《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信与网络 > 设计应用 > 融合溯源图与知识图谱的APT攻击检测模型研究
融合溯源图与知识图谱的APT攻击检测模型研究
网络安全与数据治理
安渊1,鲍永庆2
1.国家计算机网络应急技术处理协调中心西藏分中心; 2.中共西藏自治区委员会网络安全和信息化委员会办公室
摘要: 针对高级持续性威胁(APT)攻击所具有的隐蔽性强、持续时间长、多阶段渐进的特点,提出了一种融合动态系统行为溯源图与静态威胁情报知识图谱的检测模型。该模型使用时空图注意力网络联合建模攻击链中的空间依赖与时间演化关系。通过图注意力网络捕捉实体间可疑关联,通过门控循环单元建模行为序列的阶段性演进,从而实现对APT攻击全链条的端到端检测。在WindowsAPTs Dataset 2025公开数据集上的实验表明,所提模型在APT多分类检测任务中性能良好,准确率达95.14%,F1分数为95.29%。
關(guān)鍵詞: APT攻击检测 溯源图 知识图谱
中圖分類號(hào):TP393.08文獻(xiàn)標(biāo)志碼:ADOI:10.19358/j.issn.2097-1788.2026.03.002
中文引用格式:安淵,鮑永慶. 融合溯源圖與知識(shí)圖譜的APT攻擊檢測(cè)模型研究[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2026,45(3):10-16.
英文引用格式:An Yuan,Bao Yongqing. Research on an APT attack detection model integrating provenance graphs and knowledge graphs[J].Cyber Security and Data Governance,2026,45(3):10-16.
Research on an APT attack detection model integrating provenance graphs and knowledge graphs
An Yuan1,Bao Yongqing2
1. National Computer Network Emergency Response Technical Team/Coordination Center of China, Xizang Branch;Office of the Cyberspace Administration and Informatization Committee of the Communist Party of China Xizang Autonomous Region Committee
Abstract: Advanced Persistent Threat (APT) attacks, characterized by strong concealment, long duration, and multistage progressive patterns, were addressed by a novel detection model. The model was constructed through the fusion of dynamic system behavior provenance graphs with static threat intelligence knowledge graphs. Spatial dependencies and temporal evolution relationships within attack chains were jointly modeled using spatialtemporal graph attention networks. Suspicious associations between entities were captured through graph attention mechanisms, while stagewise evolution of behavioral sequences was modeled using gated recurrent units, enabling endtoend detection of complete APT attack chains. Experiments on the public WindowsAPTs Dataset 2025 demonstrated that the proposed model performed well in the APT multiclassification detection task, with an accuracy of 95.14% and an F1score of 95.29%.
Key words : APT attack detection; provenance graph; knowledge graph

引言

高級(jí)持續(xù)性威脅(Advanced Persistent Threat,APT)攻擊因其隱蔽性、持續(xù)性和組織化特征,已經(jīng)成為企業(yè)級(jí)網(wǎng)絡(luò)安全的核心挑戰(zhàn)。區(qū)別于傳統(tǒng)的網(wǎng)絡(luò)攻擊,APT攻擊通常由具備明確戰(zhàn)略意圖的組織發(fā)起,采用多階段、漸進(jìn)式的攻擊模式,綜合運(yùn)用社會(huì)工程學(xué)、零日漏洞利用及復(fù)雜的命令與控制網(wǎng)絡(luò),旨在長(zhǎng)期潛伏并竊取高價(jià)值信息[1]。傳統(tǒng)依賴已知特征碼匹配或基于單點(diǎn)異常閾值的檢測(cè)方法[2],因其缺乏對(duì)攻擊全局上下文和內(nèi)在邏輯關(guān)聯(lián)的理解,往往難以奏效,導(dǎo)致漏報(bào)與誤報(bào)。

為突破這一瓶頸,基于系統(tǒng)審計(jì)日志構(gòu)建數(shù)據(jù)溯源圖[3]的研究范式應(yīng)運(yùn)而生。該方法通過將分散的系統(tǒng)事件重構(gòu)為具有因果與時(shí)間屬性的有向圖,能夠直觀地刻畫攻擊鏈中實(shí)體間的依賴關(guān)系,為還原復(fù)雜的多步攻擊提供了強(qiáng)大的結(jié)構(gòu)化表示基礎(chǔ)。

與此同時(shí),知識(shí)圖譜技術(shù)為整合與利用網(wǎng)絡(luò)安全領(lǐng)域的碎片化信息提供了理想框架。特別是以MITRE ATT&CK[4]為代表的知識(shí)庫(kù),系統(tǒng)化地建模了APT組織、攻擊技術(shù)、利用工具及防御措施之間的復(fù)雜關(guān)聯(lián)。


本文詳細(xì)內(nèi)容請(qǐng)下載:

http://ihrv.cn/resource/share/2000007021


作者信息:

安淵1,鮑永慶2

(1.國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心西藏分中心,西藏拉薩850000;

2.中共西藏自治區(qū)委員會(huì)網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室,西藏拉薩850000)

2.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。