面向APT攻击的溯源和推理研究综述 被引量：4

1

作者 杨秀璋 彭国军 +3 位作者 刘思德 田杨 李晨光 傅建明 《软件学报》 北大核心 2025年第1期203-252,共50页

高级可持续性威胁(advanced persistent threat,APT)是一种新型网络攻击,具有极强的组织性、隐蔽性、持续性、对抗性和破坏性,给全球网络安全带来严重危害.传统APT攻击防御倾向于构建模型检测攻击的恶意性或识别家族类别,以被动防御为主... 高级可持续性威胁(advanced persistent threat,APT)是一种新型网络攻击,具有极强的组织性、隐蔽性、持续性、对抗性和破坏性,给全球网络安全带来严重危害.传统APT攻击防御倾向于构建模型检测攻击的恶意性或识别家族类别,以被动防御为主,缺乏全面及深入地梳理APT攻击溯源和推理领域的工作.基于此,围绕APT攻击的溯源和推理的智能化方法开展综述性研究.首先,提出APT攻击防御链,有效地将APT攻击检测、溯源和推理进行区分和关联;其次,详细比较APT攻击检测4个任务的相关工作;然后,系统总结面向区域、组织、攻击者、地址和攻击模型的APT攻击溯源工作;再次,将APT攻击推理划分为攻击意图推理、攻击路径感知、攻击场景还原、攻击阻断和反制这4个方面,对相关研究进行详细总结和对比;最后,讨论APT攻击防御领域的热点主题、发展趋势和挑战. 展开更多

关键词 高级可持续威胁 网络安全 攻击溯源 攻击推理 人工智能

在线阅读 下载PDF 职称材料

基于传染病和网络流模型分析APT攻击对列车控制系统的影响 被引量：1

2

作者 赵骏逸 唐涛 +2 位作者 步兵 李其昌 王晓轩 《铁道学报》 EI CAS CSCD 北大核心 2024年第4期119-129,共11页

高级可持续威胁(APT)是目前工业控制系统面临的主要威胁之一。APT攻击利用计算机设备漏洞入侵列车控制网络,感染并且扩散到网络中的其他设备,影响系统正常运行,因此评价APT攻击对列车控制系统的影响非常必要。提出一种基于传染病模型和... 高级可持续威胁(APT)是目前工业控制系统面临的主要威胁之一。APT攻击利用计算机设备漏洞入侵列车控制网络,感染并且扩散到网络中的其他设备,影响系统正常运行,因此评价APT攻击对列车控制系统的影响非常必要。提出一种基于传染病模型和网络流理论结合的APT攻击影响分析方法。首先,分析在APT攻击的不同阶段设备节点状态之间的转化规则,结合传染病理论建立APT攻击传播模型,研究攻击过程中的节点状态变化趋势;其次,把设备节点的状态变化融入网络流模型中,研究APT攻击过程中设备节点状态变化对列车控制网络中列车移动授权信息流的影响;最后,结合列车控制系统的信息物理耦合关系,分析APT攻击对列控系统整体性能的影响。仿真实验展现了APT攻击过程中节点状态变化的趋势,验证该方法在分析APT病毒软件在列车控制网络中的传播过程对列车控制系统整体性能影响的有效性,为管理者制定防御方案提供依据,提升列车控制系统信息安全水平。 展开更多

关键词 高级可持续威胁 网络流理论 传染病模型 列车控制系统 攻击影响分析

在线阅读 下载PDF 职称材料

高级持续性威胁检测与分析方法研究进展 被引量：1

3

作者 季一木 张嘉铭 +4 位作者 杨倩 杜宏煜 邵思思 张俊杰 刘尚东 《南京邮电大学学报(自然科学版)》 北大核心 2025年第1期1-11,共11页

高级持续性威胁(Advanced Persistent Threat,APT)检测分析是网络安全领域的一个研究热点。APT检测与分析仍然面临着许多挑战,对当前研究进行归纳梳理,总结了APT检测与分析方法研究进展。首先,分析APT攻击威胁建模方法。其次,梳理代表性... 高级持续性威胁(Advanced Persistent Threat,APT)检测分析是网络安全领域的一个研究热点。APT检测与分析仍然面临着许多挑战,对当前研究进行归纳梳理,总结了APT检测与分析方法研究进展。首先,分析APT攻击威胁建模方法。其次,梳理代表性的APT攻击检测方法,包括基于主机和基于网络的相关研究。然后,总结APT攻击分析方法,介绍了攻击溯源与攻击行为推理相关研究。最后,展望未来APT攻击检测与分析的研究方向,以便研究人员了解当前研究现状和拓展研究思路。 展开更多

