科创中国

行业领域

电子信息技术

需求背景

本问题一直是 ML 用于安全领域的主要挑战之一，特别是在终端动态入侵检测领 域。首先，相较于静态样本的特征数据，动态数据的获取难度极大：目前主流方法通过沙 箱或终端探针动态运行获取，前者有沙箱对抗问题，后者有数据粒度不足的问题；其次， 样本的多样性难以保证：其一，根据 att&ck 矩阵，攻击技术繁多，杀伤链复杂，难以覆盖 全面；其二：目前终端动态入侵检测普遍基于 provenance graph 的数据模型，单进程或执 行预制脚本的方式模拟恶意行为，其运行数据在图中结构十分相似，与真实攻击相差甚远； 最后，数据分布失衡问题严重：一方面，合法程序的行为数据量巨大，而恶意样本的行为 数据缺乏；另一方面，真实环境中攻击态势持续改变、样本分布快速变化，而实验室中构 造的训练集样本分布难以契合实际情况。这一些列的问题，导致 ML 在安全领域难以落地。 然而，对于未知攻击或 APT 攻击检测，ML 是解决的最佳候选方法之一。因此，如何自动化 产生符合实际需求的样本数据具有重要的研究意义。

需解决的主要技术难题

研究和开发 APT 攻击样本生成技术，该技术应可以自动化地构造在执行顺序 （杀伤链）、provenance graph 等方面具有多样性的攻击样本，同时要考虑样本的分布、快 速迭代等问题，为终端动态行为检测 AI 研究提供基础。 1. 在 Windows/Linux（可选：MacOS）上，研究提供自动化构造样本的方法或者提供产生 具备真实性的动态行为数据的方法。样本对应的行为应具备多样性，特别在 provenance graph 的视角上。 2. 研究通过 CTI等方式，跟踪攻击态势变换，可灵活增加多样性、改变样本分布特征的方 法。 3. 孵化并实现相关框架或工具。

期望实现的主要技术目标

生成具备在 provenance graph 上具备多样性和真实性的攻击样本/框架，生成 技术不限于 AI。

1.提供不少于 30 个不同场景的攻击生成；

2.生成的样本应能覆盖同类已知真实攻击 70%； 

3.理论创新方面，能在相关领域发表高价值学术论文；

4.完成发明专利一项，高水平论文一篇。

需求解析

解析单位：“科创中国”工业互联网产业科技服务团（中国计算机学会） 解析时间：2023-10-09

姚建民

苏州市科技服务中心

研究员

综合评价

基于ML的安全威胁样本生成是安全领域的主要挑战之一，对于未知攻击或 APT攻击检测，ML是解决的最佳候选方法之一，如何自动化产生符合实际需求的样本数据具有重要的研究意义。 技术需求涉及研究和开发 APT攻击样本生成技术、提供自动化构造样本的方法或者产生具备真实性的动态行为数据的方法、通过CTI等方式灵活增加多样性、改变样本分布特征的方法。提供不少于 30 个不同场景的攻击生成；生成的样本应能覆盖同类已知真实攻击 70%； 技术需求描述清晰，非常有行业共性，已有可能实现的技术积累，具有较高的研发价值。

查看更多>

处理进度