對報警各屬性相似度進行加權平均計算報警整體相似度，并根據報警整體相似度是否超過預設閾值來聚合報警。在之后的研究中，穆成坡等[104]利用模糊綜合評判思想改進了基于屬性相似度的報警聚合方法，很好地處理了多屬性中的模糊信息和聚合過程中的不確定性；郭帆等[105]將所有報警按攻擊類別分為 4類，對于不同類別的報警，分別設置不同的屬性相似度權重，從而使報警整體相似度和聚合判決結果更符合實際情況。以上方法均達到了降低誤報率和減少重復報警的目的。

2) 網絡和主機安全關聯分析[106～108]。該類方法首先給出網絡流量和主機特征異常程度的度量指標，然后利用科學的模型對以上2類指標進行綜合，進而有效提高安全檢測的準確率。典型的關聯模型借鑒推薦算法的思想[109]，利用聚類方法得到網絡節點間的流量相似度，并利用反病毒工具得到主機的可疑度，然后將主機可疑度作為推薦模型的節點、流量相似度作為連邊，通過關聯得到網絡中所有主機的綜合可疑度，進而更準確地檢測惡意程序和入侵。例如，Dimitropoulos等[110]設計了一個基于關聯分析的異常事件診斷系統，該系統通過頻繁模式挖掘和構建正常流量行為模型判斷流量異常的類型。美國普林斯頓大學的Duffield等[111]提出了基于規則的流量異常檢測方法，通過分析分組級別信息與流級別信息的對應關系建立分組級別告警與流量異常事件的關聯。

3) 不同領域安全事件關聯分析[112,113]。該類方法利用不同領域安全事件中具有內在關聯的若干屬性進行融合，通過綜合各類安全事件信息來檢測網絡攻擊。例如，網絡系統的拓撲結構和物理信息系統的拓撲結構是一致的[114]，所以可以將網絡 IP地址與物理信息系統的設備 ID進行關聯，進而實現異源安全數據的融合。具體地，美國北卡羅萊納州立大學的Ning等[115]提出了一種異常事件因果關聯分析方法，該方法的目的是關聯同一原因引起的多個異常事件，建立異常事件與攻擊之間的因果關系。基于 Ning等的研究成果，美國北卡羅萊納州立大學的 Cui等[116]設計了一種離線的異常事件關聯器，該關聯器能夠在保證關聯速度的同時降低關聯的錯誤率。

4) 攻擊步驟關聯分析[117～120]。該類方法利用專家經驗建立攻擊模型，通過將已檢測到的攻擊與攻擊模型進行匹配來識別攻擊意圖，為下一階段的攻擊檢測提供依據。常用的攻擊模型主要有概率攻擊圖或最大概率攻擊路徑等[121]。

目前，安全事件關聯分析技術存在的局限性包括：攻擊步驟關聯分析中攻擊模型建立過程的主觀性過強；安全事件關聯分析的關聯對象類型仍不夠全面。

4 抗APT攻擊的系統安全防御框架展望

由以上分析可知，現有的APT攻擊防御框架均存在局限性，且單獨使用某項技術無法有效檢測APT攻擊。因此，本文建立了綜合性的系統安全防御框架，并提出了一種基于智能反饋和大數據分析的系統安全檢測框架，綜合利用多種安全技術分層次檢測APT攻擊。

4.1 系統綜合防御框架

由于APT攻擊綜合運用多種技術手段，且攻擊的持續性和偽裝性較強，因此APT防御系統必須具備智能檢測和深度關聯分析的功能，并能夠有針對性地實施安全防護和主動反制。基于此，本文提出一種抗APT攻擊的系統綜合防御建議框架，如圖1所示。

圖1 抗APT攻擊的系統綜合防御框架示意

圖1中，系統綜合防御框架包括系統安全檢測、系統安全防護和主動防御3個階段，各階段的運行過程如下。

1) 在系統安全檢測階段，首先利用針對多對象多進程的集成入侵檢測網關對網絡訪問事件進行初步檢測；然后收集來自于攻擊方、網關和內網的各類網絡信息，并提取出安全事件特征；最后利用智能反饋和大數據分析方法對安全事件特征進行深度關聯分析，進一步發現集成入侵檢測網關無法識別的APT攻擊。

2) 在系統安全防護階段，根據上一階段的檢測結果和第三方機構共享的攻擊情報，阻止網絡中的惡意程序運行并阻斷非法的控制和傳輸進程，加強系統內各主機節點的安全措施，對網絡中被攻擊者利用的脆弱點進行有針對性的系統安全加固。

3) 在主動防御階段，為避免攻擊者利用防御系統未完全修復的漏洞和未及時封鎖的權限進行下一階段攻擊，防御系統應利用數據溯源等方法確認攻擊者信息，利用主動防御機制對檢測出的攻擊者進行干擾和反制。

圖1所示的防御框架區別于傳統高安全防護等級系統防御框架的創新之處在于以下幾個方面。

1) 系統框架集攻、偵、防于一體

由于 APT攻擊是有組織的攻擊者對特定對象實施的定向攻擊，所以某次成功的系統安全防護對于消除APT威脅隱患的貢獻十分有限，有必要對溯源出的攻擊者實施主動反擊，因此集攻、偵、防于一體的系統安全防御框架有利于從根本上防御APT攻擊。

2) 綜合關聯各類信息進行檢測

該框架的系統安全檢測模塊綜合提取網關、內網和攻擊方3個方面的信息。其中，攻擊方信息參與檢測過程有助于防御方利用社會工程學等方法對APT攻擊威脅進行預判，有效解決APT攻防對抗中的信息不對稱問題。而傳統的防御框架沒有考慮到攻擊方相關信息在攻擊檢測中的重要性，因此該框架可以更好地檢測APT攻擊。

3) 建立攻擊檢測情報共享機制

在APT攻擊的檢測工作中，除了內網本身收集到的數據之外，第三方機構提供的APT攻擊信息對于檢測APT攻擊也至關重要。Verizon Business公司 2013年數據泄漏調查報告顯示，在被發現的數據泄漏案例中，有43%來自于外部用戶或不相關組織的告知[18]。因此，該框架中的第三方情報共享機制可以突破單點防護的傳統觀念，有效提高系統防御APT攻擊的能力。

