现代网络安全架构异常行为分析模型研究

doi:10.3969/j.issn.1671-1122.2015.09.004

信息网络安全 ›› 2015, Vol. 15 ›› Issue (9): 15-19.doi: 10.3969/j.issn.1671-1122.2015.09.004

现代网络安全架构异常行为分析模型研究

尚进(), 谢军, 蒋东毅, 陈怀临

北京山石网科信息技术有限公司,北京100084

收稿日期:2015-07-15 出版日期:2015-09-01 发布日期:2015-11-13
作者简介:
作者简介：尚进（1972-）,男,辽宁,高级工程师,博士,主要研究方向：网络安全;谢军（1975- ）,男,江西,高级工程师,硕士,主要研究方向：网络安全;蒋东毅（1965-）,男,辽宁,高级工程师,硕士,主要研究方向：网络安全;陈怀临（1970-）,男,江西,高级工程师,博士,主要研究方向：网络安全。

Research on Abnormal Behavior Analysis of Modern Networking Security Architecture

Jin SHANG(), Jun XIE, Dong-yi JIANG, Huai-lin CHEN

Beijing Hillstone Networks Co., Ltd., Beijing 100084, China

Received:2015-07-15 Online:2015-09-01 Published:2015-11-13

摘要/Abstract

摘要：

近年来国内外发生多起大规模网络攻击和泄露事件,同时零日攻击、高级持续威胁（APT）等攻击方式的出现和日益普遍,促使基于全面多阶段的网络杀伤链的网络安全防护架构产生并迅速被众多厂商采用和推广,该架构中对主机网络异常行为的分析成为对恶意软件的大量变种入侵后及时检测的关键技术。以往的异常行为分析模型算法单一,缺乏对间接维度、时序关联的考虑。文章提出一种自适应网络异常的数据分析模型,可分析具有单一特性和分布特性的网络维度,并考虑了时间和时域多周期对网络维度的影响。应用该模型的产品易于管理,异常和攻击行为识别准确,可较好地提升网络杀伤链的分析准确性。

关键词: 网络杀伤链, 数据分析, 异常行为分析, 网络维度, 恶意软件

Abstract:

Recently, due to the occurrence of a series of large scale of attack and data leaking affections, and the common of zero-day and APT attacks, the networking security architecture using cyber kill chain based on multi-stages emerges and is widely used in industry. The network abnormal behavior analysis is the key technology to detect the mass variants of malwares that intrude in the architecture. Most of existing abnormal behavior analysis models uses the simple algorithm without considering temporal association, indirect dimension, etc. This paper proposes an adaptive networking abnormal analysis model which applies into single and distribution dimensions, and considers time and periodic affections. This model has better usability and more accurate abnormal detection results, and can help a lot on overall analysis results by using cyber kill chain.

Key words: cyber kill chain, data analysis, abnormal behavior analysis, malware

中图分类号:

TP309

尚进, 谢军, 蒋东毅, 陈怀临. 现代网络安全架构异常行为分析模型研究[J]. 信息网络安全, 2015, 15(9): 15-19.

Jin SHANG, Jun XIE, Dong-yi JIANG, Huai-lin CHEN. Research on Abnormal Behavior Analysis of Modern Networking Security Architecture[J]. Netinfo Security, 2015, 15(9): 15-19.

图/表 10

图1

图2

图3

图4

图5

图6

图7

图8

图9

图10

参考文献 7

[1]	Ioan-Cosmin MIHAI,Ștefan PRUNĂ,Ionuț-Daniel BARBU. Cyber Kill Chain Analysis[EB/OL]..
[2]	赵洋,胡龙,熊虎,等. 基于沙盒的Android恶意软件动态分析方案[J]. 信息网络安全,2014,(12):21-26.
[3]	Schwartz, Matthew. Beyond Firewalls and IPS: Monitoring Network Behavior[EB/OL]..
[4]	Ahmed Youssef, Ahmed Emam.network intrusion detection using data mining and network behaviour analysis[EB/OL]..
[5]	姬炳帅,李虎,韩伟红,等. 面向电子商务的用户异常行为检测研究[J]. 信息网络安全,2014,(9):80-85.
[6]	Conry-Murray.Anomaly Detection On the Rise[EB/OL]. .
[7]	王景中,徐友强. 基于RBF神经网络的HTTP异常行为自动识别方法[J]. 信息网络安全,2014,(12):16-20.

[1]	侯留洋, 罗森林, 潘丽敏, 张笈. 融合多特征的Android恶意软件检测方法[J]. 信息网络安全, 2020, 20(1): 67-74.
[2]	宋鑫, 赵楷, 张琳琳, 方文波. 基于随机森林的Android恶意软件检测方法研究[J]. 信息网络安全, 2019, 19(9): 1-5.
[3]	冯胥睿瑞, 刘嘉勇, 程芃森. 基于特征提取的恶意软件行为及能力分析方法研究[J]. 信息网络安全, 2019, 19(12): 72-78.
[4]	张健, 陈博翰, 宫良一, 顾兆军. 基于图像分析的恶意软件检测技术研究[J]. 信息网络安全, 2019, 19(10): 24-31.
[5]	付戈, 张欣华, 李超. 面向多应用多租户的消息数据订阅关键技术研究[J]. 信息网络安全, 2017, 17(11): 44-49.
[6]	张健, 王文旭, 牛鹏飞, 顾兆军. 恶意软件防治产品与服务评测体系研究[J]. 信息网络安全, 2016, 16(9): 113-117.
[7]	丁庸, 曹伟, 罗森林. 基于LKM系统调用劫持的恶意软件行为监控技术研究[J]. 信息网络安全, 2016, 16(4): 1-8.
[8]	林佳萍, 李晖. 安卓恶意软件检测研究综述[J]. 信息网络安全, 2016, 16(10): 80-88.
[9]	树雅倩, 付安民, 黄振涛. 基于云平台的移动支付类恶意软件检测系统的设计与实现[J]. 信息网络安全, 2016, 16(1): 59-63.
[10]	黄世锋, 郭亚军, 崔建群, 曾庆江. 基于优化模糊C均值的手机恶意软件检测[J]. 信息网络安全, 2016, 16(1): 45-50.
[11]	郑生军, 郭龙华, 陈建, 南淑君. 基于虚拟执行技术的高级恶意软件攻击在线检测系统[J]. 信息网络安全, 2016, 16(1): 29-33.
[12]	李汶洋. Android操作系统恶意软件检测技术研究[J]. 信息网络安全, 2015, 15(9): 62-65.
[13]	李建熠, 李晖, 黄梦媛. 基于内核日志的移动终端恶意软件检测[J]. 信息网络安全, 2015, 15(7): 58-63.
[14]	张帆, 钟章队. 基于权限分析的手机恶意软件检测与防范[J]. 信息网络安全, 2015, 15(10): 66-73.
[15]	. 基于网络流量元数据的安全大数据分析[J]. , 2014, 14(5): 37-.

现代网络安全架构异常行为分析模型研究

Research on Abnormal Behavior Analysis of Modern Networking Security Architecture

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 10

参考文献 7

相关文章 15

编辑推荐

Metrics

本文评价