关键词 高级持续威胁 攻击发现 攻击溯源 攻击推理

在线阅读 下载PDF 职称材料

一种应对APT攻击的安全架构:异常发现 被引量：20

4

作者 杜跃进 翟立东 +1 位作者 李跃 贾召鹏 《计算机研究与发展》 EI CSCD 北大核心 2014年第7期1633-1645,共13页

威胁是一种对特定系统、组织及其资产造成破坏的潜在因素,反映的是攻击实施者依照其任务需求对被攻击对象长期持续地施以各种形式攻击的过程.面对高级可持续威胁(advanced persistent threat,APT),在其造成严重经济损失之前,现有的安全... 威胁是一种对特定系统、组织及其资产造成破坏的潜在因素,反映的是攻击实施者依照其任务需求对被攻击对象长期持续地施以各种形式攻击的过程.面对高级可持续威胁(advanced persistent threat,APT),在其造成严重经济损失之前,现有的安全架构无法协助防御者及时发现威胁的存在.在深入剖析威胁的外延和内涵的基础上,详细探讨了威胁防御模型.提出了一种应对APT攻击的安全防御理论架构:异常发现,以立足解决威胁发现的难题.异常发现作为防御策略和防护部署工作的前提,通过实时多维地发现环境中存在的异常、解读未知威胁、分析攻击实施者的目的,为制定具有针对性的应对策略提供必要的信息.设计并提出了基于异常发现的安全体系技术架构:"慧眼",通过高、低位协同监测的技术,从APT攻击的源头、途径和终端3个层面监测和发现. 展开更多

关键词 高级可持续威胁 异常发现 高位监测 低位监测 慧眼

在线阅读 下载PDF 职称材料

基于树型结构的APT攻击预测方法 被引量：23

5

作者 张小松 牛伟纳 +2 位作者 杨国武 卓中流 吕凤毛 《电子科技大学学报》 EI CAS CSCD 北大核心 2016年第4期582-588,共7页

近年来,高级持续性威胁已成为威胁网络安全的重要因素之一。然而APT攻击手段复杂多变,且具有极强的隐蔽能力,使得目前常用的基于特征匹配的边界防护技术显得力不从心。面对APT攻击检测防御难题,提出了一种基于树型结构的APT攻击预测方... 近年来,高级持续性威胁已成为威胁网络安全的重要因素之一。然而APT攻击手段复杂多变,且具有极强的隐蔽能力,使得目前常用的基于特征匹配的边界防护技术显得力不从心。面对APT攻击检测防御难题,提出了一种基于树型结构的APT攻击预测方法。首先结合杀伤链模型构建原理,分析APT攻击阶段性特征,针对攻击目标构建窃密型APT攻击模型;然后,对海量日志记录进行关联分析形成攻击上下文,通过引入可信度和DS证据组合规则确定攻击事件,计算所有可能的攻击路径。实验结果表明,利用该方法设计的预测模型能够有效地对攻击目标进行预警,具有较好的扩展性和实用性。 展开更多