4.2 系統安全檢測框架

系統安全檢測階段是系統綜合防御框架的核心，因此本節對該階段的實施過程進行詳細設計，具體如圖2所示。

圖2中，系統安全檢測框架包括3個數據處理層次和一項反饋機制，各部分的實施過程如下。

Level 0：原始安全數據獲取。該層次主要利用各種網絡數據收集設備獲取受保護網絡系統和相關網絡系統中的網絡流量、應用程序和社交網絡等信息，對于大規模網絡，這些信息往往是海量的。

Level 1：寬時間域數據關聯分析。該層次利用網絡中的各類原始數據，挖掘出能一定程度上反映攻擊狀況的網絡安全事件，為更高層次進一步關聯分析提供基礎。具體實現的功能有網絡流量異常檢測、惡意代碼異常檢測和社交網絡安全事件挖掘 3類。為應對APT攻擊的極強持續性和階段性，該層次數據挖掘的過程中應適量將時間窗口拉大，通過寬時間域數據分析提取安全事件。

圖2 基于智能反饋和大數據分析的系統安全檢測框架示意

Level 2：寬應用域事件關聯分析。由于寬時間域數據關聯分析提取出的安全事件數量龐大，安全事件類型多樣，且存在大量虛警信息，因此有必要通過安全關聯的方式從大量安全事件中提取出真實的攻擊信息。基于此，該層次利用網絡入侵安全事件、惡意代碼和用戶行為安全事件中具有內在關聯的若干屬性，采用安全事件關聯分析方法識別出攻擊發生的時間、地點、攻擊類型和強度等信息。

Feedback：智能反饋。為充分利用安全事件關聯分析得到的攻擊信息，彌補Level 1中海量數據分析過程缺乏指導的不足，系統安全檢測框架引入智能反饋機制。該機制根據Level 2中識別出的攻擊信息進行攻擊回溯，得到面臨威脅較大的節點和時間段，并據此在Level 1對這些節點和時段的臨近時空范圍進行重點分析，進而科學指導下一輪系統安全檢測過程。

圖2所示的檢測框架在檢測APT攻擊方面具備一定的獨特優勢，主要體現在由于APT攻擊的持續性、針對性和滲透性，所以擴大時間和空間范圍進行數據關聯分析是檢測 APT攻擊的最有效途徑之一。然而，檢測范圍的擴大會對檢測工作帶來不利影響。一方面，海量數據會增加檢測的時間成本；另一方面，考慮到海量數據分析的固有特點，盲目地對海量的寬域網絡數據進行大數據分析往往不僅無法有效檢測攻擊，反而會由于分析過程缺乏指導性而出現大量無關的檢測結果。因此利用窄時空域的初步檢測結果指導下一步的檢測過程，有針對性地對重點節點的重點時間段進行寬域檢測。這種反饋式的檢測方式可以在提高檢測率的同時，提升檢測的時效性，因此可以科學實用地檢測APT攻擊。

5 抗APT攻擊的系統安全檢測技術展望

系統安全檢測框架為 APT攻擊檢測工作提供了技術支撐，但該框架所集成的各項安全檢測關鍵技術均存在一定的局限性。本節分別給出各項關鍵技術在檢測APT攻擊時面臨的挑戰，并提出下一步發展方向。

5.1 網絡流量異常檢測面臨的挑戰和發展方向

網絡流量異常檢測技術的實施依賴于科學地采集網絡流量數據，而 APT攻擊具有極強的針對性，其攻擊對象往往是安全等級很高的特殊信息系統，如何獲取特定信息系統中的網絡流量歷史樣本和實時數據是一項很大的挑戰。此外，基于監督學習的網絡流量異常檢測方法需要收集大量有代表性的網絡流量樣本。在樣本收集工作中，直接使用KDD99和DARPA98等得到廣泛認可的公開數據集是一種易于實現的方法，而公開數據集在用于特定信息系統時不一定具有代表性，因此許多研究者在搭建的實驗網絡環境或真實的某類型網絡上收集網絡流量樣本。然而，這些收集到的樣本是在某一時間段內出現的，由于網絡狀態和APT攻擊的信息都在動態變化，所以利用經過一次學習得到的結果進行反復檢測，效果會很差。在線學習是解決該問題的有效方法，而在線學習方法的樣本標記難度較大。因此，實時獲取特定信息系統中的網絡流量樣本數據并降低標記成本是下一步的研究方向。

另外，由于APT攻擊具有較強的持續性和滲透性，所以APT攻擊所造成的網絡流量異常一般有明顯的延遲，導致窄時間窗內的異常檢測方法失效。傳統的流量異常檢測技術均以海量的網絡流數據作為輸入，所以寬時間窗內網絡流數據體量過大，不僅使數據分析成本急劇增加，而且對過于龐大的數據進行缺乏指導的異常檢測容易產生大量的誤報，進而導致檢測結果失去意義。因此，以更高層次的安全數據作為異常檢測的輸入，進行多時間窗口關聯分析和報警關聯分析是下一步的研究方向。

5.2 惡意代碼異常檢測面臨的挑戰和發展方向

大數據條件下的惡意代碼異常檢測要求特征提取過程中自動、快速、有效，而動態特征提取方法具有樣本覆蓋率低、特征提取速度慢的缺點，所以靜態分析方法更適合于大數據條件下的特征表達，然而由于APT攻擊是高水平的專業攻擊者采取的不計技術成本的攻擊方式，所以絕大多數 APT惡意代碼均采用了加密、代碼混淆等隱蔽手段，導致靜態的分析方法無法有效提取代碼特征。因此，如何解決動態特征提取的時效性問題和靜態特征提取無法識別隱蔽代碼的問題是很大的挑戰。目前，應對APT攻擊的主流惡意代碼特征提取方法是沙箱分析技術，如何結合代碼的靜態特征降低沙箱分析的時間和空間成本是惡意代碼特征提取研究領域的發展方向。

