当前位置：首页 > article >正文

带你读顶会论文丨基于溯源图的APT攻击检测

article 2026/4/3 23:10:44

带你读顶会论文丨基于溯源图的APT攻击检测**摘要**本次分享主要是作者对APT攻击部分顶会论文阅读的阶段性总结将从四个方面开展。本文分享自华为云社区《[论文阅读] (10)基于溯源图的APT攻击检测安全顶会总结》作者eastmount 。一.背景知识1.什么是APT攻击APT攻击Advanced Persistent Threat高级持续性威胁是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击也称为定向威胁攻击指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。2.APT攻击的特点上图的表格展示了APT攻击和普通攻击的区别。可以简单地将APT攻击特点总结为隐蔽性0-day漏洞、needle in a haystack通常不到0.01%、无文件攻击、加密流量持续性low-and-slow潜伏时间长、攻击时间跨度大针对性Stuxnet、SolarWinds模块化自适应Stuxnet、WannaCry3.APT攻击检测存在的困难下图展示了2016到2020年亚太地区AP攻击事件的停留时间可以看到其潜伏期很长想要发现一起APT攻击极为困难。同时传统APT攻击检测存在一定的缺陷包括无法捕获长期运行的系统行为0-day漏洞导致攻击艰难检测实时攻击检测、真实场景检测效果不佳容易遭受投毒攻击注意这里的投毒攻击是指因APT攻击持续时间长导致ML模型学习攻击特征时会将恶意行为逐渐训练学习为正常行为…接着补充下两个辅助APT攻击的经典知识框架它们分别是kill-chain Model和ATTCK Model。它们既能帮助我们理解、检测和溯源APT攻击流程又在论文中作了相应的贡献现已被广泛用于APT攻击检测领域研究后面会详细介绍。kill-chain Model洛克希德·马丁公司开发的“网络杀伤链”模型描述了网络攻击的各阶段流程具体包括七个阶段即目标侦查、武器构建、载荷投递、漏洞利用、安装植入、命令与控制、任务执行。ATTCK ModelATTCKAdversarial Tactics, Techniques, and Common Knowledge 是一个攻击行为知识库和模型主要应用于评估攻防能力覆盖、APT情报分析、威胁狩猎及攻击模拟等领域。网址https://attack.mitre.org/最后展示了常见APT组织。二.APT攻击检测研究该部分从APT攻击检测相关研究、基于异常检测的方法和基于溯源图的方法三个方面介绍重点以基于溯源图的方法为主。1.APT攻击检测相关研究APT攻击检测研究方法的分类很多作者这里仅将其分成了两大块不一定合适主要和作者阅读的论文相关也欢迎大家交流分类方法。即Anomaly-based detectors for APTs– 主机日志审计日志– 系统调用– 网络流量 | 警报信息– 恶意行为Provenance graph-based detectors for APTs– 溯源图– 引入外部知识– 融合ATTCK框架– 因果关系图NLP我们先看看图中下半部分基于溯源图Provenance Graph的APT检测方法。主要包括伊利诺伊大学芝加哥分校团队首先USENIX’17提出的SLEUTH将溯源图应用于APT攻击检测领域。然后该团队紧接着在2019年CCS会议上提出Poirot在SP’19上提出Holmes该方法融合了Kill Chain和ATTCK框架。此外在2021年EurSP提出Extrator并引入外部知识。伊利诺伊大学香槟分校团队另一个研究溯源图的团队来自伊利诺伊大学香槟分校他们分别在NDSS’20提出了UNICORN和ProvDetector同时在2020年的SP上提出RapSheet它融合了ATTCK框架。普渡大学团队第三个团队是来自普渡大学当然各团队之间有很多合作团队。他们的核心成果包括NDSS’13提出的BEEPNDSS’16提出的ProTracer和USENIX’21提出的ATLAS。整个基于溯源图的APT检测方法是在Baseline的基础上不断优化包括溯源图引入外部知识、溯源图融合ATTCK框架、因果关系图NLP等。后面的论文和框架图作者会更详细的介绍从而梳理出溯源图方法的研究路线。另外基于异常检测的方法图中也列举了部分方法。2.