LDA模型下的APT通信日志特征研究

摘要

随着信息交互的速度越来越快，社会信息化程度不断的提升，传统的网络安全技术已经无法满足这个时代的需求。尤其对于APT攻击检测技术，至今也没有一个完善的检测方法。如何才能使网络能够更好地抵御攻击，保证信息安全，是网络安全专家们最为关注的问题。
　　高级持续性威胁APT（Advanced Persist Threat）是现在黑客攻击的一种新型手段，大多应用在大型组织、重要能源部门或者政府机构。因此，这种行为给网络信息安全带来了特别大危害。现有的国防科研手段落后，目前的研究大多集中于使用一个特定的漏洞和防范，对现有的防御系统缺乏更全面的研究存在不足之处，而现有的APT防御手段也存在很多问题。课题以网络信息安全、网络攻击、网络攻击的防御策略的技术理论作为指导，深入分析APT通信的特点，找寻其通信规律，进而发现通过利用大规模数据的优势可以构造一个全面的、高效的检测模型，从而弥补传统方法和模型在面对APT攻击异常检测上的不足。同时，将大数据与APT攻击检测联系起来也是一次新的尝试，为以后的研究提供了新的思路。
　　本文采用的APT攻击检测方法通过互联网、行业内的最新进展等相关途径获得的最新APT通信信息的文献和资料，分析出APT通信日志的出十四种异常特征。在小型局域网实验室中，通过收集网络端与主机端的通信日志文件，利用DBSCAN聚类算法将收集的日志文件进行压缩处理。对网络地址与主机对应上提出建立IP地址数据库解决了日志与主机映射的难点。在对日志与异常检测结合上，引进LDA文本挖掘模型构建新的APT通信异常检测分类算法。该模型是三层贝叶斯模型，在对文档语义分析上有非常好的效果。最后，针对APT通信日志进行一周的实验，把实验获得的结果和信息整理成文章，再将得出的全新的预防APT攻击的理论和技术放到真实的网络中，通过不断地实验、记录和观察完善现有的理论；并且，使本文的理论能够很好地应用到实际生活和工作中。

目录

封面

声明

中文摘要

英文摘要

目录

第1章 绪论

1.1 课题研究的背景和意义

1.2 国内外在防御APT攻击方向的研究现状与展望

1.3 课题来源与研究内容

第2章 相关技术概述

2.1 聚类分析与密度算法

2.2 主题语义模型特征描述

2.3 本章小结

第3章 APT通信日志特征描述

3.1 引言

3.2 基于目的特征

3.3 基于主机特征

3.4 基于策略特征

3.5 基于流量特征

3.6 本章小结

第4章 基于LDA模型的APT通信日志检测

4.1 通信日志的来源及处理

4.2 基于APT通信特征的LDA建模方法

4.3 本章小结

第5章 仿真及实验结果分析

5.1 实验环境及数据来源

5.2 实验过程和结果

5.3 算法性能比较

5.4 本章小结

结论

参考文献

攻读硕士学位期间所发表的学术论文

致谢