按照數(shù)據(jù)—信息—知識(shí)逐層提煉的模式，基于記憶的APT攻擊檢測(cè)系統(tǒng)結(jié)構(gòu)分為三級(jí)，系統(tǒng)整體架構(gòu)圖如下：

 基于記憶的檢測(cè)系統(tǒng)架構(gòu)圖

存儲(chǔ)層

存儲(chǔ)層完成對(duì)從互聯(lián)網(wǎng)直接獲取的實(shí)時(shí)數(shù)據(jù)流的預(yù)處理和存儲(chǔ)管理工作。對(duì)實(shí)時(shí)數(shù)據(jù)流首先進(jìn)行傳輸層的會(huì)話還原，消除因網(wǎng)絡(luò)條件造成的亂序、重傳、延遲等對(duì)后續(xù)分析的干擾;然后進(jìn)行應(yīng)用協(xié)議識(shí)別，判斷數(shù)據(jù)流上所承載的具體應(yīng)用;最終從非結(jié)構(gòu)化的數(shù)據(jù)流中抽取結(jié)構(gòu)化的元數(shù)據(jù)信息，以便后續(xù)的各類統(tǒng)計(jì)和關(guān)聯(lián)分析。

預(yù)處理后的原始數(shù)據(jù)流，既包括完整的全流量數(shù)據(jù)，又包括提取后的元數(shù)據(jù)?？紤]到海量數(shù)據(jù)的存儲(chǔ)壓力，可對(duì)不同類型的數(shù)據(jù)采取靈活的管理策略：

(1) 對(duì)于全流量數(shù)據(jù)，進(jìn)行窗口長(zhǎng)度為星期級(jí)的存儲(chǔ)。由于全流量數(shù)據(jù)會(huì)占用海量存儲(chǔ)空間，不宜進(jìn)行長(zhǎng)期存儲(chǔ)，但全流量數(shù)據(jù)對(duì)于后續(xù)的回溯分析又是必須的。為此采用折中的存儲(chǔ)策略：只存儲(chǔ)最近幾周(例如1-2周)的全流量信息，對(duì)于超期的數(shù)據(jù)進(jìn)行降解處理。

(2) 對(duì)于元數(shù)據(jù)，進(jìn)行年度級(jí)的存儲(chǔ)。提取后的元數(shù)據(jù)只包含應(yīng)用層會(huì)話的關(guān)鍵信息，其數(shù)據(jù)量大約相當(dāng)于全流量信息的5%，這類信息對(duì)后續(xù)的統(tǒng)計(jì)、關(guān)聯(lián)和數(shù)據(jù)挖掘具有重要的作用，且占用的空間在可接受范圍內(nèi)，因此在平臺(tái)中進(jìn)行長(zhǎng)期存儲(chǔ)。

分析層

分析層完成從原始流量數(shù)據(jù)中產(chǎn)生獨(dú)立報(bào)警信息的工作，主要方法包括：

(1) 對(duì)于能引起網(wǎng)絡(luò)流量顯著異常的攻擊，如DDoS、掃描、蠕蟲(chóng)傳播等，可通過(guò)異常流量檢測(cè)和統(tǒng)計(jì)分析的方式進(jìn)行識(shí)別。通過(guò)建立全面、完整的安全基準(zhǔn)指標(biāo)體系，可以快速識(shí)別網(wǎng)絡(luò)流量異常;通過(guò)統(tǒng)計(jì)分析，可準(zhǔn)確定位異常的位置和原因。

(2) 對(duì)于不引起流量異常的未知攻擊，可通過(guò)可疑行為建模的方式進(jìn)行識(shí)別。例如對(duì)于尚未提取特征的木馬，其連接控制端的時(shí)候可能會(huì)存在未知的加密傳輸、疑似心跳信號(hào)的間歇性連接、惡意域名訪問(wèn)、異常的上下行流量比等行為，通過(guò)對(duì)這些可疑行為進(jìn)行關(guān)聯(lián)，就有可能檢測(cè)到木馬連接行為。

(3) 對(duì)于通過(guò)異常檢測(cè)模塊產(chǎn)生的各類報(bào)警，由于缺乏攻擊簽名信息進(jìn)行驗(yàn)證，其準(zhǔn)確度往往低于基于特征匹配的誤用檢測(cè)。為此還需要結(jié)合原始報(bào)文，對(duì)報(bào)警的有效性進(jìn)一步確認(rèn)。通過(guò)報(bào)文所承載的應(yīng)用層對(duì)象做細(xì)粒度的協(xié)議解析和還原，可輔助分析人員判定會(huì)話內(nèi)容是否包含攻擊數(shù)據(jù)，從而進(jìn)一步產(chǎn)生精確報(bào)警。

展示層

展示層完成從孤立的攻擊報(bào)警信息生成完整的攻擊場(chǎng)景的關(guān)聯(lián)工作，并提供可視化分析前端工具，幫助分析人員從存儲(chǔ)的海量歷史數(shù)據(jù)中獲取知識(shí)。對(duì)于攻擊場(chǎng)景關(guān)聯(lián)，常見(jiàn)的方法是基于關(guān)聯(lián)規(guī)則匹配攻擊場(chǎng)景。由于APT攻擊手段的復(fù)雜性，在實(shí)際環(huán)境中往往會(huì)因?yàn)閳?bào)警事件的缺失導(dǎo)致無(wú)法進(jìn)行完整攻擊路徑圖的匹配，進(jìn)而導(dǎo)致建立APT場(chǎng)景失敗，為此要解決基于不完整攻擊路徑的攻擊場(chǎng)景匹配問(wèn)題。對(duì)于多維數(shù)據(jù)可視化分析，要提供給分析人員一套能從地址、端口、協(xié)議類型等維度對(duì)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)展示的工具，并支持按照不同的粒度對(duì)數(shù)據(jù)進(jìn)行鉆取，方便分析人員在大數(shù)據(jù)中定位可疑行為。