在典型APT攻擊案例中，僵尸程序和遠程C&C程序得到了廣泛的使用，這些惡意程序往往會在多臺主機上留下特征痕跡，且伴隨有相互之間的網絡交互，有些程序還利用延遲的方法來增強隱蔽性，而傳統的惡意代碼異常檢測方法大多單獨分析主機上某一時刻的代碼狀態，對于APT攻擊的檢測效果較差。因此，如何有效檢測延遲僵尸程序和C&C程序是很大的挑戰。在惡意代碼異常檢測過程中進行時空關聯和網絡流量關聯是惡意代碼特征數據分析研究領域的發展方向。

5.3 社交網絡安全事件挖掘面臨的挑戰和發展方向

在社交網絡安全行為挖掘過程中，盡管數據源為非敏感數據，但仍可能挖掘出正常用戶的個人隱私[122,123]，為安全行為挖掘者引起法律糾紛，進而影響網絡安全檢測工作的正常進行。隱私保護數據挖掘是解決該問題的有效途徑之一，然而基于干擾的隱私保護數據挖掘方法會降低挖掘算法的可用性，影響攻擊檢測的準確率；基于加密的隱私保護數據挖掘方法成本過高，不易于部署在社交網絡中[124]。因此，在社交網絡安全行為挖掘過程中保護正常用戶的隱私信息是個很大的挑戰。建立網絡安全檢測的反饋機制，充分利用可疑攻擊者的信息對挖掘工作進行指導是社交網絡安全行為挖掘研究的發展方向。

另外，雖然社交網絡中的安全事件可以為網絡攻擊檢測提供指導，但是網絡爬蟲的運行需要使用一個初始的用戶節點進行驅動，考慮到典型的APT攻擊過程大多運用社會工程和社交網絡分析等手段進行敏感信息收集，所以網絡爬蟲的運行過程可能被APT攻擊者發現。設計高可靠性和隱蔽性的爬蟲程序是社交網絡安全數據采集工作的發展方向。

5.4 安全事件關聯分析面臨的挑戰和發展方向

由于 APT攻擊本質上是多類高級攻擊手段在時間和空間上的組合，所以APT攻擊的檢測過程對安全事件關聯分析效果的要求尤其高。然而，現有的安全事件關聯分析方法的關聯對象仍較為單一，難以發現不同位置不同時間段內安全事件潛在的隱藏關系。因此，利用各類安全事件的內在聯系，以具體APT攻擊的過程和特點為指導，對信息系統中的所有安全事件進行綜合關聯分析是個很大的挑戰。

攻擊圖和攻擊路徑等模型過于主觀，不利于在大規模網絡推廣使用，且模型假設過多，在非理想情況下往往會失效，例如許多概率攻擊圖模型假設攻擊者是理性的，而實際情況下攻擊者的攻擊行為可預見性較差，其采用的攻擊手段十分多樣，導致關聯分析結果失效。因此，客觀智能地生成概率攻擊圖是下一步的研究方向。

現有安全事件關聯分析研究沒有利用高層次的關聯分析結果進一步指導基于底層數據的異常檢測實施過程，即沒有對安全事件關聯分析結果進行充分利用。因此，設計基于關聯分析結果的異常檢測指導方法是下一步的研究方向。

6 結束語

利用網絡安全大數據分析方法識別 APT攻擊是APT檢測技術的發展趨勢。本文針對傳統安全檢測工作中各個檢測系統單獨工作的問題，將現有的檢測技術進行有效整合，提出了反饋式系統安全檢測框架，并討論了該框架面臨的主要技術挑戰和發展方向。除技術方面的工作外，各組織能否完善網絡數據和攻擊信息的共享機制，也是影響APT攻擊檢測工作的關鍵所在。

[1] CHEN P, DESMET L, HUYGENS C. A study on advanced persistent threats[A]. Communications and Multimedia Security-15th International Conference[C]. 2014. 63-72.

[2] NIKOS V, DIMITRI G. The big four—what we did wrong in advanced persistent threat detection[A]. International Conference on Availability,Reliability and Security[C]. 2013. 248-254.

[3] YANG G M Z, TIAN Z H, DUAN W L. The prevent of advanced persistent threat[J]. Journal of Chemical and Pharmaceutical Research,2015, 6(1):572-576.

[4] FRIEDBERG I, SKOPIK F, SETTANNI G,et al. Combating advanced persistent threats: from network event correlation to incident detection[J]. Computers & Security, 2015, 48(2):35-57.

[5] BUTT M I A. BIOS integrity: an advanced persistent threat[A]. Conference Proceedings - 2014 Conference on Information Assurance and Cyber Security[C]. 2014. 47-50.

[6] CHRISTOS X, CHRISTOFOROS N. Advanced persistent threat in 3G networks: attacking the home network from roaming networks[J].Computers & Security, 2015, 40(2): 84-94.

[7] ZHAO W T，ZHANG P F，ZHANG F. Extended Petri net-based advanced persistent threat analysis model[J]. Lecture Notes in Electrical Engineering LNEE，2014, 277: 1297-1305.

[8] GIURA P, WANG W. Using large scale distributed computing to unveil advanced persistent threats[J]. Science, 2013, 1(3):93-105.

[9] 王元卓, 靳小龍, 程學旗. 網絡大數據: 現狀與展望[J]. 計算機學報, 2013, 36(6): 1125-1138.WANG Y Z, JIN X L, CHENG X Q. Network big data: present and future[J]. Chinese Journal of Computers, 2013, 36(6): 1125-1138.

[10] NIST. Managing Information Security Risk: Organization, Mission,and Information System View[R]. US Department of Commerce, 2011.

[11] BHATT P, YANO E T, PER G. Towards a framework to detect multi-stage advanced persistent threats attacks[A]. Proceedings IEEE 8th International Symposium on Service Oriented System Engineering[C].2015. 390-395.

[12] 程學旗, 靳小龍, 王元卓, 等. 大數據系統和分析技術綜述[J]. 軟件學報，2014, 25(9):1889-1908.CHEN X Q, JIN X L, WANG Y Z,et al. Survey of big data system and analysis technology[J]. Journal of Software, 2014, 25(9):1889-1908.

[13] 高明, 金澈清, 王曉玲, 等.數據世系管理技術研究綜述[J]. 計算機學報, 2010, 33(3):373-389.GAO M, JIN C Q, WANG X L,et al. Survey of data lineage management technology[J]. Chinese Journal of Computers, 2010, 33(3):373-389.

