一种基于网络流量风险数据聚类的APT攻击溯源方法

摘要

当今世界正值百年未有之大变局，网络空间成为继陆、海、空、天之后的第五大疆域，安全威胁也随之延伸至网络空间。没有网络安全就没有国家安全，在新时代网络空间安全已经上升至国家安全的高度。高级持续性威胁(Advanced Persistent Threat，APT)攻击是网络空间中威胁最大的一种攻击，其危害性大、隐蔽性强、持续时间长。考虑到APT攻击的溯源一直是网络空间攻防中极为重要的一环，提出了一种基于网络流量风险数据聚类的APT攻击溯源方法。首先介绍了所提方法的工作流程，其次对流程中的风险数据聚类算法进行了详细介绍，最后通过实验验证了所提方法的有效性。

内容目录：

1　传统的 APT 攻击溯源方法

1.1　基于日志记录的溯源

1.2　基于包标记技术的溯源

1.3　基于主动感知数据的溯源方法

2　基于网络流量风险数据的溯源方法

2.1　溯源框架

2.2　聚类算法模型

2.2.1　定义

2.2.2　数学模型

2.2.3　聚类算法

2.3　实　验

2.3.1　场景设计

2.3.2　结果评判标准

2.3.3　结果分析

3　结　语

高级持续性威胁(Advanced Persistent Threat，APT)攻击是指攻击者使用多种先进手段，对特定目标展开的持续的、高威胁性的网络攻击活动，它有3个重要特征：(1)攻击能力强，这体现了APT中的A(既先进性)这一方面；(2)持续时间长，这体现了APT中的P(即持续性)这一方面；(3)目标特定，危害程度大，这体现了APT中T(即威胁性)这一方面。这种攻击活动的发起者往往具有较强的