基于异常检测的方法基于异常检测的方法这里简单例举了利用CC域名、数学模型、恶意流量和恶意行为实现APT攻击检测的框架图如下图所示。上述传统APT攻击检测方法主要存在的缺陷包括APT攻击时间跨度长缺乏方法或工具有效将信息进行关联还原攻击链实时检测困难较难高效地从百万条日志中筛选数据并检测出最可能的攻击行为较难让分析人员通过数据有效地进行推理从而检测未知攻击缺乏对真实场景的APT攻击进行检测并且IDS和SIEM会产生大量的信息传统方法识别真实的攻击更加困难无法有效解决投毒攻击即由于APT攻击时间跨度较长深度学习会将恶意特征训练为正常特征结合上述原因产生了改进方法即基于溯源图的APT攻击检测Provenance graph-based detector for APTs接下来开始详细介绍基于溯源图的APT攻击检测方法。3.基于溯源图的方法SLEUTH [USENIX’17]第一篇论文是USENIX’17的SLEUTH。Md Nahid Hossain, et al.SLEUTH: Real-time Attack Scenario Reconstruction from COTS Audit Data. USENIX’17https://www.usenix.org/system/files/conference/usenixsecurity17/sec17-hossain.pdf石溪大学、伊利诺伊大学芝加哥分校这篇文章的主要贡献如下首次利用溯源图重构APT攻击即利用因果关系跟踪和溯源图构造模型提出一种可以在企业主机上实时重构攻击场景的方法和系统开发一种平台无关、基于主存的审计日志数据依赖图抽象整个SLEUTH的框架图如下图所示核心内容如下(1) 输入的是Linux、Windows和FreeBSD平台的审计日志信息(2) 构建并标记依赖关系图标签将提供重要的上下文信息对应论文中良性可信、良性和未知三种类型(3) 实现基于标签和策略的攻击检测并定制的策略根据审计日志的秘密性分为公开、隐私、敏感和秘密通过引入标签和策略实现对依赖关系图赋予不同的权重(4) 经过依赖图反复构建后会到达警报计算阶段通过定义规则来匹配更高的威胁攻击生成对应的分数基于标签的分析后会生成并还原场景图Scenario Graph同时依赖关系图中的节点和关系表示如下节点表示subjects进程和objects文件、sockets关系表示审计事件读、写、执行、连接等操作接着介绍它的警报Alarms计算策略以下四个会引发警报包括不受信任的代码执行高等级标签去执行低等级时触发被低等级标签修改修改文件权限时产生秘密文件泄露不可信对象执行写的操作执行不可信的数据比如执行command等指令操作下图是攻击场景的重构它是对FireFox浏览器漏洞的场景还原。审计数据还原fireFox后门攻击场景– Backdoor insertion– Clean-up整个场景还原如下它的入口点是在firefox.exe位置首先它会去接收IP地址然后fork下载器dropper接着它会发送请求到443端口接下来会多次调用cmd执行命令如whoami、netstat、hostname等并将数据写入到指定路径的thumbs.db文件中然后执行git.exe实现数据过滤操作最后执行burnout.bat批处理文件清除场景的痕迹。整个实验采用DARPA TC数据集实验它有8个攻击场景重构及攻击阶段映射该论文对每个场景进行了图还原涉及阶段如下图所示实验统计了APT攻击场景每个阶段的实体数量关键文件、网络连接、执行程序等如下图所示。其他实验效果如下建议读者阅读原文。最后简单总结SLEUTH与传统方法的区别Sleuth方法– Sleuth实时检测、运行效率更高– Sleuth基于标签的检测方法更精确规则策略警报传统方法如Bactracker [SOSP’03]– 无法实时且效率低– Bactracker依赖外部工具生成警报无法剪枝和溯源补充DARPA TC是经典的APT攻击检测数据集美国国防高级研究计划局Defense Advanced Research Projects Agency, DARPA运营了多个重量级的网络空间安全研究项目召集了诸多美国顶级研究机构参与可谓是集中力量办大事。其中透明计算Transparent Computing, TC项目正是期望通过基于终端数据的采集与分析增强终端上系统细粒度行为的可视能力以实现企业级网络空间APT检测、取证等关键任务。现代操作系统的功能逻辑越来越复杂计算系统的低透明度成为精细化记录、分析、预测系统级别行为的重要限制而封闭的系统黑盒为具有高隐蔽性、高对抗性的APT攻击者提供了绝佳的潜伏场所。