[14] 馮登國，張敏，李昊. 大數據安全與隱私保護[J]. 計算機學報, 2014,37(1): 476-458.FENG D G, ZHANG M, LI H. Big data security and privacy preserving[J]. Chinese Journal of Computers, 2014, 37(1): 476-458.

[15] LIU S T, CHEN Y M, LIN S J. A novel search engine to uncover potential victims for APT investigations[J]. LNCS, 2013, 8147:405-416.

[16] LIU S T, CHEN Y M, LIN S J. N-victims: an approach to determine n-victims for APT investigations[J]. LNCS，2012, 7690: 226-240.

[17] GIURA P，WANG W. A context-based detection framework for advanced persistent threats[A]. Proceedings of the 2012 ASE International Conference on Cyber Security[C]. New York, 2012. 69-74.

[18] ROSS B. Advanced persistent threats: minimising the damage[J].Network Security, 2014, (4): 5-9.

[19] 王志, 蔡亞運, 劉露, 等. 基于覆蓋率分析的僵尸網絡控制命令發掘方法[J]. 通信學報, 2014, 35(1): 156-166.WANG Z, CAI Y Y, LIU L,et al. Using coverage analysis to extract Botnet command-and-control protocol[J]. Journal on Communications,2014, 35(1): 156-166.

[20] NAMAYANJA J M, JANEJA V P. Discovery of persistent threat structures through temporal and geo-spatial characterization in evolving network[A]. 2013 IEEE International Conference on Intelligence and Security Informatics: Big Data, Emergent Threats, and Decision-Making in Security Informatics[C]. 2013. 191-196.

[21] BODMER S, KILGER M, CARPENTER G,et al. Reverse Deception:Organized Cyber Threat Counter-Exploitation[M]. McGraw-Hill Educationand Post & Telecom Press,2014.

[22] 李鳳海, 李爽, 張佰龍, 等. 高等級安全網絡抗 APT 攻擊方案研究[J]. 信息網絡安全, 2014, (8):109-114.LI F H, LI S, ZHANG B L,et al. An anti-apt scheme research for high-security network[J]. Information Network Security, 2014, (8):109-114.

[23] 杜躍進, 翟立東, 李躍, 等. 一種應對 APT攻擊的安全架構: 異常發現[J]. 計算機研究與發展, 2014, 51(7): 1633-1645.DU Y J, ZHAI L D, LI Y,et al. Security architecture to deal with apt attacks: abnormal discovering[J]. Journal of Computer Research and Development, 2014, 51(7): 1633-1645.

[24] 許婷. 一種有效防范 APT攻擊的網絡安全架構[J]. 信息安全與通信保密, 2013, (6):65-67.XU T. A hierarchical-centralized network security architecture effectively preventing APT attacks[J]. Security of Information and Communication, 2013, (6): 65-67.

[25] 高赟, 周薇, 韓翼中, 等. 一種基于文法壓縮的日志異常檢測算法[J]. 計算機學報, 2014, 37(1): 73-86.GAO Y, ZHOU W, HAN Y Z,et al. An online log anomaly detection method based on grammar compression[J]. Chinese Journal of Computers, 2014, 37(1): 73-86.

[26] RENUKA D S, YOGESH P. A hybrid approach to counter application layer DDoS attacks[J]. International Journal on Cryptography and Information Security, 2012, 2(2): 45-52.

[27] BOLZONI D. ATLANTIDES: an architecture for alert verification in network intrusion detection system[A]. The 21st Large Installation System Administration Conference[C]. Berkeley, 2007. 141-152.

[28] 張玲, 白中英, 羅守山, 等. 基于粗糙集和人工免疫的集成入侵檢測模型[J]. 通信學報, 2013, 34(9): 167-176.ZHANG L, BAI Z Y, LOU S S,et al. Integrated intrusion detection model based on rough set and artificial immune[J]. Journal on Communications, 2013, 34(9): 167-176.

[29] HARVEY N J A, NELSON J, ONAK K. Sketching and streaming entropy via approximation theory[A]. The 49th Annual IEEE Symptom on Foundation of Computer Science[C]. Piscataway, New York 2008. 489-498.

[30] NYCHIS G, SEKAR V, ANDERSEN D G,et al. An empirical evaluation of entropy-based traffic anomaly detection[A]. The 8th ACM SIGCOMM Conference on Int Measurement[C]. New York, 2008.151-156.

[31] 穆祥昆, 王勁松, 薛羽豐, 等. 基于活躍熵的網絡異常流量檢測方法[J]. 通信學報, 2013, 34(Z2): 51-57.MU X K, WANG J S, XUE Y F,et al. Abnormal network traffic detection approach based on alive entropy[J]. Journal on Communications,2013, 34(Z2): 51-57.

[32] 李錦玲, 汪斌強. 基于最大頻繁序列模式挖掘的App-DDoS攻擊的異常檢測[J]. 電子與信息學報, 2013, 35(7): 1739-1745.LI J L, WANG B Q. Detecting app-DDoS attacks based on maximal frequent sequential pattern mining[J]. Journal of Electronics & Information Technology, 2013, 35(7): 1739-1745.

[33] LEUNG K, LECKIE C. Unsupervised anomaly detection in network intrusion detection using clusters[A]. Proc of Australasian Computer Science Conference[C]. Newcastle, NSW, Australia, 2005. 333-342.

[34] RUBINSTEIN B, NELSON B, HUANG L,et al. Stealthy poisoning attacks on PCA-based anomaly detectors[A]. Proceeding of the ACM SIGMETRICS[C]. New York, USA, 2009.73-74.

[35] 唐成華, 劉鵬程, 湯申生, 等. 基于特征選擇的模糊聚類異常入侵行為檢測[J]. 計算機研究與發展, 2015, 52(3):718-728.TANG C H, LIU P C, TANG S S,et al. Anomaly intrusion behavior detection based on fuzzy clustering and features selection[J]. Journal of Computer Research and Development, 2015, 52(3):718-728.