关键词 高级持续性威胁 攻击预测 关联分析 杀伤链

在线阅读 下载PDF 职称材料

基于LDA模型的海量APT通信日志特征研究 被引量：3

6

作者 孙名松 韩群 《计算机工程》 CAS CSCD 北大核心 2017年第2期194-200,205,共8页

为实现高级持续性威胁(APT)的通信检测,提出一种对服务器端和主机端日志数据的检测方法。通过建立IP地址数据库,采用DBSCAN聚类算法对海量日志数据进行收集和处理得到异常通信日志。利用高级持续性威胁14种通信特征的隐含狄利克雷分布(L... 为实现高级持续性威胁(APT)的通信检测,提出一种对服务器端和主机端日志数据的检测方法。通过建立IP地址数据库,采用DBSCAN聚类算法对海量日志数据进行收集和处理得到异常通信日志。利用高级持续性威胁14种通信特征的隐含狄利克雷分布(LDA)建模对异常通信日志进行检测。实验结果表明,与潜在语义分析和概率潜在语义分析检测模型相比,LDA建模提高了APT通信检测的效率和准确度。 展开更多

关键词 高级持续性威胁 大数据处理 IP规范 DBSCAN算法 特征描述

在线阅读 下载PDF 职称材料

一种基于ATT&CK的新型电力系统APT攻击建模 被引量：7

7

作者 李元诚 罗昊 +1 位作者 王庆乐 李建彬 《信息网络安全》 CSCD 北大核心 2023年第2期26-34,共9页

以新能源为主体的新型电力系统,新能源与多元负荷形态比例大幅提升。高比例的可再生新能源与电力电子设备的接入以及供给侧和需求侧的随机性,导致电网遭受的攻击面增大,攻击者利用隐蔽和复杂的手段针对新型电力系统发动高级可持续威胁攻... 以新能源为主体的新型电力系统,新能源与多元负荷形态比例大幅提升。高比例的可再生新能源与电力电子设备的接入以及供给侧和需求侧的随机性,导致电网遭受的攻击面增大,攻击者利用隐蔽和复杂的手段针对新型电力系统发动高级可持续威胁攻击,严重影响电网调度与能源消纳。文章基于ATT&CK知识库建立了面向新型电力系统APT攻击的杀伤链模型,针对传统方法难以将APT攻击技术划分到杀伤链攻击阶段,从而导致安全员无法迅速做出防御决策的情况,提出了一种基于杀伤链模型的APT攻击技术阶段划分方法,并采用Bert模型对技术文本进行语义分析,自动将攻击技术划分到所属阶段。实验结果表明,文章所提方法比现有模型具有更好的效果。 展开更多

关键词 新型电力系统 apt攻击 ATT&CK 攻击建模 Bert模型

在线阅读 下载PDF 职称材料

APT攻击分层表示模型 被引量：8

8

作者 谭韧 殷肖川 +1 位作者 廉哲 陈玉鑫 《计算机应用》 CSCD 北大核心 2017年第9期2551-2556,共6页

针对攻击链模型攻击阶段划分过细且无法表示攻击手段的问题,提出了一种高级可持续性威胁(APT)攻击分层表示模型(APT-HARM)。通过总结分析大量公开的APT事件报告和参考APT攻击链模型与分层攻击表示模型(HARM),将APT攻击分为攻击链和攻击... 针对攻击链模型攻击阶段划分过细且无法表示攻击手段的问题,提出了一种高级可持续性威胁(APT)攻击分层表示模型(APT-HARM)。通过总结分析大量公开的APT事件报告和参考APT攻击链模型与分层攻击表示模型(HARM),将APT攻击分为攻击链和攻击树上下两层,并将其形式化定义。首先,将APT攻击分为由侦察、渗透、行动和撤出四个阶段组成的攻击链,并研究了各阶段特点;然后,研究各阶段中采取的攻击手段,并依据其逻辑关系组成攻击树。APT攻击按照攻击链分阶段依次进行,各阶段按照攻击树流程依次执行。案例分析表明,本模型相较攻击链模型具有粒度划分合理、攻击描述完备准确的优点。APT-HARM形式化地定义了APT攻击,为APT攻击的预测和防范提供了一种思路。 展开更多

