《電子技術(shù)應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 設計應用 > 基于溯源圖分析的高級持續(xù)威脅檢測技術(shù)綜述
基于溯源圖分析的高級持續(xù)威脅檢測技術(shù)綜述
網(wǎng)絡安全與數(shù)據(jù)治理
張?1,2,楊曉帆1,2
1.中廣電廣播電影電視設計研究院有限公司;2.廣播電視與視聽新媒體智慧監(jiān)管國家廣播電視總局重點實驗室
摘要: 全球高級持續(xù)威脅(Advanced Persistent Threat, APT)以其高度組織化、隱蔽性強、長期潛伏和跨平臺協(xié)同的復雜攻擊模式,對國家網(wǎng)絡空間安全提出嚴峻挑戰(zhàn)。在APT攻擊過程中,溯源圖能夠通過多源數(shù)據(jù)融合與圖結(jié)構(gòu)分析,有效捕獲攻擊者遺留的蛛絲馬跡,對APT攻擊檢測具有重要幫助。聚焦基于溯源圖分析的APT檢測技術(shù),對近期國際高水平期刊和會議的工作進行了總結(jié)。首先對APT定義、生命周期及當前我國面臨的APT攻擊現(xiàn)狀進行描述;隨后,將基于溯源圖分析的APT攻擊檢測方法分為基于傳統(tǒng)技術(shù)和基于學習訓練的方法進行具體介紹和總結(jié),對比優(yōu)勢和局限性,并總結(jié)和討論該領(lǐng)域未來展望,指出將傳統(tǒng)方法與學習模型融合研究是未來重要方向,為該領(lǐng)域人員提供借鑒和參考。
中圖分類號:TP399;TP309文獻標識碼:ADOI:10.19358/j.issn.2097-1788.2025.08.001
引用格式:張,楊曉帆. 基于溯源圖分析的高級持續(xù)威脅檢測技術(shù)綜述[J].網(wǎng)絡安全與數(shù)據(jù)治理,2025,44(8):1-9.
A survey of provenance graph-based methods for advanced persistent threat detection
Zhang Yan 1,2,Yang Xiaofan 1,2
1. Radio, Film and Television Design and Research Institute Co., Ltd.; 2. Key Laboratory of Intelligent Supervision for Radio, Television and Audiovisual New Media, National Radio and Television Administration
Abstract: Global Advanced Persistent Threats (APTs) pose severe challenges to national cyberspace security due to their highly organized, stealthy, persistent, and cross-platform coordinated attack patterns. During APT attacks, provenance graphs constructed through multi-source data can effectively capture the traces left by attackers, thereby playing a critical role in APT detection. This paper focuses on provenance graph-based APT detection methods and systematically summarizes recent studies from international journals and conferences. Firstly, it delineates the definition of APTs, their lifecycle, and the current landscape of APT attacks faced by China. Subsequently, it categorizes and elaborates on provenance graph-based APT detection methods, dividing them into traditional technique-based methods and learning-based methods. The paper compares their advantages and limitations, summarizes and discusses future prospects in this field, and highlights that integrating traditional methods with learning models represents a critical research direction. This research provides reference guidance for researchers in this field.
Key words : advanced persistent threat; provenance graph analysis; detection; cyber space security

引言

隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展和數(shù)字化進程的加速推進,網(wǎng)絡空間與人類活動息息相關(guān),已成為國家主權(quán)、經(jīng)濟命脈和社會穩(wěn)定的戰(zhàn)略要地。然而,高級持續(xù)威脅(Advanced Persistent Threat, APT)的泛濫已成為現(xiàn)代計算環(huán)境安全面臨的最大威脅之一。例如,具有美國背景的APT組織開發(fā)的震網(wǎng)(Stuxnet)蠕蟲病毒,高度精準破壞伊朗的核計劃[1];“海蓮花”(OceanLotus)組織長期利用網(wǎng)絡設備漏洞對我國政府、科研院校等高價值目標展開攻擊;“方程式”(Equation)組織針對我國西北工業(yè)大學實施APT攻擊[2]。這類攻擊以高度組織化、隱蔽性強、持續(xù)周期長為特征,通過多階段滲透和復雜手段突破目標網(wǎng)絡防御體系,對關(guān)鍵基礎設施、核心數(shù)據(jù)資產(chǎn)乃至國家安全構(gòu)成嚴峻挑戰(zhàn)。在此背景下,如何實現(xiàn)APT攻擊的精準檢測與有效防御,成為網(wǎng)絡安全領(lǐng)域亟待突破的核心難題。傳統(tǒng)安全防護技術(shù)(如入侵檢測系統(tǒng)等)主要依賴已知攻擊特征碼或行為模式的匹配,在應對多階段高隱蔽的APT攻擊時存在明顯局限性。APT攻擊通常采用定向“釣魚”、定制化漏洞工具、供應鏈滲透及多跳橫向移動等多種策略,其攻擊鏈的碎片化、低頻化特征使得基于單點日志或流量分析的方法難以捕捉全局威脅,亟須探索能夠深度挖掘攻擊上下文關(guān)聯(lián)、適應動態(tài)威脅環(huán)境的檢測范式。

近年來,溯源圖分析技術(shù)因其關(guān)聯(lián)強覆蓋廣的優(yōu)勢逐漸成為APT檢測領(lǐng)域的研究熱點。該技術(shù)通過構(gòu)建實體間關(guān)聯(lián)有向圖模型,將離散的系統(tǒng)事件(如進程創(chuàng)建、文件訪問、網(wǎng)絡連接)映射為具有時序邏輯的語義豐富的結(jié)構(gòu)化數(shù)據(jù)圖表示。通過揭示攻擊者從初始入侵到橫向滲透的多步行為上下文,溯源圖分析技術(shù)能夠?qū)⒁蚬嚓P(guān)的攻擊事件通過上下文序列直接關(guān)聯(lián),有效提升APT攻擊檢測的準確率。

本文主要對近10年在CCF推薦國際學術(shù)高水平(CCF A類)會議和期刊中發(fā)表的APT檢測相關(guān)工作進行深入調(diào)研,給出高級持續(xù)威脅的定義,重點介紹和分析基于溯源圖分析技術(shù)的APT檢測工作,并討論了基于溯源圖分析技術(shù)的APT 檢測未來發(fā)展的側(cè)重點。


本文詳細內(nèi)容請下載:

http://www.ihrv.cn/resource/share/2000006644


作者信息:

張?1,2,楊曉帆1,2

(1.中廣電廣播電影電視設計研究院有限公司,北京100045;

2.廣播電視與視聽新媒體智慧監(jiān)管國家廣播電視總局重點實驗室,北京100045)


Magazine.Subscription.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。