[36] CHANDRASEKAR A, VASUDEVAN V, YOGESH P. Evolutionary approach for network anomaly detection using effective classification[J]. IJCSNS Int Journal of Computer Science and Network Security, 2009, 9(1): 296-302.

[37] 鄭黎明, 鄒鵬, 賈焰, 等. 網絡流量異常檢測中分類器的提取與訓練方法研究[J]. 計算機學報, 2012. 35(4): 719-729.ZHENG L M, ZOU P, JIA Y,et al. How to extract and train the classifier in traffic anomaly detection system[J]. Chinese Journal of Computers, 2012, 35(4): 719-729.

[38] SHINGO M, CHEN C, LU N N. Intrusion-detection model based on fuzzy class-association-rule mining using genetic programming network[J]. IEEE Transaction on Systems, Man, and Cybernetics, 2011,41(1): 130-139.

[39] 王秀利, 王永吉. 基于命令緊密度的用戶偽裝入侵檢測方法[J]. 電子學報, 2014, 42(6): 1225-1229.WANG X L, WANG Y J. Masquerader detection based on command closeness model[J]. Acta Electronica Sinica, 2014, 42(6): 1225-1229.

[40] 楊雅輝, 黃海珍, 沈晴霓, 等. 基于增量式 GHSOM 神經網絡模型的入侵檢測研究[J]. 計算機學報, 2014, 37(5):1216-1224.YANG Y H, HUANG H Z, SHEN Q N,et al. Research on intrusion detection based on incremental GHSOM[J]. Chinese Journal of Computers, 2014, 37(5): 1216-1224.

[41] 武小年, 彭小金, 楊宇洋, 等. 入侵檢測中基于SVM的兩級特征選擇方法[J]. 通信學報, 2015, 36(4):2015127.WU X N, PENG X J, YANG Y Y,et al. Two-level feature selection method based on SVM for intrusion detection[J]. Journal on Communications, 2015, 36(4): 2015127.

[42] YASAMI Y, MOZAFFARI S P. A novel unsupervised classification approach for network anomaly detection byk-means clustering and ID3 decision tree learning methods[J]. Journal of Supercomputing,2010, 53(1): 231-245.

[43] 陸悠, 李偉, 羅軍舟, 等. 一種基于選擇性協同學習的網絡用戶異常行為檢測方法[J]. 計算機學報, 2014, 37(1): 28-40.LU Y, LI W, LUO J Z,et al. A network users abnormal behavior detection approach based on selective collaborative learning[J]. Chinese Journal of Computers, 2014, 37(1): 28-40.

[44] DASH S K, REDDY K S. Adaptive naive Bayes method for masquerade detection[J]. Security and Communications Networks, 2011, 4(4):410-417.

[45] 錢葉魁, 陳鳴, 葉立新. 基于多尺度主成分分析的全網絡異常檢測方法[J]. 軟件學報, 2012, 23(2): 361-377.QIAN Y K, CHEN M, YE L X,et al. Network-wide anomaly detection method based on multiscale principal component analysis[J]. Journal of Software, 2012, 23(2):361-377.

[46] 劉大有, 陳慧靈, 齊紅, 等. 時空數據挖掘研究進展[J]. 計算機研究與發展, 2013, 50(2): 225-239.LIU D Y, CHEN H L, QI H,et al. Advance in spatiotemporal data mining[J]. Journal of Computer Research and Development, 2013,50(2): 225-239.

[47] RINGBERG H, SOULE A, REXFORD J,et al. Sensitivity of PCA for traffic anomaly detection[A]. The ACM SIGMETRICS[C]. New York,2007. 78-89.

[48] BRAUCKHOFF D, SALAMATIAN K, MAY M. Applying PCA for traffic anomaly detection: problems and solutions[A]. The INFOCOM[C]. New York, 2009. 46-53.

[49] RUBINSTEIN B I, NELSON B, HUANG L,et al. Stealthy poisoning attacks on PCA-based anomaly detectors[A]. The ACM SIGMETRICS[C]. New York, 2009.

[50] 鄭黎明, 鄒鵬, 韓偉紅, 等. 基于多維熵值分類的骨干網流量異常檢測研究[J]. 計算機研究與發展, 2012, 49(9): 1972-1981.ZHENG L M, ZOU P, HAN W H,et al. Traffic anomaly detecting using multi-dimensional entropy classification on backbone network[J].Journal of Computer Research and Development, 2012, 49(9):1972-1981.

[51] NOBLE C C, COOK D J. Graph-based anomaly detection[A]. Proc of ACM International Conference on Knowledge Discovery and Data Mining (SIGKDD)[C]. San Diego, CA, USA, 2003.631-636.

[52] EBERLE W, GRAVES J, HOLDER L. Insider threat detection using a graph-based approach[J]. Journal of Applied Security Research, 2010,6(1): 32-81.

[53] EBERLE W, HOLDER L. Anomaly detection in data represented as graphs[J]. Intelligent Data Analysis, 2007, 11(6): 663-689.

[54] ILIOFOTOU M, PAPPU P, FALOUTSOS M,et al. Network monitoring using traffic dispersion graphs(TDGs)[A]. Proc of ACM SIGCOMM Internet Measurement Workshop (IMC)[C]. Kyoto, Japan,2007. 315-320.

[55] LE D Q, JEONG T, ROMAN H E,et al. Traffic dispersion graph based anomaly detection[A]. Proc of International Symposium on Information and Communication Technology[C]. Hanoi, Vietnam, 2011.36-41.

[56] JIN Y, SHARAFUDDIN E, ZHANG Z. Unveiling core network-wide communication patterns through application traffic activity graph decomposition[A]. Proc of ACM SIGMETRICS[C]. Seattle, WA, USA,2009. 49-60.

[57] 李濤. 數據挖掘的應用與實踐[M]. 廈門: 廈門大學出版社, 2013.LI T. Application and Practice of Data Mining[M]. Xiamen: Press of Xiamen University, 2013.

[58] 崔競松, 郭遲, 陳龍, 等. 創建軟件定義網絡中的進程級縱深防御體系結構[J]. 軟件學報, 2014, 25(10): 2251-2265.CUI J S, GUO C, CHEN L,et al. Establishing process-level defense-in-depth framework for software defined networks[J]. Journal of Software, 2014, 25(10): 2251-2265.

