基于DNS流量和威胁情报的APT检测

摘要

高级持续性威胁(Advanced Persistent Threat,APT)攻击是经过精心策划的高隐蔽性攻击,具有较高的检测难度.但是在APT攻击过程中,内外网通信是必不可少的一环,攻击者往往采用C&C服务器方式或是DNS隐蔽信道方式进行通信.针对在APT攻击中广泛采用的几种隐蔽通信手段,结合了机器学习和威胁情报技术对DNS流量进行分析,在现有研究基础上,提出了新的基于威胁情报库的自进化检测算法,并取得较好的检测效果.