为了打开系统行为黑盒实现在较低开销下提供系统各层级软件模块行为可见性DAPRA组织了Transparent Computing项目。该项目的目标技术及系统需实现采集、保存系统组件输入、软件模块、进程等的溯源数据动态追踪网路系统组件的交互与因果依赖关系整合数据依赖测绘端到端的系统行为从取证和实时检测的角度实现对系统行为的推理。基于以上能力的实现TC项目旨在完成细粒度系统级行为的关联实现在大规模行为中识别异常与恶意意图发现潜在的APT或其他高级威胁并提供完整的溯源分析与相关损失评估。同时TC项目能够实现网络推理能力与企业规模网络监控和管控系统的整合以增强关键节点的安全策略有效性。从2016年10月到2019年5月DARPA TC项目共组织了5次较大规模的红蓝对抗交战演习Engagement。在每次对抗中TC总共划分为5个技术域Technical Areas, TAs其时间跨度超过20天。TA5.1实现了包括Carbanak、Uroburos、DustySky、OceanLotus、njRAT、HawkEye、DeputyDog等多种恶意软件在攻防平台中的投放。DARPA TC的攻击模拟展现了参与团队在APT技战术的深厚积累。参考绿盟的文章并强烈推荐https://www.nsfocus.com.cn/html/2020/21/_0824/605.htmlPoirot [CCS’19]第二篇论文是来自CCS’19的Poirot。Sadegh M, et al.Poirot: Aligning Attack Behavior with Kernel Audit Records for Cyber Threat Hunting. CCS’19https://dl.acm.org/doi/pdf/10.1145/3319535.3363217伊利诺伊大学芝加哥分校、密歇根大学迪尔伯恩分校这篇文章的主要贡献如下利用网络威胁情报(CTI)关联性检测APT攻击使用审计日志将威胁检测建模为一个非精确的图模式匹配Graph Pattern Matching, GPM问题– 在大图中搜索与某个特定图相匹配的子图相似性度量攻击行为与内核审计日志对齐– 内核审计日志构建溯源图provenance graph– CTI关联构建查询图query graph整个Poirot的框架图如下图所示核心内容如下(1) 该图右边部分是上篇论文的基本流程即从三个操作系统BSD、Linux、Windows审计日志信息中构建溯源图Provenance Graph然后还原攻击场景(2) 左边引入了外部IOC关系信息提取并构建攻击行为的查询图Query Graph这里引入了图对齐或图匹配(3) 最后通过对齐和阈值计算算法生成对应的分数实现最终的分析取证并生成警报– 图中顶点表示实体边表示信息流和因果关系接下来补充查询图Query Graph构建的过程。相当于给你一篇APT分析报告它会自动生成对应的查询图如下图所示A执行B的exe程序并写入C然后写入D注册表再想E发送请求。椭圆-进程菱形-套接字矩形-文件五边形-注册表对应的匹配过程如下图所示Gq表示查询图Gp表示溯源图。个人理解DARPA TC数据会生成溯源图然后和查询图匹配出来两个对应的结果子图如最右边所示。从而更好地发现那部分子图是在实施APT攻击。该方法还包括两种类型的对齐node alignment和graph alignment。由于作者能力有限且理解不够一些细节未能很好地表达还请见谅。建议大家去阅读原文这些公式及算法非常重要当然我也会继续努力提升自己的阅读能力多向这些大佬学习并力争撰写好的论文共勉。实验结果如下图所示比如不同恶意软件如海莲花OcenLotus对应的查询图以及对其过程。其他的实验结果如下比如选择阈值的对比结果这也将决定对齐算法的分数。实验结果表明CTI相关性可用于威胁猎杀并且具有较好的鲁棒性和可靠性Poirot方法能有效从溯源图中实现APT组织查询图攻击链匹配及对齐本文方法与传统方法对比如下不同于基于符号执行的方法Poirot不依赖于符号表达式而是寻找系统的相关性和信息流传统方法的网络威胁情报相关性被完全忽视未被用于威胁检测本文方法引入图匹配算法这与之前的方法不同HOLMES [SP’19]第三篇论文是SP’19经典的HOLMES。