关键词 高级可持续性威胁 攻击链 攻击树 分层攻击表示模型

在线阅读 下载PDF 职称材料

非对称信息条件下APT攻防博弈模型 被引量：6

9

作者 孙文君 苏旸 曹镇 《计算机应用》 CSCD 北大核心 2017年第9期2557-2562,共6页

针对目前缺少对高级持续威胁(APT)攻击理论建模分析的问题,提出了一种基于Flip It模型的非对称信息条件下的攻防博弈模型。首先,将网络系统中的目标主机等资产抽象为目标资源节点,将攻防场景描述为攻防双方对目标资源的交替控制;然后,... 针对目前缺少对高级持续威胁(APT)攻击理论建模分析的问题,提出了一种基于Flip It模型的非对称信息条件下的攻防博弈模型。首先,将网络系统中的目标主机等资产抽象为目标资源节点,将攻防场景描述为攻防双方对目标资源的交替控制;然后,考虑到攻防双方在博弈中观察到的反馈信息的不对称性以及防御效果的不彻底性,给出了在防御者采取更新策略时攻防双方的收益模型及最优策略的条件,同时给出并分别证明了达到同步博弈与序贯博弈均衡条件的定理;最后通过数例分析了影响达到均衡时的策略及防御收益的因素,并比较了同步博弈均衡与序贯博弈均衡。结果表明周期策略是防御者的最优策略,并且与同步博弈均衡相比,防御者通过公布其策略达到序贯博弈均衡时的收益更大。实验结果表明所提模型能够在理论上指导应对隐蔽性APT攻击的防御策略。 展开更多

关键词 博弈论 非对称信息 网络攻击 高级持续威胁 网络安全

在线阅读 下载PDF 职称材料

基于通信特征的APT攻击检测方法 被引量：9

10

作者 戴震 程光 《计算机工程与应用》 CSCD 北大核心 2017年第18期77-83,共7页

高级持续性威胁(APT)已经在全球范围内产生了严重的危害,APT攻击检测已经成为网络安全防护领域的重点。由于APT具有攻击手段多样,持续时间长等特点,传统的检测技术已经起不到理想的效果。利用从国际安全公司报告中提取的APT通信特征,提... 高级持续性威胁(APT)已经在全球范围内产生了严重的危害,APT攻击检测已经成为网络安全防护领域的重点。由于APT具有攻击手段多样,持续时间长等特点,传统的检测技术已经起不到理想的效果。利用从国际安全公司报告中提取的APT通信特征,提出了一种基于通信特征的APT攻击检测方法。为了提高该方法的检测效果,还提出了利用bloom filter对报文进行快速筛选和精确匹配相结合的双层通信特征匹配算法。实验结果表明,该方法具有较高的检测率和较低的误报率。 展开更多

关键词 apt检测 特征提取 特征匹配 BLOOM FILTER

在线阅读 下载PDF 职称材料

结合动态行为和静态特征的APT攻击检测方法 被引量：5

11

作者 梁鹤 李鑫 +1 位作者 尹南南 李超 《计算机工程与应用》 CSCD 北大核心 2023年第18期249-259,共11页

针对APT攻击网络流量难以获得,模拟的数据与现实又很难匹配的问题,提出了一种基于动态行为和静态特征结合的APT攻击检测方法。采用Noriben沙箱提取待测软件的进程行为、文件行为、注册表行为和网络行为构建动态行为特征集,基于Transform... 针对APT攻击网络流量难以获得,模拟的数据与现实又很难匹配的问题,提出了一种基于动态行为和静态特征结合的APT攻击检测方法。采用Noriben沙箱提取待测软件的进程行为、文件行为、注册表行为和网络行为构建动态行为特征集,基于Transformer-Encoder算法识别APT恶意软件的准确率达到了95.8%。对识别出的APT恶意软件进行组织分类,提取软件调用的DLL(dynamic link library)和API(application programming interface),并组合成DLL:API的特征形式,将1D-CNN(one dimensional convolutional neural networks)算法应用于APT恶意软件组织分类的准确率达到了98.7%,比之前的方法提高了5个百分点。与热门的深度学习算法和机器学习算法的实验效果做对比,数据表明,提出的方法相比其他方法,准确率有较大提升。 展开更多