[59] 楊歡, 張玉清, 胡予濮, 等. 基于權限頻繁模式挖掘算法的 Android 惡意應用檢測方法[J]. 通信學報, 2013, 34(Z1): 106-115.YANG H, ZHANG Y Q, HU Y P,et al. Android malware detection method based on permission sequential pattern mining algorithm[J].Journal on Communications, 2013. 34(Z1): 106-115.

[60] ZHOU Y J, WANG Z, ZHOU W,et al. 2012 Hey, you, get off of my market: detecting malicious apps in official and alternative Android markets[A]. The 19th Annual Network & Distributed System Security Symposium[C]. 2012. 1-13.

[61] CONTI G, BRATUS S, SANGSTER B,et al. Automated mapping of large binary objects using primitive fragment type classification[J].Digital Forensics Research Conference (DFRWS), 2010, 7:3-12.

[62] SHABTAI A, KANONOY U, ELOVICI Y,et al. Andromaly: a behavioral malware detection framework for Android devices[J]. Journal of Intelligent Information Systems, 2012, 38(1): 161-190.

[63] 李挺, 董航, 袁春陽, 等. 基于 Dalvik指令的 Android惡意代碼特征描述及驗證[J]. 計算機研究與發展, 2014, 51(7): 1458-1466.LI T, DONG H, YUAN C Y,et al. Description of android malware feature based on dalvik instructions[J]. Journal of Computer Research and Development, 2014, 51(7): 1458-1466.

[64] ZHOU Y J, JIANG X X. Dissecting Android malware: characterization and evolution[A]. Proceedings of the 33rd IEEE Symposium on Security and Privacy[C]. Oakland, USA, 2012. 95-109.

[65] KANCHERLA K, MUKKAMALA S. Image visualization based malware detection[A]. Computational Intelligence in Cyber Security(CICS)[C]. Singapore, 2013.40-44.

[66] 韓曉光, 曲武, 姚宣霞, 等. 基于紋理指紋的惡意代碼變種檢測方法研究[J]. 通信學報, 2014, 35(8): 125-136.HAN X G, QU W, YAO X X,et al. Research on malicious code variants detection based on texture fingerprint[J]. Journal on Communications, 2014, 35(8): 125-136.

[67] GOODALL J H, RANDWAN H, HALSETH L. Visual analysis of code security[A]. International Workshop on Visualization for Cyber Security (VizSec)[C]. Ottawa, Canada, 2010.46-51.

[68] 蔣鴻玲, 邵秀麗, 李耀芳. 基于MapReduce的僵尸網絡在線檢測算法[J]. 電子與信息學報, 2013, 35(7): 1732-1738.JIANG H L, SHAO X L, LI Y F. Online botnet detection algorithm using mapReduce[J]. Journal of Electronics & Information Technology,2013, 35(7): 1732-1738.

[69] 劉豫, 聶眉寧, 蘇璞睿, 等. 基于可回溯動態污點分析的攻擊特征生成方法[J]. 通信學報, 2012, 33(5): 21-28.LIU Y, NIE M N, SU P R,et al. Attack signature generation by traceable dynamic taint analysis[J]. Journal on Communications, 2012. 33(5):21-28.

[70] WU D J, MAO C H, WEI T E,et al. DroidMat: Android malware detection through manifest and API calls tracing[A]. Proceedings of the Seventh Asia Joint Conference on Information Security Asia JCIS 2012[C]. Tokyo, Japan, 2012. 62-69.

[71] 朱克楠, 尹寶林, 冒亞明, 等. 基于有效窗口和樸素貝葉斯的惡意代碼分類[J]. 計算機研究與發展, 2014, 51(2): 373-381.ZHU K N, YIN B L, MAO Y M,et al. Malware classification approach based on valid window and naive Bayes[J]. Journal on Computer Research and Development, 2014, 51(2): 373-381.

[72] NATARAJ L, KARTHIKEYAN S, JACOB G,et al. Malware images:visualization and automatic classification[A]. Viz-Sec[C]. Pittsburgh,USA, 2011.4.

[73] NATARAJ L, YEGNESWARAN V, PORRAS P,et al. A comparative assessment of malware classification using binary texture analysis and dynamic analysis[A]. The 4th ACM Workshop on Security and Artificial Intelligence[C]. Chicago, USA, 2011.21-30.

[74] 徐小琳, 云曉春, 周勇林, 等. 基于特征聚類的海量惡意代碼自動分析模型[J]. 通信學報, 2013, 34(8): 146-453.XU X L, YUN X C, ZHOU Y L,et al. Online analytical model of massive malware based on feature clustering[J]. Journal on Communications, 2013, 34(8): 146-453.

[75] LI P, LIU L, GAO D,et al. On challenges in evaluating malware clustering[A]. Recent Advances in Intrusion Detection[C]. Ottawa,Canada, 2010. 238-255.

[76] 楊歡, 張玉清, 胡予濮, 等. 基于多類特征的 Android應用惡意行為檢測系統[J]. 計算機學報, 2014, 37(1): 15-27.YANG H, ZHANG Y Q, HU Y P,et al. A malware behavior detection system of android application based on multi-class features[J]. Chinese Journal of Computers, 2014, 37(1): 15-27.

[77] MISLOVE A, VISWANATH B, GUMMADI K P. You are who you know: inferring user profiles in online social networks[A]. ACM International Conference on Web Search and Data Mining[C]. New York,USA, 2010.4-6.

[78] 丁宇新, 肖驍, 吳美晶, 等. 基于半監督學習的社交網絡用戶屬性預測[J]. 通信學報, 2014, 35(8): 15-22.DING Y X, XIAO J, WU M J,et al. Predicting users’profiles in social network based on semi-supervised learning[J]. Journal on Communications, 2014, 35(8): 15-22.

[79] AMGAD M, TAREK H, AHMED H,et al. Using semantic features to detect spamming in social bookmarking systems[A]. ECML PKDD Discovery Challenge Workshop[C]. 2008.55-62.

[80] ZHELEVA E, GETOOR L. To join or not to join: the illusion of privacy in social networks with mixed public and private user profiles[A].The 19th International Conference on World Wide Web[C]. Madrid,Spain, 2009.531-540.

