123,123

基于溯源图分析的高级持续威胁检测技术综述

网络安全与数据治理

张䶮1,2，杨晓帆1,2

1.中广电广播电影电视设计研究院有限公司；2.广播电视与视听新媒体智慧监管国家广播电视总局重点实验室

摘要： 全球高级持续威胁（Advanced Persistent Threat, APT）以其高度组织化、隐蔽性强、长期潜伏和跨平台协同的复杂攻击模式，对国家网络空间安全提出严峻挑战。在APT攻击过程中，溯源图能够通过多源数据融合与图结构分析，有效捕获攻击者遗留的蛛丝马迹，对APT攻击检测具有重要帮助。聚焦基于溯源图分析的APT检测技术，对近期国际高水平期刊和会议的工作进行了总结。首先对APT定义、生命周期及当前我国面临的APT攻击现状进行描述；随后，将基于溯源图分析的APT攻击检测方法分为基于传统技术和基于学习训练的方法进行具体介绍和总结，对比优势和局限性，并总结和讨论该领域未来展望，指出将传统方法与学习模型融合研究是未来重要方向，为该领域人员提供借鉴和参考。

關(guān)鍵詞： 高级持续威胁溯源图分析检测网络安全

中圖分類號(hào)：TP399；TP309文獻(xiàn)標(biāo)識(shí)碼：ADOI:10.19358/j.issn.2097-1788.2025.08.001
引用格式：張，楊曉帆. 基于溯源圖分析的高級(jí)持續(xù)威脅檢測技術(shù)綜述［J］.網(wǎng)絡(luò)安全與數(shù)據(jù)治理，2025，44（8）：1-9.

A survey of provenance graph-based methods for advanced persistent threat detection

Zhang Yan 1,2，Yang Xiaofan 1,2

1. Radio, Film and Television Design and Research Institute Co., Ltd.; 2. Key Laboratory of Intelligent Supervision for Radio, Television and Audiovisual New Media, National Radio and Television Administration

Abstract： Global Advanced Persistent Threats (APTs) pose severe challenges to national cyberspace security due to their highly organized, stealthy, persistent, and cross-platform coordinated attack patterns. During APT attacks, provenance graphs constructed through multi-source data can effectively capture the traces left by attackers, thereby playing a critical role in APT detection. This paper focuses on provenance graph-based APT detection methods and systematically summarizes recent studies from international journals and conferences. Firstly, it delineates the definition of APTs, their lifecycle, and the current landscape of APT attacks faced by China. Subsequently, it categorizes and elaborates on provenance graph-based APT detection methods, dividing them into traditional technique-based methods and learning-based methods. The paper compares their advantages and limitations, summarizes and discusses future prospects in this field, and highlights that integrating traditional methods with learning models represents a critical research direction. This research provides reference guidance for researchers in this field.

Key words : advanced persistent threat; provenance graph analysis; detection; cyber space security

引言

隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展和數(shù)字化進(jìn)程的加速推進(jìn)，網(wǎng)絡(luò)空間與人類活動(dòng)息息相關(guān)，已成為國家主權(quán)、經(jīng)濟(jì)命脈和社會(huì)穩(wěn)定的戰(zhàn)略要地。然而，高級(jí)持續(xù)威脅（Advanced Persistent Threat, APT）的泛濫已成為現(xiàn)代計(jì)算環(huán)境安全面臨的最大威脅之一。例如，具有美國背景的APT組織開發(fā)的震網(wǎng)（Stuxnet）蠕蟲病毒，高度精準(zhǔn)破壞伊朗的核計(jì)劃［1］；“海蓮花”（OceanLotus）組織長期利用網(wǎng)絡(luò)設(shè)備漏洞對我國政府、科研院校等高價(jià)值目標(biāo)展開攻擊；“方程式”（Equation）組織針對我國西北工業(yè)大學(xué)實(shí)施APT攻擊［2］。這類攻擊以高度組織化、隱蔽性強(qiáng)、持續(xù)周期長為特征，通過多階段滲透和復(fù)雜手段突破目標(biāo)網(wǎng)絡(luò)防御體系，對關(guān)鍵基礎(chǔ)設(shè)施、核心數(shù)據(jù)資產(chǎn)乃至國家安全構(gòu)成嚴(yán)峻挑戰(zhàn)。在此背景下，如何實(shí)現(xiàn)APT攻擊的精準(zhǔn)檢測與有效防御，成為網(wǎng)絡(luò)安全領(lǐng)域亟待突破的核心難題。傳統(tǒng)安全防護(hù)技術(shù)（如入侵檢測系統(tǒng)等）主要依賴已知攻擊特征碼或行為模式的匹配，在應(yīng)對多階段高隱蔽的APT攻擊時(shí)存在明顯局限性。APT攻擊通常采用定向“釣魚”、定制化漏洞工具、供應(yīng)鏈滲透及多跳橫向移動(dòng)等多種策略，其攻擊鏈的碎片化、低頻化特征使得基于單點(diǎn)日志或流量分析的方法難以捕捉全局威脅，亟須探索能夠深度挖掘攻擊上下文關(guān)聯(lián)、適應(yīng)動(dòng)態(tài)威脅環(huán)境的檢測范式。

近年來，溯源圖分析技術(shù)因其關(guān)聯(lián)強(qiáng)覆蓋廣的優(yōu)勢逐漸成為APT檢測領(lǐng)域的研究熱點(diǎn)。該技術(shù)通過構(gòu)建實(shí)體間關(guān)聯(lián)有向圖模型，將離散的系統(tǒng)事件（如進(jìn)程創(chuàng)建、文件訪問、網(wǎng)絡(luò)連接）映射為具有時(shí)序邏輯的語義豐富的結(jié)構(gòu)化數(shù)據(jù)圖表示。通過揭示攻擊者從初始入侵到橫向滲透的多步行為上下文，溯源圖分析技術(shù)能夠?qū)⒁蚬嚓P(guān)的攻擊事件通過上下文序列直接關(guān)聯(lián)，有效提升APT攻擊檢測的準(zhǔn)確率。

本文主要對近10年在CCF推薦國際學(xué)術(shù)高水平（CCF A類）會(huì)議和期刊中發(fā)表的APT檢測相關(guān)工作進(jìn)行深入調(diào)研，給出高級(jí)持續(xù)威脅的定義，重點(diǎn)介紹和分析基于溯源圖分析技術(shù)的APT檢測工作，并討論了基于溯源圖分析技術(shù)的APT 檢測未來發(fā)展的側(cè)重點(diǎn)。

本文詳細(xì)內(nèi)容請下載：

http://ihrv.cn/resource/share/2000006644

作者信息：

張?1,2，楊曉帆1,2

（1.中廣電廣播電影電視設(shè)計(jì)研究院有限公司，北京100045；

2.廣播電視與視聽新媒體智慧監(jiān)管國家廣播電視總局重點(diǎn)實(shí)驗(yàn)室，北京100045）

Magazine.Subscription.jpg

原創(chuàng)聲明：此內(nèi)容為AET網(wǎng)站原創(chuàng)，未經(jīng)授權(quán)禁止轉(zhuǎn)載。

相關(guān)內(nèi)容