关键词 高级持续性威胁(apt)攻击 动态行为 静态特征 Transformer-Encoder 1D-CNN

在线阅读 下载PDF 职称材料

APT攻击详解与检测技术 被引量：7

12

作者 贺诗洁 黄文培 《计算机应用》 CSCD 北大核心 2018年第A02期170-173,182,共5页

高级持续性威胁(APT)以窃取特定目标的机密情报或者是破坏计算机系统为目的,严重威胁着企业、社会甚至是国家层面的信息安全。针对现有APT攻击检测技术不能完全有效地检测出APT攻击的问题,提出了APT攻击的检测思路。首先,从定义和实际... 高级持续性威胁(APT)以窃取特定目标的机密情报或者是破坏计算机系统为目的,严重威胁着企业、社会甚至是国家层面的信息安全。针对现有APT攻击检测技术不能完全有效地检测出APT攻击的问题,提出了APT攻击的检测思路。首先,从定义和实际情况出发对APT攻击的特征进行了总结,围绕APT攻击的生命周期详细分析了APT攻击的过程,并列举了常用的技术手段;然后,归纳了传统检测技术在应对APT攻击时的困难之处,总结了目前APT攻击检测技术以及它们的优缺点;最后,提出了检测APT攻击的思路。对APT攻击的检测应充分考虑对未知威胁的检测、对APT攻击的判断、对部分历史数据的分析以及实时性检测。 展开更多

关键词 高级持续性威胁 信息安全 检测技术 命令与控制通信 未知威胁

在线阅读 下载PDF 职称材料

高等级安全网络抗APT攻击方案研究 被引量：9

13

作者 李凤海 李爽 +1 位作者 张佰龙 宋衍 《信息网络安全》 2014年第9期109-114,共6页

文章在分析高安全等级网络所面临的APT攻击风险基础上,简述了高安全等级网络抗APT攻击方案的主要思想,阐述了高安全等级网络抗APT攻击方案设计,并提出了高安全等级网络抗APT攻击的思想和策略。

关键词 高安全等级网络 高级持续性威胁 apt攻击

在线阅读 下载PDF 职称材料

APT样本逻辑表达式生成算法 被引量：3

14

作者 杜镇宇 李翼宏 张亮 《计算机工程与应用》 CSCD 北大核心 2018年第1期1-10,共10页

深入研究已知APT攻击事件,以威胁情报共享理论为基础,提出一种APT样本逻辑表达式生成算法IOCG。该算法能够自动生成可机读的IOCs,解决现有IOC的逻辑关系固定,逻辑项个数不变,规模庞大以及无法对一类样本生成表达式的局限性。同时能够减... 深入研究已知APT攻击事件,以威胁情报共享理论为基础,提出一种APT样本逻辑表达式生成算法IOCG。该算法能够自动生成可机读的IOCs,解决现有IOC的逻辑关系固定,逻辑项个数不变,规模庞大以及无法对一类样本生成表达式的局限性。同时能够减少冗余及无用APT样本特征处理时间消耗,提高情报分析共享速率,积极应对复杂多变的APT攻击态势。实验采用自助法对APT1样本进行抽样,将样本分成实验集及训练集,再分别利用该算法与IOC_Aware插件对训练集生成逻辑表达式,对比表达式本身及检测效果上的差异。实验结果表明,该算法是有效的,并能提高检测效果。 展开更多

关键词 高级持续性威胁(apt) 熵 攻击指示器(IOCs) 逻辑表达式

在线阅读 下载PDF 职称材料

面向APT时空行为的受损主机检测 被引量：2

15

作者 孙一丁 李强 《计算机应用研究》 CSCD 北大核心 2022年第6期1860-1864,共5页

高级持续性威胁(APT)给企业、政府等组织带来沉重的损失。然而大多数检测方法没有同时考虑到APT攻击本质上的两个特性,即时间性和空间性。被入侵主机的行为模式与被入侵之前相比会产生一系列时序性的异常。在空间性方面,受损主机往往会... 高级持续性威胁(APT)给企业、政府等组织带来沉重的损失。然而大多数检测方法没有同时考虑到APT攻击本质上的两个特性,即时间性和空间性。被入侵主机的行为模式与被入侵之前相比会产生一系列时序性的异常。在空间性方面,受损主机往往会继续渗透其他主机。因此,提出一种基于时空特性检测APT受损主机的方法。该方法针对APT攻击中必不可少的身份验证行为进行检测,构建主机认证图,从图中提取特征,利用LSTM学习主机的时序性特征,建立主机关联图,利用GAT提取主机间的空间特征。该方法利用神经网络提取特征,无须人工的特征选择。该方法在公共数据LANL上进行实验,F_(1)得分达到了0.979。 展开更多

