基于海量网络数据的未知高级间谍软件行为检测技术研究

The advanced persistent attacks and data theft against our government, military and other key information systems by hostile foreign forces have brought great harm to our national security. In recent years, there have been several serious cyber theft incidents be discovered. Since the limited monitoring data, insufficient correlation and coarse-grained analysis, existing technology acted worse when facing national-level attacks. Detecting and preventing advanced hostile attack as early as possible are very important in reducing our country’s loss and protecting our countries safety. Based on the massive cyber data acquisition capability on backbones, we proposed a technical framework for detecting unknown spy-ware aimed at attacking our key information systems. In this framework, the methods of refined flow analysis, behavior analysis and opposite end analysis, covert channel detection, network traffic correlation will be developed to detect network theft behavior and controlling behavior. What’s more, methods for expanding detection of more attackers and compromised victims will also be developed. All of these technologies will compose the core technical basis for detecting theft and controlling behavior to our key information systems.

境外组织对我国政府、军事及其它重要信息系统的高级可持续性攻击和窃密行为给我国国家安全带来了巨大的潜在危害，近年来先后发生了多起危害严重的网络窃密事件。现有技术由于监测面小、数据关联度不够、分析不够精细等原因，在抵御国家级攻击时表现不能令人满意。尽早发现并阻止敌对势力的网络攻击，对于减少国家损失，保护国家安全具有特别重要的意义。本课题拟针对我国重要信息系统的安全防御问题，基于我国已经建设的网络安全数据获取采集能力，提出一整套从网络侧对未知网络间谍行为进行综合分析检测的技术体系框架。该技术体系拟综合利用流量分层精细化分析、行为分析与对端检测、隐蔽信道检测及全网流量大规模关联分析等理论方法，研发对网络间谍软件窃密行为、控守行为进行检测和发现的核心技术，研发边缘节点威胁判定技术，构造自动化或半自动化批量发现对我国重要信息系统设施入侵、窃密行为行为的核心技术基础。

基于国家级海量互联网数据，本项目以未知高威胁恶意软件检测为目标，从全球互联网威胁图谱、未知威胁发现、重要攻击团伙追踪溯源等三方面开展研究，在相关领域取得一系列高价值研究成果和实用效果。. 威胁图谱构建绘制方面，研究海量网络安全监测数据与威胁情报融合方法，实现多维标签自动化动态标注。. 未知威胁发现方面，一是研究APT攻击组织追踪方法，包括线索驱动的威胁发现技术、针对国家背景木马网络的网络攻击路径追溯技术等关键技术；二是研究重要资产流量分析，研究针对网络行为日志与实时流量标定等关键技术；三是研究攻击资源扩线方法，从线索特征、关联关系等方面开展扩线。. 重要攻击团伙追踪溯源方面，一是提出基于时空伴随模型的网络攻击团伙发现与追踪方法；二是提出基于基础资源和攻击武器内嵌特性的网络攻击团伙发现与追踪方法；三是实现海量攻击事件高效关联的网络攻击团伙发现与追踪技术等关键技术；四是研究全域视野下的DDoS攻击资源分类体系、攻击资源定位及自动化溯源方法等关键技术。. 依托本项目相关技术较为体系化建设的系统平台，形成一系列社会和经济效益。一是实现对境外国家级APT攻击组织规模化实时追踪，2021年完整落地以来，监测报送469起涉及我国重要单位的APT攻击事件，较2020年提升109.38%。项目研发的平台发现并通报境外APT组织攻击事件700余起；二是大幅提升对我国重要行业单位的网络安全事件监测能力，2021年监测报送我国重要行业单位网络安全事件1756起，同比增加146%；三是有力支撑公安部门打击DDoS攻击犯罪，提供线索信息1.2亿条，2018-2019年支撑公安部专项行动抓获犯罪分子450余名；四是赋能国家和地方网络安全态势感知平台，支撑深圳、重庆、北京、广州等地网络安全态势感知平台建设重要网络安全事件监测能力，累计项目合同金额近2亿元；五是构建全球互联网威胁图谱，图谱实体和关系节点规模超过110亿。