Sadegh M. Milajerdi, et al.HOLMES: Real-time APT Detection through Correlation of Suspicious Information Flows. SP’19https://arxiv.org/pdf/1810.01594.pdf伊利诺伊大学芝加哥分校、密歇根大学迪尔伯恩分校、石溪大学这篇文章的主要贡献如下构建一种可以实时检测APT攻击的系统有效利用攻击活动可疑信息流的相关性将APT活动信息映射到杀伤链设计高级场景图high-level scenario graphHSG实现低层次日志、警报信息到高层次的映射语义鸿沟从而使得HOLMES能有检测良性或攻击场景系统和实验完整性虚假依赖关系剪枝、降噪处理紧密性、HSG排序其框架图如下所示前面基本类似但右端增加了一个高级场景图high-level scenario graphHSG从而实现低层次日志、警报信息到高层次的映射解决论文中提到的语义鸿沟。该方法能够实时检测系统产生APT报警并能实时产生高级别的攻击图来描述攻击者的行为协助防御者进行实时地安全响应。HSG对应如下图所示传统比如是审计日志信息直接到上层的APT攻击阶段杀伤链会存在语义损失即低级别审计数据与攻击目标意图与高级杀伤链kill-chain视角之间存在巨大的语义差距。因此引入TTPs和HSG通过ATTCK框架映射的中间层来提升实验效果。APT攻击检测存在的难点可以概括如下三点该方法能有效解决这些困难。攻击隐蔽Stealthy Attacks大海捞针Needle in a haystack实时检测Real-time detection下面简单介绍一个运行时APT攻击溯源图Provenance Graph示例。如下图所示可以看到攻击行为是从初始入侵到CC通信再到内部侦查、数据读取、权限提升以及内部侦查、清除痕迹、窃取信息等。这其实就是一个溯源图通过数据之间的因果关系生成这样的图比如CC通讯、提权、文件操作等进行关联。而上面是正常操作行为。椭圆、菱形、矩形、五边形、七边形、圆柱实验结果表明HOLMES能有效区分良性场景和攻击场景。下图是攻击场景所涉及流程七维对应杀伤链及阈值分数能有效识别APT攻击。下图展示了APT攻击和良性事件的有效区分。传统方法存在的缺点如下基于统计特征的方法对时间跨度长、执行缓慢攻击的检测不佳基于系统调用日志的方法对实时攻击检测效果不佳对比方法ProTracer[NDSS’16]、MPI[USENIX’17]、SLEUTH [USENIX’17]、PrioTracker[NDSS’18]本文HOLMES的优点如下攻击粒度更细从溯源图到攻击链的映射引入了HSG解决语义鸿沟问题能有效检测长期潜伏实时的APT攻击通过引入降噪算法解决HSG紧密性问题正是综合各种优点论文的故事叙述非常棒并结合之前的成果所以他们能发到SP非常值得我学习。Extrator [EurSP’21]第四篇论文是EurSP’21的Extrator。Kiavash Satvat, et al.EXTRACTOR: Extracting Attack Behavior from Threat Reports. EurSP’21https://arxiv.org/pdf/2104.08618.pdf伊利诺伊大学芝加哥分校由于CTI报告海量且非结构化安全人员很难从文本中提取出真正有效的信息本文提出了融合自然语言处理的Extrator方法。其主要贡献如下提出一个自动化工具Extrator用于自动从网络威胁情报CTI报告中提取出攻击行为信息利用自然语言处理NLP从CTI报告中精确地提取攻击行为使用语义角色标注SRL进行语义分析理解攻击行为关系并将非结构化文本转化为溯源图其框架图如下图所示包括标准化拆分、同义词、主动语态消歧主语省略句消除或补齐、带刺消除、同义词消除文本归纳去除语句冗余、去掉单词冗余溯源图构建语义角色标注、溯源图构建实体识别和实体消歧示例如下图所示实验表明Extrator可以有效提取CTI报告的攻击信息并以溯源图形式展现。同时生成的溯源图与人工生成的溯源图能够进行匹配验证了方法的有效性并且溯源图可以进一步作为威胁情报检测系统的输入。下图展示了不同攻击场景的精确率、召回率和F1值。方法对比与iACE等方法不同本文专注于提取攻击行为并以溯源图的形式捕获系统级因果关系本文仍然存在一些缺陷。由于NLP复杂性提取精度会损失某些未知实体无法有效识别受到CTI报告作者的风格影响需要专家协作审计日志提取的信息限制了细粒度攻击建模简单总结写到这里作者简单总结下伊利诺伊大学芝加哥分校的五个工作可以很好地看到他们逐年的优化和改进。