[00105402]基于目标模型的 APT 攻击检测研究

该项目为国家自然科学基金资助青年科学基金项目（项目批准号：61602052）。

APT 攻击是攻击者以任务为导向对目标实施的长期、复杂的攻击。APT 攻击过程中根据目标环境动态采用各种攻击手段，攻击效果显著且难于防范，已成为网络渗透和系统攻击的演进趋势，而其危害性远远大于传统的网络攻击，对经济、能源甚至国家的政治及军事造成严重危害。因此，研究 APT 攻击检测技术，发现正在进行中的 APT 攻击，并还原 APT 攻击的整个过程是安全领域的必然需求，具有重大的现实意义。

该项目认为：“目标”是 APT 攻击中唯一的不变量，只有明确目标，才能以不变应万变，将 APT 攻击过程中繁多的、长时间的、复杂的、片段化的攻击痕迹组织起来，实现 APT 攻击检测的目的。因此，该项目以防御方自定义的保护对象，即最有可能成为 APT 攻击目标的对象为核心，关联 APT 攻击过程中的海量安全事件，实现 APT 攻击检测，并还原 APT 攻击全过程。

该项目第一年度主要研究通用目标模型的建立及动态目标模型的生成，搭建大数据分析平台；第二年度研究基于模型的扩展图及目标安全影响图的自动生成，以及研究基于目标模型的种子安全事件生成方法与迭代启发式隐蔽关联发现方法；第三年度为搭建实验环境，模拟典型 APT 攻击，根据仿真实验结果对相关技术方案进行调整工作。基于目标模型对安全事件进行多尺度量化，从海量数据集中挖掘出最有可能构成针对目标的 APT 攻击的安全事件， 形成种子安全事件集，并基于目标模型发现安全事件间的隐蔽关联关系。这项研究的科学意义还在于为 APT 攻击检测、网络攻击检测提供新的研究方法和研究思路。