典型文献
基于攻击流量自生成的DNS隐蔽信道检测方法
文献摘要:
高级持续性威胁(Advanced Persistent Threat,APT)是当前最为严重的网络安全威胁之一.DNS隐蔽信道(DNS Covert Channel,DCC)由于其泛在性、隐蔽性成为攻击者手中理想的秘密信息传输通道,受到诸多APT组织的青睐.人工智能赋能的DCC检测方法逐步流行,但APT攻击相关恶意样本获取难、活性低等原因造成训练数据不平衡问题明显,严重影响了模型的检测性能.同时,已有检测工作使用DCC工具流量及少数恶意样本来评估系统,测试集覆盖范围有限,无法对系统进行全面、有效的评估.针对上述问题,本文基于攻击战术、技术和程序(Tactics,Techniques,and Procedures,TTPs)设计DCC流量生成框架并生成完备度可控的、覆盖大样本空间的、大数据量的恶意流量数据集.基于本研究生成的数据集,训练可解释性较强的机器学习模型,提出基于攻击流量自生成的DCC检测系统——DCCHunter.本研究收集了 8个DCC恶意软件流量样本,复现了已被APT组织恶意运用的3个DCC工具产生流量,基于上述真实恶意样本评估系统对其未知的、真实的DCC攻击的检测能力.结果发现,系统对DCC的召回率可达99.80%,对数以亿计流量的误报率为0.29%.
文献关键词:
DNS隐蔽信道检测;数据不平衡;攻击流量自生成;恶意软件;未知样本
中图分类号:
作者姓名:
刁嘉文;方滨兴;田志宏;王忠儒;宋首友;王田;崔翔
作者机构:
北京邮电大学网络空间安全学院可信分布式计算与服务教育部重点实验室 北京 100876;广州大学网络空间先进技术研究院 广州 510006;中国网络空间研究院 北京 100010;北京丁牛科技有限公司 北京 100081;丁牛信息安全科技(江苏)有限公司 江苏南通 226014
文献出处:
引用格式:
[1]刁嘉文;方滨兴;田志宏;王忠儒;宋首友;王田;崔翔-.基于攻击流量自生成的DNS隐蔽信道检测方法)[J].计算机学报,2022(10):2190-2206
A类:
攻击流量自生成,TTPs,DCCHunter
B类:
DNS,隐蔽信道,高级持续性威胁,Advanced,Persistent,Threat,APT,网络安全威胁,Covert,Channel,泛在性,隐蔽性,攻击者,手中,秘密,密信,信息传输,传输通道,智能赋能,恶意样本,训练数据,数据不平衡,不平衡问题,检测性能,检测工作,评估系统,测试集,覆盖范围,战术,Tactics,Techniques,Procedures,大样本,样本空间,大数据量,恶意流量,流量数据,可解释性,机器学习模型,恶意软件,复现,检测能力,召回率,数以亿计,误报率,未知样本
AB值:
0.378645
相似文献
机标中图分类号,由域田数据科技根据网络公开资料自动分析生成,仅供学习研究参考。