关键词 高级持续性威胁 时空性分析 身份验证 神经网络

在线阅读 下载PDF 职称材料

面向分布式网络结构的APT攻击双重博弈模型 被引量：8

16

作者 张为 苏旸 陈文武 《计算机应用》 CSCD 北大核心 2018年第5期1366-1371,共6页

针对目前分布式网络结构缺少防御高级持续威胁(APT)攻击的安全理论模型问题,提出了一种基于纳什均衡理论和节点博弈的博弈模型。首先,通过APT攻击常用手段和分布式网络结构的特点,分析判断攻击者可能采取的攻击路径并提出网络安全防御框... 针对目前分布式网络结构缺少防御高级持续威胁(APT)攻击的安全理论模型问题,提出了一种基于纳什均衡理论和节点博弈的博弈模型。首先,通过APT攻击常用手段和分布式网络结构的特点,分析判断攻击者可能采取的攻击路径并提出网络安全防御框架;其次,通过节点博弈计算漏洞风险系数,在纳什均衡理论的基础上建立基于攻击路径的博弈模型(OAPG),计算攻防双方收益均衡点,分析攻击者最大收益策略,进而提出防御者最优防御策略;最后,用一个APT攻击实例对模型进行验证。计算结果表明,所提模型能够从APT攻击路径对网络攻防双方进行理性分析,为使用分布式网络的机构提供一种合理的防御思路。 展开更多

关键词 高级持续威胁攻击 博弈模型 攻击路径 分布式网络结构 网络空间安全

在线阅读 下载PDF 职称材料

基于攻防树的APT风险分析方法 被引量：5

17

作者 孙文君 苏旸 《计算机应用研究》 CSCD 北大核心 2018年第2期511-514,551,共5页

针对目前缺少APT攻击中系统威胁风险评估理论模型的问题,提出了一种基于攻防树的网络攻击风险分析方法。将APT攻击过程分为攻击阶段与防护阶段,定义不同阶段内的参数计算方法,首先通过漏洞收集和攻击事件捕获构建攻击行为节点,并将防护... 针对目前缺少APT攻击中系统威胁风险评估理论模型的问题,提出了一种基于攻防树的网络攻击风险分析方法。将APT攻击过程分为攻击阶段与防护阶段,定义不同阶段内的参数计算方法,首先通过漏洞收集和攻击事件捕获构建攻击行为节点,并将防护对策映射为防护行为节点;其次形式化定义了漏洞成功利用概率、攻击成本、防护成本和系统损失度等参数,利用ADTool工具生成攻防树和节点参数值;然后引入攻击回报与防护回报的概念,作为系统风险分析的依据;最后构建了基于攻防树的攻击风险分析框架,并通过一个APT攻击实例对框架效果进行了验证。计算结果表明,可通过攻击回报等参数数值的变化评估采取防护对策的效果。该方法对攻防双方策略互相影响的场景描述更加贴近实际,实现了系统威胁风险度分析与防护策略效果评估的目的。 展开更多

