引言
随着互联网技术的高速发展和数字化进程的加速推进,网络空间与人类活动息息相关,已成为国家主权、经济命脉和社会稳定的战略要地。然而,高级持续威胁(Advanced Persistent Threat, APT)的泛滥已成为现代计算环境安全面临的最大威胁之一。例如,具有美国背景的APT组织开发的震网(Stuxnet)蠕虫病毒,高度精准破坏伊朗的核计划[1];“海莲花”(OceanLotus)组织长期利用网络设备漏洞对我国政府、科研院校等高价值目标展开攻击;“方程式”(Equation)组织针对我国西北工业大学实施APT攻击[2]。这类攻击以高度组织化、隐蔽性强、持续周期长为特征,通过多阶段渗透和复杂手段突破目标网络防御体系,对关键基础设施、核心数据资产乃至国家安全构成严峻挑战。在此背景下,如何实现APT攻击的精准检测与有效防御,成为网络安全领域亟待突破的核心难题。传统安全防护技术(如入侵检测系统等)主要依赖已知攻击特征码或行为模式的匹配,在应对多阶段高隐蔽的APT攻击时存在明显局限性。APT攻击通常采用定向“钓鱼”、定制化漏洞工具、供应链渗透及多跳横向移动等多种策略,其攻击链的碎片化、低频化特征使得基于单点日志或流量分析的方法难以捕捉全局威胁,亟须探索能够深度挖掘攻击上下文关联、适应动态威胁环境的检测范式。
近年来,溯源图分析技术因其关联强覆盖广的优势逐渐成为APT检测领域的研究热点。该技术通过构建实体间关联有向图模型,将离散的系统事件(如进程创建、文件访问、网络连接)映射为具有时序逻辑的语义丰富的结构化数据图表示。通过揭示攻击者从初始入侵到横向渗透的多步行为上下文,溯源图分析技术能够将因果相关的攻击事件通过上下文序列直接关联,有效提升APT攻击检测的准确率。
本文主要对近10年在CCF推荐国际学术高水平(CCF A类)会议和期刊中发表的APT检测相关工作进行深入调研,给出高级持续威胁的定义,重点介绍和分析基于溯源图分析技术的APT检测工作,并讨论了基于溯源图分析技术的APT 检测未来发展的侧重点。
本文详细内容请下载:
https://www.chinaaet.com/resource/share/2000006644
作者信息:
张䶮1,2,杨晓帆1,2
(1.中广电广播电影电视设计研究院有限公司,北京100045;
2.广播电视与视听新媒体智慧监管国家广播电视总局重点实验室,北京100045)
