科创中国

行业领域

电子信息技术

需求背景

随着网络环境的复杂化和攻击手法的多样化，单主机日志分析和传统的威胁检测方法难以对复杂的攻击进行有效的建模和分析。本课题旨在多主机场景下，通过溯源图构建技术还原攻击全貌；并利用图分析算法来有效地定位威胁事件，发现多种典型攻击；通过攻击推理技术有效地还原攻击者攻击意图与攻击过程。另一方面，由于多主机场景面临节点数量大的问题，如何将构建的溯源图进行高效的存储及清晰的可视化，也是当前亟待研究的一个问题。

需解决的主要技术难题

1.基于主机日志或网络流量等多种数据，构建多主机溯源图。 2.基于多主机溯源图，实现攻击过程调查技术，溯源攻击19源所使用的网络设备，或主机进程/文件。3.研究基于多主机溯源图的攻击过程推理技术，实现多主机场景下的攻击路径还原。 4.构建网络攻击威胁子图模型，并基于多主机溯源图发现潜在的网络威胁。 5.溯源图存储及可视化技术。

期望实现的主要技术目标

研制基于多主机攻击场景的威胁检测及攻击推理原型系统1套，并提供源代码。其中指标要求包括：1.能够分别基于主机日志或网路流量形成主机溯源图构建方法不少于2种，并能够准确形成包含多主机行为或事件的多主机溯源图；2.设计并实现可用的攻击调查方法/模型不少于2个，能够溯源得到攻击源，攻击源准确率达到80%以上；3.设计并实现攻击推理方法/模型不少于2个，攻击路径还原测试准确率达到80%以上；4.威胁子图模型可以匹配或适应不少于10种攻击场景，并能够准确识别攻击类型，识别准确率达70%以上。

需求解析

解析单位：“科创中国”工业互联网产业科技服务团（中国计算机学会） 解析时间：2023-10-16

袁华

常熟理工学院

教授

综合评价

项目采用溯源图追踪日志之间的因果关系，保留了系统的丰富执行历史信息，便于检测长期且隐蔽的APT攻击。项目的研发旨在完成细粒度系统级行为的关联，实现在大规模行为中识别异常与恶意意图，发现潜在的APT或其他高级威胁，并提供完整的溯源分析与相关损失评估。同时，项目能够实现网络推理能力与企业规模网络监控和管控系统的整合，以增强关键节点的安全策略有效性。 项目需求明确，项目主旨思路：基于溯源图和知识图谱的APT攻击检测，结合APT攻击阶段特点，融合ATT&CK知识框架进行中间层特征表示，解决语义损失；实现全系统真实场景的细粒度APT攻击检测，同时引入外部威胁情报知识（NLP消歧对齐）来辅助APT检测、无先验专家知识，对未知APT攻击实现预测；方案针对性强，能较好的满足系统需求。

查看更多>

处理进度