APT攻击行为表示-门元昊.pdf

BeijingForestStudio

ThenameoftheDepartment

北京理工大学信息系统及安全对抗实验中心

部门名称

APT攻击行为表示──跨越语义鸿沟

博士研究生门元昊

导师：罗森林

2024年04月28日

问题回溯

•总结反思

–PPT内容上对背景知识和基本概念的介绍偏少

–算法讲解过程不够清楚和简洁

•相关内容

–2021.12.26关迎丹：《结合溯源图的APT检测方法》

–2023.05.03门元昊：《开放式信息抽取技术》

2

内容提要

•预期收获

•目标内涵

•背景意义

•知识基础

•算法原理

–MLAPT-CKC

–HT-GCN

•特点总结

•工作展望

•参考文献

3

预期收获

•预期收获

–1.了解APT攻击的基本概念和描述方法

–2.理解APT攻击行为表示的基本原理

–3.了解APT攻击行为表示的应用场景与发展前沿

4

目标内涵

•研究目标

–以威胁情报、网络流量、审计日志等安全运营数据为研究对象

–面向APT攻击行为提取相关任务

–结合知识图谱、深度学习、图网络、自然语言处理等技术

–解决底层数据与高层行为间的语义鸿沟，实现APT攻击行为的自动化提取

•内涵解析

–底层数据：以威胁情报、网络流量、审计日志等安全数据为代表，可由安全运维

人员实时直接采集；数量庞大，缺乏直观性

–高层行为：依据专家经验和领域知识建立的概念或类别等，如战术、技术和过程

等，通常需要人为分析和判别；种类精简，具备抽象性

5

背景意义

•研究背景

–网络攻击逐步复杂化、组织化，攻击后果更具破坏性和严重性

•安全专家人工分析效率低，难以应对海量安全数据

•传统自动化分析方法可应对简单攻击，难以应对高复杂APT攻击

•研究意义

–深入挖掘情报文本、网络流量等多类型数据关联，突破APT攻击行为语义鸿沟，

实现高检出低误报的APT攻击行为提取和发现，提高系统安全防御和响应能力

6

基础知识APT攻击

•APT攻击：高级持续性威胁，AdvancePersistentThreat

–利用先进的技战术手段，进行长期持续性渗透攻击，产生有效威胁

–核心特点

•目标性：攻击目标比较明确，针对特定高价值目标，会定制攻击技战术和策略

•持续性：长期持续的渗透活动，并非一次性攻击，周期可按周、月或年计算

•隐蔽性：采用多种隐藏和保护方法，隐藏渗透踪迹，难以检测和发现