[81] 劉瑤. 社會網絡特征分析與社團結構挖掘[D]. 成都: 電子科技大學, 2013.LIU Y. A Study of Feature Analysis and Community Mining in Social Networks[D]. Chengdu: University of Electronic Science and Technology of China, 2013.

[82] LINDAMOOD J, HEATHERLY R, KANTARCIOGLU M,et al.Inferring private information using social network data[A]. International Conference on World Wide Web[C]. Madrid, Spain,2009.123-130.

[83] 李躍, 翟立東, 王宏霞, 等. 一種基于社交網絡的移動僵尸網絡研究[J]. 計算機研究與發展, 2012, 49(Suppl): 1-8.LI Y, ZHAI L D, WANG H X,et al. Mobile botnet based on SNS[J].Journal of Computer Research and Development, 2012, 49(Suppl):1-8.

[84] YU H, SHI C W, KAMINSKY M,et al. DSybil: optimal sybil-resistance for recommendation systems[A]. IEEE Symposium on Security and Privacy[C]. 2009. 283-298.

[85] 李陽, 王曉巖, 王昆, 等. 基于社交網絡的安全關系研究[J]. 計算機研究與發展, 2012, 49(Suppl): 124-130.LI Y, WANG X Y, WANG K,et al. Security relationship based on social network[J]. Journal of Computer Research and Development,2012, 49(Suppl): 124-130.

[86] 王永剛. 以數據為中心的在線社會網絡若干安全問題研究[D]. 北京: 北京大學, 2013.WANG Y G. Data-centric Research on Several Security Problems in Online Social Networks[D]. Beijing: Peking University, 2013.

[87] KIM C, HWANG K B . Naive Bayes classifier learning with feature selection for spam detection in social bookmarking[A]. ECML PKDD Discovery Challenge Workshop[C]. 2008. 32-37.

[88] 葛琳, 季新生, 江濤, 等. 基于關聯規則的網絡信息內容安全事件發現及其 Map-Reduce實現[J]. 電子與信息學報, 2014, 36(8):1831-1837.GE L, JI X S, JIANG T,et al. Discovery of network information content security incidents based on association rules and its implementation in Map-Reduce[J]. Journal of Electronics & Information Technology, 2014, 36(8):1831-1837.

[89] TALEL A, IMEN B D. A reachability-based access control model for online social networks[A]. Databases and Social Networks[C]. New York, USA, 2011, 31-36.

[90] 王風宇, 曹首峰, 肖軍, 等. 一種基于Web群體外聯行為的應用層DDoS檢測方法[J]. 軟件學報, 2013, 24(6): 1263-1273.WANG F Y, CAO S F, XIAO J,et al. Method of detecting application-layer DDoS based on the out-linking behavior of Web community[J]. Journal of Software, 2013, 24(6): 1263-1273.

[91] XU W, ZHOU X. Inferring privacy information via social relations[A].IEEE 24th International Conference on Data Engineering workshop[C].Cancun, Mexico, 2008.525-530.

[92] WANG Y G , ZHAI E N , CAO C,et al. DSpam: defending against spam in tagging systems via users’ reliability[A]. ICPADS[C]. 2010.139-146.

[93] 韓心慧, 肖祥全, 張建宇, 等. 基于社交關系的DHT網絡 Sybil攻擊防御[J]. 清華大學學報（自然科學版）, 2014, 54(1): 1-7.HAN X H, XIAO X Q, ZHANG J Y,et al. Method of detecting application-layer DDoS based on the out-linking behavior of Web community[J]. Journal of Tsinghua University(Sci & Tech), 2014, 54(1): 1-7.

[94] 丁兆云, 賈焰, 周斌, 等. 微博數據挖掘研究綜述[J]. 計算機研究與發展, 2014, 51(4): 691-706.DING S Y, JIA Y, ZHOU B,et al. Survey of data mining of microblogs[J]. Journal of Computer Research and Development, 2014, 51(4):691-706.

[95] MO M, WANG D. Exploit of online social networks with semi-supervised learning[A]. IEEE World Congress on Computational Intelligence[C]. Barcelona, Spain, 2010. 18-23.

[96] 李全剛, 時金橋, 秦志光, 等. 面向郵件網絡事件檢測的用戶行為模式挖掘[J]. 計算機學報, 2014, 37(5): 1135-1146.LI Q G, SHI J Q, QIN Z G,et al. Mining user behavior patterns for event detection in email networks[J]. Chinese Journal of Computers,2014, 37(5): 1135-1146.

[97] DHANAKOTI V, NEDUNCHEZHIAN R,et al. Correlated alerts and non-intrusive alerts [J]. Journal of Control Engineering and Applied Informatics. 2012, 14 (4): 3-9.

[98] ELSHOUSH H T, OSMAN I M. Alert correlation in collaborative intelligent intrusion detection systems a survey [J]. Applied Soft Computing, 2011, 11(7): 4349-4365.

[99] 張怡, 趙凱. 警報關聯圖: 一種網絡脆弱性量化評估的新方法[J].國防科技大學學報, 2012, 34(3): 109-112.ZHANG Y, ZHAO K. Alert correlation graph: a new method to evaluate the vulnerability of networks[J]. Journal of Defense Sci & Tech University, 2012, 34(3): 109-112.

[100] 田志宏, 王佰玲, 張偉哲, 等. 基于上下文驗證的網絡入侵檢測模型[J]. 計算機研究與發展, 2013, 50(3): 498-508.TIAN Z H, WANG B L, ZHANG W Z,et al. Network intrusion detection model based on context verification[J]. Journal of Computer Research and Development, 2013, 50(3): 498-508.

[101] ROSCHKE S, CHENG F, MEINEL C. A flexible and efficient alert correlation platform for distributed IDS [A]. The 4th International Conference on Network and System Security (NSS'10)[C]. Melbourne, Australia, 2010.24-31.

[102] 周穎杰. 基于行為分析的通信網絡流量異常檢測與關聯分析[D].成都: 電子科技大學.ZHOU Y J. Behavior Analysis Based Traffic Anomaly Detection and Correlation Analysis for Communication Networks[D]. Chengdu:University of Electronic Science and Technology of China.

