作者:赵澄; 方建辉; 姚明海高级持续性威胁工控网络深度流检测组合分类检测算法
摘要:高级持续性威胁(advanced persistent threat,APT)是当今工控网络安全首要威胁,而传统的基于特征匹配的工业入侵检测系统往往无法检测出最新型的APT攻击;现有研究者认为,敏感数据窃密是APT攻击的重要目的之一;为了能准确识别出APT攻击的窃密行为,对APT攻击在窃密阶段受控主机与控制与命令(ControlandCommand,C&C)服务器通信时TCP会话流特征进行深入研究,采用深度流检测技术,并提出一种基于多特征空间加权组合SVM分类检测算法对APT攻击异常会话流进行检测;实验表明,采用深度流检测技术对隐蔽APT攻击具备良好的检测能力,而基于多特征空间加权组合SVM分类检测算法较传统单一分类检测的检测精度更高,误报率更低,对工控网络安全领域的研究具有推进作用。
注:因版权方要求,不能公开全文,如需全文,请咨询杂志社