分别对应SLEUTH[USENIX’17]、NODOZE[NDSS’19]、Poirot[CCS’19]、HOLMES[SP’19]、Extrator[EurSP’21]。SLEUTH[USENIX’17]引入溯源图检测APT攻击NODOZE[NDSS’19]增加了威胁检测和异构图构建Poirot[CCS’19]融合IOC信息增加了查询图和溯源图的对齐算法HOLMES[SP’19]融合HSG和ATTCK框架解决语义损失问题增加去噪剪枝等操作Extrator[EurSP’21]结合NLP方法消歧和外部APT分析报告抽取知识并构建溯源图欢迎大家继续补充作者写得的不足因为阅读有限也可能漏掉一些重要论文和方法。这里简单补充几个作者分享不足之处和疑惑。问题1实验怎么评价它的精确率、召回率和F1值呢是算APT攻击正确识别数量还是实体识别数量还是溯源图中子图匹配数量呢问题2如何去鉴别一个APT攻击这点也非常重要。是将进程、文件、通信等不同对象标注成不同类别构建相互之间的关联呢问题3如何生成溯源图并且代码细节如何实现呢问题4论文中算法核心实现过程需要秀璋进一步精读和理解有机会复现文中的论文。问题5DARPA TC数据集是否开源我们能否继续优化方法。PS下面的论文由于阅读还存在一些疑惑作者就进行简单介绍还请读者见谅。HINTI [RAID’20]第五篇论文是RAID’20的HINTI。Jun Zhao, et al.Cyber Threat Intelligence Modeling Based on Heterogeneous Graph Convolutional Network. RAID’20https://www.usenix.org/system/files/raid20-zhao.pdf北京航天航空大学、密西根州立大学这篇文章的主要贡献如下提出一种基于异构图卷积网络的威胁情报模型建模IOC之间的依赖关系从非结构化威胁描述中自动提取网络威胁对象多粒度注意力机制学习特征的重要性攻击偏好建模将具有相同偏好的攻击聚集DBSCAN算法与现有的CTI框架不同HINTI旨在实现一个CTI计算框架它不仅可以有效提取IOC而且还可以建模和量化它们之间的关系。下表展示了17种元路径关系。HINTI能有效挖掘隐藏在IOCs之间相互依赖关系和安全知识并应用于威胁模型其核心四个步骤如下。(1) 首先通过B-I-O序列标注方法对安全相关帖子进行标注用于构建IOC提取模型。(2) 然后将标记的训练样本输入我们提出的神经网络以训练提出的IOC提取模型。(3) HINTI利用句法依赖性解析器e.g.主-谓-宾定语从句等提取IOC之间的关联关系每个关系都表示为三元组。(4) 最后HINTI集成了基于异构图卷积网络的CTI计算框架以有效量化IOC之间的关系并进行知识发现。本文提取的13种主要的IOC性能如表3所示。总的来说我们的IOC提取方法在精确率、召回率、平均F1值都表现出了优异的性能。然而我们观察到在识别软件和恶意软件时的性能下降这是因为大多数软件和恶意软件是由随机字符串命名如md5。图8显示了不同类型元路径下的前3个聚类结果其中元路径 AVDPDTVTAT(P17) 在紧凑和分离良好的集群中性能最好这表明它比其他元路径在描述攻击偏好方面具有更丰富的语义关系。与之前的方法对比本文也存在一些缺陷未在真实攻击场景实现未实现对未知攻击的预测知识推理未实现运行时检测及长期潜伏的APT攻击检测没有和主流的知识框架融合UNICORN [NDSS’20]第六篇论文是NDSS’20的UNICORN。Xueyuan Han, et al.Unicorn: Runtime Provenance-Based Detector for Advanced Persistent Threats. NDSS’20https://arxiv.org/pdf/2001.01525.pdf哈佛大学、布里斯托大学、伊利诺伊大学香槟分校、不列颠哥伦比亚大学这篇文章的主要贡献如下针对APT特性设计一种基于溯源图Provenance Graph的运行时APT检测方法直方图和概要图UNICORN能在没有先验攻击知识的前提下实现APT攻击检测且准确率高和误报率低第一个对本地完整系统进行运行分析的APT入侵检测系统概要图能对抗长时间潜伏的投毒攻击其框架如下图所示包括四个核心步骤①构建溯源图②建立运行时直方图③计算概要图④聚类直方图生成算法如下建议读者精读原文。实验结果如下图所示同时包括一些详细的性能对比。