关键词 高级持续威胁(apt) 攻防树 风险分析 网络攻击

在线阅读 下载PDF 职称材料

基于HMM的APT攻击路径预测 被引量：1

18

作者 杜镇宇 刘方正 李翼宏 《系统工程与电子技术》 EI CSCD 北大核心 2019年第4期826-834,共9页

针对当前高级持续性威胁(advanced persistent threat,APT)攻击防御技术以被动防御为主的问题,以主动防御为出发点,研究提出基于隐马尔可夫模型(hidden Markov model,HMM)的APT攻击路径预测方法,该方法分为建模和预测两部分。在建模方面... 针对当前高级持续性威胁(advanced persistent threat,APT)攻击防御技术以被动防御为主的问题,以主动防御为出发点,研究提出基于隐马尔可夫模型(hidden Markov model,HMM)的APT攻击路径预测方法,该方法分为建模和预测两部分。在建模方面,首先针对APT攻击的特点建立了APT攻击的隐马尔可夫通用模型,然后提出能够针对某一具体APT攻击,生成该APT攻击的HMM的算法。在预测方面,针对APT攻击样本数量少的问题,改进了HMM的参数计算方法,并引入报警信息确定预测起点,提出一种路径预测算法。实验通过模拟极光行动的攻击方式及流程搭建实验环境,结果表明,该建模及预测算法符合APT攻击场景,并能达到路径预测的目的。 展开更多

关键词 高级持续性威胁 隐马尔可夫模型 建模 路径预测

在线阅读 下载PDF 职称材料

一种基于图注意力机制的威胁情报归因方法

19

作者 王婷 严寒冰 郎波 《北京航空航天大学学报》 EI CAS CSCD 北大核心 2024年第7期2293-2303,共11页

威胁情报关联分析已成为网络攻击溯源的有效方式。从公开威胁情报源爬取了不同高级持续性威胁(APT)组织的威胁情报分析报告,并提出一种基于图注意力机制的威胁情报报告归类的方法,目的是检测新产生的威胁情报分析报告类别是否为已知的... 威胁情报关联分析已成为网络攻击溯源的有效方式。从公开威胁情报源爬取了不同高级持续性威胁(APT)组织的威胁情报分析报告,并提出一种基于图注意力机制的威胁情报报告归类的方法,目的是检测新产生的威胁情报分析报告类别是否为已知的攻击组织,从而有助于进一步的专家分析。通过设计威胁情报知识图谱,提取战术和技术情报,对恶意样本、IP和域名进行属性挖掘,构建复杂网络,使用图注意力神经网络进行威胁情报报告节点分类。评估表明:所提方法在考虑类别分布不均衡的情况下,可以达到78%的准确率,达到对威胁情报报告所属组织进行有效判定的目的。 展开更多

关键词 威胁情报 高级持续性威胁组织 知识图谱 图注意力机制 攻击溯源

在线阅读 下载PDF 职称材料

基于溯源图的网络攻击调查研究综述

20

作者 仇晶 陈荣融 +3 位作者 朱浩瑾 肖岩军 殷丽华 田志宏 《电子学报》 EI CAS CSCD 北大核心 2024年第7期2529-2556,共28页

网络攻击调查是实现主动防御、溯源反制的重要手段.面向高隐蔽、强对抗的现代网络攻击,研究高效率、自动化攻击调查方法,提升己方快速响应复杂网络攻击能力,是智能网络攻防关键技术之一.现有研究通过将系统审计日志建模成可表达攻击事... 网络攻击调查是实现主动防御、溯源反制的重要手段.面向高隐蔽、强对抗的现代网络攻击,研究高效率、自动化攻击调查方法,提升己方快速响应复杂网络攻击能力,是智能网络攻防关键技术之一.现有研究通过将系统审计日志建模成可表达攻击事件因果依赖关系的溯源图,利用溯源图强大的关联分析和语义表达能力,对复杂隐蔽网络攻击进行调查,相较传统方法效果提升显著.在全面收集分析基于溯源图的攻击调查研究工作的基础上,根据溯源图利用方式及特征挖掘维度的差异,将基于溯源图的攻击调查方法划分为基于因果分析、基于深度表示学习和基于异常检测三类,总结凝练每类方法具体工作流程和通用框架.梳理溯源图优化方法,剖析相关技术从理论向产业落地的能力演变历程.归纳攻击调查常用数据集,对比分析基于溯源图的攻击调查代表性技术和性能指标,最后展望了该领域未来发展方向. 展开更多

关键词 攻击调查 溯源图 高级持续性威胁 深度学习 异常检测

在线阅读 下载PDF 职称材料