摘要：随着网络技术的快速发展,网络世界攻防对垒愈发激烈,高级网络威胁行为层出不穷,但目前网安分析人员在实际运维中对多步攻击行为的过程描述仍存在一定差异,造成了巨大的语义沟通成本。为了解决在网络高级威胁检测中的这一痛点问题,采用ATT&CK网络对抗行为框架作为多步攻击行为的统一描述语言,设计实现了一套基于事件序列关联的网络高级威胁检测系统,通过事件序列关联模型可以实现对多步攻击行为的有效检测,并通过ATT&CK攻击矩阵可视化呈现,有助于分析人员明晰恶意攻击的手段、策略及目的,分析人员通过检测系统呈现出的技术和战术,采取相应的防御措施,能够降低攻击者的攻击效果。实验结果表明,检测系统检出率可达96.43%,对网络攻击事件中的分析人员解决“防守困境”具有极大的现实意义。

摘要：高级持续威胁(APT,advanced persistent threats)会使用漏洞实现攻击代码的自动加载和攻击行为的隐藏,并通过复用代码攻击绕过堆栈的不可执行限制,这是网络安全的重要威胁。传统的控制流完整性和地址随机化技术虽然有效抑制了APT的步伐,但软件的复杂性和攻击演化使软件仍存在被攻击的时间窗口。为此,以资源为诱饵的诱捕防御是确保网络安全的必要补充。诱捕机制包含诱饵设计和攻击检测两部分,通过感知与诱饵的交互行为,推断可能的未授权访问或者恶意攻击。针对文件、数据、代码3种诱饵类型,设计诱饵的自动构造方案并进行部署,从真实性、可检测性、诱惑性等方面对诱饵的有效程度进行度量。基于诱捕防御的勒索软件检测注重诱饵文件的部署位置,在漏洞检测领域,通过注入诱饵代码来检测代码复用攻击。介绍了在APT攻击各个阶段实施诱捕防御的相关研究工作,从诱饵类型、诱饵生成、诱饵部署、诱饵度量方面刻画了诱捕防御的机理;同时,剖析了诱捕防御在勒索软件检测、漏洞检测、Web安全方面的应用。针对现有的勒索软件检测研究在诱饵文件设计与部署方面的不足,提出了用于检测勒索软件的诱饵动态更新方法。讨论了诱捕防御面临的挑战,希望诱捕防御可以为发现未知攻击、溯源攻击意图提供理论和技术支持。

摘要：网络空间已逐渐演变为一个虚拟战场,网络空间的较量是决定一个国家话语权的重要筹码。下一代威胁从某种意义代表着网络空间较量的重要技术指标。文章论述了下一代威胁的特点和关键属性,分析了其绕过传统的安全防御体系的原因,设计了面向下一代威胁的安全框架。该框架从技术工具、安全服务、数据共享三个维度进行全方面论述,尤其基于未知威胁的识别技术、具有大数据特征的数据共享及持续性的威胁检测是面向下一代威胁框架的关键要素。应用实践表明文中提出的面向下一代威胁的安全框架是应对下一代威胁的有效手段。