本文分享自华为云社区《[论文阅读] (10)基于溯源图的APT攻击检测安全顶会总结》，作者： eastmount 。

一、背景知识

1、什么是 APT 攻击？

APT 攻击（Advanced Persistent Threat，高级持续性威胁） 是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT 攻击也称为定向威胁攻击，指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性，通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。

2、APT 攻击的特点

上图的表格展示了 APT 攻击和普通攻击的区别。可以简单地将 APT 攻击特点总结为：

• 隐蔽性

0-day 漏洞、needle in a haystack（通常不到 0.01%）、无文件攻击、加密流量

• 持续性

low-and-slow（潜伏时间长）、攻击时间跨度大

• 针对性

Stuxnet、SolarWinds

• 模块化（自适应）

Stuxnet、WannaCry

3、APT 攻击检测存在的困难

下图展示了 2016 到 2020 年，亚太地区 AP 攻击事件的停留时间，可以看到其潜伏期很长，想要发现一起 APT 攻击极为困难。同时，传统 APT 攻击检测存在一定的缺陷，包括：

• 无法捕获长期运行的系统行为

• 0-day 漏洞导致攻击艰难检测

• 实时攻击检测、真实场景检测效果不佳

• 容易遭受投毒攻击

注意，这里的投毒攻击是指因 APT 攻击持续时间长，导致 ML 模型学习攻击特征时，会将恶意行为逐渐训练学习为正常行为

• …

接着补充下两个辅助 APT 攻击的经典知识框架，它们分别是 kill-chain Model 和 ATT&CK Model。它们既能帮助我们理解、检测和溯源 APT 攻击流程，又在论文中作了相应的贡献，现已被广泛用于 APT 攻击检测领域研究，后面会详细介绍。

• kill-chain Model

• 洛克希德·马丁公司开发的“网络杀伤链”模型描述了网络攻击的各阶段流程，具体包括七个阶段，即目标侦查、武器构建、载荷投递、漏洞利用、安装植入、命令与控制、任务执行。

• ATT&CK Model

• ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge ）是一个攻击行为知识库和模型，主要应用于评估攻防能力覆盖、APT 情报分析、威胁狩猎及攻击模拟等领域。网址：https://attack.mitre.org/

最后展示了常见 APT 组织。

二、APT 攻击检测研究

该部分从 APT 攻击检测相关研究、基于异常检测的方法和基于溯源图的方法三个方面介绍，重点以基于溯源图的方法为主。

1、APT 攻击检测相关研究

APT 攻击检测研究方法的分类很多，作者这里仅将其分成了两大块（不一定合适），主要和作者阅读的论文相关，也欢迎大家交流分类方法。即：

• Anomaly-based detectors for APTs

– 主机日志（审计日志）

– 系统调用

– 网络流量 | 警报信息

– 恶意行为

• Provenance graph-based detectors for APTs

– 溯源图

– +引入外部知识

– +融合 ATT&CK 框架

– 因果关系图+NLP

我们先看看图中下半部分基于 溯源图（Provenance Graph） 的 APT 检测方法。主要包括：

• 伊利诺伊大学芝加哥分校团队

首先，USENIX’17 提出的 SLEUTH，将溯源图应用于 APT 攻击检测领域。然后，该团队紧接着在 2019 年 CCS 会议上提出 Poirot，在 S&P’19 上提出 Holmes，该方法融合了 Kill Chain 和 ATT&CK 框架。此外，在 2021 年 EurS&P 提出 Extrator，并引入外部知识。

• 伊利诺伊大学香槟分校团队

另一个研究溯源图的团队来自伊利诺伊大学香槟分校，他们分别在 NDSS’20 提出了 UNICORN 和 ProvDetector，同时在 2020 年的 S&P 上提出 RapSheet，它融合了 ATT&CK 框架。

• 普渡大学团队

第三个团队是来自普渡大学，当然各团队之间有很多合作团队。他们的核心成果包括 NDSS’13 提出的 BEEP，NDSS’16 提出的 ProTracer 和 USENIX’21 提出的 ATLAS。

整个基于溯源图的 APT 检测方法是在 Baseline 的基础上不断优化，包括溯源图+引入外部知识、溯源图+融合 ATT&CK 框架、因果关系图+NLP 等。后面的论文和框架图作者会更详细的介绍，从而梳理出溯源图方法的研究路线。另外，基于异常检测的方法图中也列举了部分方法。

2、基于异常检测的方法

基于异常检测的方法这里简单例举了利用 C&C 域名、数学模型、恶意流量和恶意行为实现 APT 攻击检测的框架图，如下图所示。

上述传统 APT 攻击检测方法主要存在的缺陷包括：

• APT 攻击时间跨度长，缺乏方法或工具有效将信息进行关联，还原攻击链

• 实时检测困难，较难高效地从百万条日志中筛选数据，并检测出最可能的攻击行为

• 较难让分析人员通过数据有效地进行推理，从而检测未知攻击

• 缺乏对真实场景的 APT 攻击进行检测，并且 IDS 和 SIEM 会产生大量的信息，传统方法识别真实的攻击更加困难

• 无法有效解决投毒攻击，即由于 APT 攻击时间跨度较长，深度学习会将恶意特征训练为正常特征

结合上述原因，产生了改进方法，即：

• 基于溯源图的 APT 攻击检测（Provenance graph-based detector for APTs）

接下来开始详细介绍基于溯源图的 APT 攻击检测方法。

三、方法对比

写到这里，上述方法已经介绍完毕，接下来我们对所有文章进行简单的研究趋势梳理和方法对比研究。

1、基于溯源图的方法研究趋势分析

研究趋势如下，还原各位老师和读者指正及补充。

2、方法优缺点对比

方法对比主要从溯源图、知识框架、先验知识和优缺点进行比较，得出如下表所示结果。个人感觉，溯源图、是否引入知识框架（ATT&CK）、是否有先验知识、是否融入 NLP（消歧 | 对齐 | 去噪合真实场景应用是该方向研究的重要进步补充。

3、数据集对比

数据集的对比如下图所示，主要以 DARPA TC、公开威胁情报文本和真实场景攻击数据为主。

四、总结

基于溯源图的 APT 攻击检测是 APT 检测领域中一个非常重要的分支，由于 APT 攻击的隐蔽性、威胁性、实时性、针对性，传统的方法艰难检测，因此提出了溯源图的方法。当前的研究趋势主要表现在：

• 基于溯源图和知识图谱的 APT 攻击检测

• 结合 APT 攻击阶段特点，融合 ATT&CK 知识框架进行中间层特征表示，解决语义损失

• 全系统真实场景的细粒度 APT 攻击检测

• 引入外部威胁情报知识（NLP 消歧对齐）来辅助 APT 检测

• 无先验专家知识

• 对未知 APT 攻击实现预测

点击关注，第一时间了解华为云新鲜技术~