UNICORN与之前的方法对比结果如下Holmes[SP’19]和Poirot[CCS’19]需要先验专家知识先决条件-结果模式基于系统调用和日志事件的检测方法由于数据过于密集难以对长时间的攻击行为进行建模由于APT潜伏时间长且持久化攻击行为会缓慢改变传统模型以逃避检测系统投毒攻击UNICORN的局限性和改进如下需要定期重新训练正常行为改变可能会产生误报未考虑异质性行为更大的实验评估(IDS数据集)ProvDetector NDSS’20第七篇论文是NDSS’20的ProvDetector。Qi Wang, et al.You Are What You Do: Hunting Stealthy Malware via Data Provenance Analysis. NDSS’20https://www.ndss-symposium.org/wp-content/uploads/2020/02/24167-paper.pdf伊利诺伊大学香槟分校、NEC实验室、德克萨斯州大学达拉斯分校首先我们先介绍下离地攻击。只使用预安装的软件并且攻击者没有在系统上安装额外的二进制可执行文件。带有宏、VB脚本、Powershell脚本或者使用系统命令如netsh命令的文档属于离地攻击的范围。由于现有反病毒软件和方法很难检测到该类攻击本文提出一种ProvDetector方法它需要依赖内核级的溯源监控来捕获目标程序的动态行为。这篇文章的主要贡献如下提出一种基于溯源图的系统用于检测伪装技术的隐蔽恶意软件离地攻击 | 无文件攻击提出一种新的路径选择算法来识别溯源图中潜在的恶意部分恶意行为与底层操作系统交互设计一个新的神经嵌入和机器学习管道自动为每个程序建立一个轮廓并识别异常进程ProvDetector的核心ProvDetector分为四部分图构建、特征提取、嵌入和异常检测。部署监控代理按照定义收集系统数据放入数据库。定期扫描数据库检查是否有新添加的进程被劫持。对于每个进程先构建起起源图图构建。然后从源点图中选择路径子集特征提取并将路径转换为数值向量嵌入使用一个新颖的检测器来获得嵌入向量的预测并报告最终决定异常检测。实验结果如下图所示你可能会疑惑为什么分享这篇文章呢一方面由于它也用到了溯源图概念另一方面同样来自于伊利诺伊大学香槟分校团队同UNICORN并且将溯源图应用于其他领域即检测伪装技术的隐蔽恶意软件。这也是我们探索论文idea的一个思路可能其他领域或方法也会给我们带来灵感喔。当然目前作者科研能力太弱需要不断提升学习嘛一辈子的事情。加油RapSheet [SP’20]第八篇论文是SP’20的RapSheet。Wajih Ul Hassan, et al.Tactical Provenance Analysis for Endpoint Detection and Response Systems. SP’20https://ieeexplore.ieee.org/stamp/stamp.jsp?tparnumber9152771伊利诺伊大学香槟分校、NortonLifeLock本文首先指出已有的EDR端点检测和响应工具存在的三个主要弊端(1) EDR工具会产生大量的虚假警报从而为分析人员积压了调查任务(2) 确定这些威胁警报的准确性需要大量的低级系统日志人工任务繁琐(3) 由于日志占用巨大资源系统日志通常在进行调查之前就被删除。因此本文提出了战术源图Tactical Provenance Graphs, TPGs的概念个人感觉TTPs溯源图并研发了RapSheet系统直接推理EDR系统生成的威胁警报之间因果关系。其主要贡献如下首次将溯源图引入商业EDREndpoint Detection and Response提出战术溯源图(Tactical Provenance Graphs, TPGs)表示EDR生成威胁警报间的因果依赖关系引入一种威胁评分方法根据TPGs中存在的单个威胁警报之间的时间顺序来评估风险本文是用商业赛门铁克EDR软件进行真实检测和实验。其实验结果表明提升商业EDR效果检测未知攻击行为减少系统日志降低系统存储开销提高赛门铁克EDR的威胁检测精确度保留警报之间的因果关联性RapSheet与传统方法对比Holmes商业EDR部署复杂(保留100%日志)holmes16条TTP匹配规则 vs RapSheet增加至67条实践中EDR工具会限制日志缓冲区NoDoze防止投毒攻击假设(正常行为数据库)未跟踪ALPC消息Windows会断开溯源图利用DTaP高效分布式存储提高查询响应时间ATLAS [USENIX’21]最后一篇是2021年USENIX的论文作者仅作了简单的阅读。