[103] VALDES A, SKINNER K. Probabilistic alert correlation[A]. Proc of RAID 2001[C]. Heidelberg, 2001. 54-68.

[104] 穆成坡, 黃厚寬, 田盛豐, 等. 基于模糊綜合評判的入侵檢測報警信息處理[J]. 計算機研究與發展, 2005, 42(10): 1679-1685.MU C P, HUANG H K, TIAN S F,et al. Intrusion-detection alerts processing based on fuzzy comprehensive evaluation[J]. Journal of Computer Research and Development, 2005, 42(10): 1679-1685.

[105] 郭帆, 余敏, 葉繼華. 一種基于分類和相似度的報警聚合方法[J].計算機應用, 2007, 27(10): 2446-2449.GUO F, YU M, YE J H. Alert aggregation algorithm based on category and similarity[J]. Computer Applications, 2007, 27(10):2446-2449.

[106] RAJAB M A, ZARFOSS J, MONROSE F,et al. My botnet is bigger than yours (maybe, better than yours): why size estimates remain challenging[A]. The 1st Conference on First Workshop on Hot Topics in Understanding Botnets[C]. Cambridge, MA, USA, 2007. 5.

[107] ZOU C, CUNNINGHAM R. Honeypot-aware advanced botnet construction and maintenance[A]. The 2006 International Conference on Dependable Systems and Networks (DSN.06)[C]. Philadelphia, PA,2006. 199-208.

[108] 李喬, 何慧, 方濱興, 等. 基于信任的網絡群體異常行為發現[J].計算機學報, 2014. 37(1): 1-14.LI Q, HE H, FANG B X,et al. Awareness of the network group anomalous behaviors based on network trust[J]. Chinese Journal of Computers, 2014. 37(1): 1-14.

[109] 何毓錕, 李強, 嵇躍德, 等. 一種關聯網絡和主機行為的延遲僵尸檢測方法[J]. 計算機學報, 2014. 37(1): 50-61.HE Y K, LI Q, JI Y D,et al. Detecting response-delayed bot by correlating host behavior and network activity[J]. Chinese Journal of Computers, 2014, 37(1): 50-61.

[110] OLIVA I P, DIMITROPOULOS X, MOLINA M,et al. Automating root-cause analysis of network anomalies using frequent itemset mining[A]. Proc of ACM SIGCOMM[C]. New Delhi, India, 2010.467-468.

[111] DUFFIELD N, HAFFNER P, KRISHNAMURTHY B,et al.Rule-based anomaly detection on IP flows[A]. Proc of IEEE INFOCOM[C]. Rio de Janeiro, Brazil, 2009. 424-432.

[112] GIACOBE N A. Application of the JDL data fusion process model for cyber security[A]. In SPIE Defense, Security, and Sensing[C]. 2010.

[113] 臧天寧, 云曉春, 張永錚, 等. 網絡設備協同聯動模型[J]. 計算機學報, 2011, 34(2): 216-228.ZANG T N, YUN X C, ZHANG Y Z,et al. A model of network device coordinative run[J]. Chinese Journal of Computers, 2011, 34(2):216-228.

[114] 劉烴, 趙宇辰, 劉楊, 等. 基于報警數據融合的智能電網攻擊檢測方法[J]. 山東大學學報（理學版）, 2014, 49(9): 35-40.LIU T, ZHAO Y C, LIU Y,et al. An alert fusion-based smart grid attack detection method[J]. Journal of Shandong University, 2014,49(9): 35-40.

[115] NING P, CUI Y, REEVES D S. Analyzing intensive intrusion alerts via correlation[A]. Proc of International Symposium on Recent Advances in Intrusion Detection (RAID)[C]. Zurich, Switzerland, 2002.74-94.

[116] NING P, CUI Y, REEVES D,et al. Tools and techniques for analyzing intrusion alerts[J]. ACM Transactions on Information and System Security, 2004, 7(2): 273-318.

[117] 呂慧穎, 彭武, 王瑞梅, 等. 基于時空關聯分析的網絡實時威脅識別與評估[J]. 計算機研究與發展, 2014, 51(5): 1039-1049.LU H Y, PENG W, WANG R M,et al. A real-time network threat recognition and assessment method based on association analysis of time and space[J]. Journal of Computer Research and Development,2014, 51(5): 1039-1049.

[118] 陳小軍, 時金橋, 徐菲, 等. 面向內部威脅的最優安全策略算法研究[J]. 計算機研究與發展, 2014, 51(7): 1565-1577.CHEN X J, SHI J Q, XU F,et al. Algorithm of optimal security hardening measures against insider threat[J]. Journal of Computer Research and Development, 2014, 51(7): 1565-1577.

[119] CHEN X, LI Y. Network security evaluation based on support vector machine[A]. The 2nd International Conference on Green Communication sand Networks[C]. Chongqing, China, 2015. 43-49.

[120] DAGON D, ZOU C, LEE W. Modeling botnet propagation using time zones[A]. The 13th Annual Network and Distributed System Security Symposium (NDSS 2006)[C]. San Diego, CA, 2006. 235-249.

[121] 陳小軍, 方濱興, 譚慶豐, 等. 基于概率攻擊圖的內部攻擊意圖推斷算法研究[J]. 計算機學報, 2014, 37(1): 62-72.CHEN X J, FANG B X, TAN Q F,et al. Inferring attack intent of malicious insider based on probabilistic attack graph model[J]. Chinese Journal of Computers, 2014, 37(1): 62-72.

[122] 孟小峰, 張嘯劍. 大數據隱私管理[J]. 計算機研究與發展, 2015,52(2): 265-281.MENG X F, ZHANG X J. Big data privacy management[J]. Journal of Computer Research and Development, 2015, 52(2):265-281.

[123] 張嘯劍, 孟小峰. 面向數據發布和分析的差分隱私保護[J]. 計算機學報, 2014, 37(4):927-949.ZHANG X J, MENG X F. Differential privacy in data publication and analysis[J]. Chinese Journal of Computers, 2014, 37(4):927-949.

[124] DWORK C. A firm foundation for private data analysis[J]. Communications of the ACM, 2011, 54(1): 86-95.