即ATLAS。该文章来自普度大学团队针对APT研究成果还包括NDSS’13的BEEP、NDSS’16的ProTracer等。此外CCS21也发现了新的溯源图研究成果说明基于溯源图的研究仍然是一个值得探索的方向。Abdulellah Alsaheel, et al.ATLAS: A Sequence-based Learning Approach for Attack Investigation. USENIX’21https://www.usenix.org/system/files/sec21-alsaheel.pdf普度大学本文提出一种基于序列的攻击调查学习方法ATLAS。其主要观察结果是无论所利用的漏洞和执行的有效载荷如何不同的攻击可能共享相似的抽象攻击策略。ATLAS是利用因果关系分析、自然语言处理和机器学习技术的新颖组合来构建基于序列的模型该模型从因果图建立攻击和非攻击行为的关键模式。在推断时间给定威胁警报事件确定因果图中的攻击症状节点。然后ATLAS构造一组与攻击症状节点关联的候选序列使用基于序列的模型来识别顺序中有助于攻击的节点并将识别出的攻击节点统一起来构建攻击记录。参考Serendipity老师的文章USENIX 2021 | ATLAS: A Sequence-based Learning Approach for Attack Investigation - 知乎本文的主要贡献如下利用审计日志生成端到端攻击故事end-to-end attack story的框架构建一个基于序列的模型因果关系图causal graph自然语言处理深度学习真实APT攻击事件10个进行实验并能恢复攻击关键步骤及还原攻击故事研究发现不同的攻击可能共享相似的抽象攻击策略个人感觉生成Attack Story还原攻击故事是本文的一大亮点。实验结果如下图所示建议阅读原文。ATLAS 主要涉及支持审计日志溯源追踪的三个子主题包括溯源图的因果关系分析、基于异常的分析以及 ML 技术在攻击调查中的应用。当然也存在一定的缺陷即当前工作仅限制于Windows平台无法检测到使用类似正常事件序列的隐藏攻击行为比如模拟攻击模型性能很大程度上取决于所收集的训练日志条目的质量三.方法对比写到这里上述方法已经介绍完毕接下来我们对所有文章进行简单的研究趋势梳理和方法对比研究。1.基于溯源图的方法研究趋势分析研究趋势如下还原各位老师和读者指正及补充。2.方法优缺点对比方法对比主要从溯源图、知识框架、先验知识和优缺点进行比较得出如下表所示结果。个人感觉溯源图、是否引入知识框架ATTCK、是否有先验知识、是否融入NLP消歧 | 对齐 | 去噪合真实场景应用是该方向研究的重要进步补充。3.数据集对比数据集的对比如下图所示主要以DARPA TC、公开威胁情报文本和真实场景攻击数据为主。四.总结基于溯源图的APT攻击检测是APT检测领域中一个非常重要的分支由于APT攻击的隐蔽性、威胁性、实时性、针对性传统的方法艰难检测因此提出了溯源图的方法。当前的研究趋势主要表现在基于溯源图和知识图谱的APT攻击检测结合APT攻击阶段特点融合ATTCK知识框架进行中间层特征表示解决语义损失全系统真实场景的细粒度APT攻击检测引入外部威胁情报知识NLP消歧对齐来辅助APT检测无先验专家知识对未知APT攻击实现预测点击关注第一时间了解华为云新鲜技术~《网络安全从零到精通全套学习大礼包》96节从入门到精通的全套视频教程免费领取如果你也想通过学网络安全技术去帮助就业和转行我可以把我自己亲自录制的96节从零基础到精通的视频教程以及配套学习资料无偿分享给你。网络安全学习路线图想要学习网络安全作为新手一定要先按照路线图学习方向不对努力白费。对于从来没有接触过网络安全的同学我帮大家准备了从零基础到精通学习成长路线图以及学习规划。可以说是最科学最系统的学习路线大家跟着这个路线图学习准没错。配套实战项目/源码所有视频教程所涉及的实战项目和项目源码学习电子书籍学习网络安全必看的书籍和文章的PDF市面上网络安全书籍确实太多了这些是我精选出来的面试真题/经验以上资料如何领取csdnimg.cn/direct/4fd5acecbff8471098d6b027b62f45d5.png#pic_center)学习电子书籍学习网络安全必看的书籍和文章的PDF市面上网络安全书籍确实太多了这些是我精选出来的面试真题/经验以上资料如何领取文章来自网上侵权请联系博主

带你读顶会论文丨基于溯源图的APT攻击检测

相关文章：

带你读顶会论文丨基于溯源图的APT攻击检测

Xray-强大的漏洞扫描工具

2026年，探秘义乌一次性包装盒定做厂家的独特工艺与优质服务！

CMMI 能力成熟度模型集成介绍

水厂供水泵房自控案例(工程实际在用) PLC程序+触摸屏程序+组态软件程序+图纸

2026年深圳冷冻食品包装盒代理，其中商机你知道多少？

基于YOLOv10深度学习的植物叶片病害识别检测系统（YOLOv10+YOLO数据集+UI界面+Python项目+模型）

基于MATLAB平台PCA的人脸识别：开启识别新征程

10：2026 AI变现实战总览：内容、工具、信息差三种变现闭环

Artemis II宇航员在太空中遭遇Outlook故障问题

【芯片后仿（Post-Silicon Simulation）完全指南：从入门到流片前的最后一道防线】

QuiX公司取得光子量子计算纠错重大突破

谷歌发布Gemma 4模型，为低功耗设备带来复杂推理能力

企业AI应用开发：从零构建企业级AI智能体的全流程指南

从“被看错”到“卖爆”，宇树机器人全国首店开业：机器狗平价上路，人形机器人掀价！

2026 Java AI框架选型：Spring AI/LangChain4j企业级对比

MPC轨迹跟踪：基于运动学、动力学CarsimSimulink联仿

【从零开始学Java | 第二十五篇】TreeSet

openclaw源码

优峰技术 1550nm 可调谐激光器：全光纤型分支器件检测核心光源

魔方财务批量拉取产品信息教程

驾校招生断崖式下跌？这3个数据驱动的获客策略，让报名量翻倍

基于单片机的婴儿看护系统设计

Problem - 2148F - Codeforces[字符串后缀排序]

国产SeekWave 双频WIFI6+BT5.4 VS6621SR80基于RK3588平台成功替换RTL8822模组硬件兼容速率可达600Mbps

解锁论文写作新境界：书匠策AI——学术探索的智能导航灯

GHelper终极指南：用轻量化工具彻底替代Armoury Crate，释放华硕ROG笔记本全部性能！

c++入门：函数实参形参傻傻分不清？如何改变实参！

ObsPy完整指南：如何用Python快速处理地震数据

怎样评估数据化管理？数据化管理如何持续改进？