基于TTPs关联分析与知识图谱构建的主动式网络入侵响应系统研究

《IEEE Access》：Enhancing Incident Response Through Effective TTPs Analysis: A Design Approach

【字体：大中小】 时间：2025年12月18日 来源：IEEE Access 3.6

编辑推荐：

　　为应对高级持续性威胁(APT)的复杂攻击，研究人员开展了基于MITRE ATT&CK框架的TTPs分析研究。该研究通过嵌入模型量化攻击行为关联，结合统计分析与机器学习，构建了攻击知识图谱。结果表明，该系统能有效预测攻击者下一步行动，并实现了93.49%的攻击组织识别准确率，为下一代主动防御技术提供了有力支撑。

在数字化浪潮席卷全球的今天，我们的生活正经历着前所未有的变革。然而，便利与风险并存，随着绝大多数活动向网络空间迁移，保护虚拟环境和数据的重要性日益凸显。与此同时，攻击面的扩大使得系统面临着持续不断的威胁。更令人担忧的是，以高级持续性威胁(APT)为代表的智能攻击组织，正将网络攻击推向日益复杂和精密的境地。这些组织能够执行零日攻击，绕过传统的检测方法，甚至有效规避基于签名和人工智能/机器学习的防御系统。从臭名昭著的震网(Stuxnet)攻击，到导致台湾停电的严重事件，都警示我们成功攻击所带来的毁灭性后果。

为了应对这些高级网络威胁，洛克希德·马丁公司提出了网络杀伤链(Cyber Kill Chain)框架，并将战术、技术和程序(TTPs)作为响应的关键策略。TTPs框架作为一种理解并反击攻击者场景的战略方法，能够给攻击者施加巨大压力。将网络攻击结构化地划分为战略阶段，有助于实现高效的分析与响应。MITRE建立了一个标准化的数据库，从TTPs的视角组织现实世界的网络攻击案例。MITRE ATT&CK知识库为防御者提供了宝贵且有效的洞察力，被广泛应用于网络威胁情报(CTI)、图建模和网络风险评估等领域。

然而，尽管基于TTPs的防御框架在网络安全领域被证明非常有效，但在真实操作环境中应用这些框架的研究仍然稀缺。一个核心的挑战在于，如何识别技术之间的有意义关系并对其进行量化。根据韩国互联网振兴院(KISA)的报告，83%的检测技术与普通用户的行为难以区分，这凸显了分析技术间因果关系以识别恶意行为的重要性。此外，仅凭TTP信息准确预测攻击者几乎是不可能的，因为知名技术或攻击组织往往共享相似的攻击方法。因此，除了TTPs之外，还需要额外的信息来辅助识别。但传统上用于攻击组织识别的信息很难与TTP数据集成，因为TTPs难以用表格形式表示，且无法完全捕捉语义信息。

为了解决这些挑战，韩国嘉泉大学的研究团队在《IEEE Access》上发表了一项研究，提出了一种通过有效的TTPs分析来增强事件响应的设计方法。该研究旨在利用MITRE的知识库分析攻击行为之间的相关性，并制定相应的响应策略。研究人员认为，发现攻击行为之间的独特关联是实现主动防御的关键一步。通过构建一个基于真实世界操作环境数据的系统，该研究能够推断攻击者的意图并预测其后续的攻击行为。一旦检测到若干攻击行为，系统便能推断攻击者的后续行动，并预测负责的攻击组织。此外，这些信息可以与现有的网络威胁情报(CTI)集成，以探索多样化的防御策略。

关键技术方法

本研究构建了一个基于MITRE ATT&CK v18.0知识库的TTP图，以表示所有关系信息。研究采用了两种核心方法来量化TTPs之间的关系并构建知识图谱。首先，利用metapath2vec嵌入模型学习实体间的强关联，通过最大化目标函数将相关实体在欧几里得空间中紧密表示，从而量化技术间的相关性。其次，采用TF-IDF算法进行统计分析和权重分配，以发现攻击模式。最终，通过将TTPs信息与XGBoost分类模型相结合，构建了一个攻击组织识别框架。实验验证使用了来自MITRE TIE、KISA以及C-TAS的真实网络事件数据集。

研究结果

1. 知识图谱的构建

研究人员首先构建了攻击知识图谱，该图谱包含两个核心组成部分：技术聚类和攻击模式矩阵。通过metapath2vec模型，攻击组织和技术被嵌入到高维向量空间中，使得相关实体在欧几里得空间中距离更近。例如，被G1004和G1015共同使用的技术T1656和T1098.003在向量空间中位置相近，而仅被G1004使用的技术T1584.002则更靠近G1004而远离G1015。基于这些向量距离，研究进一步应用层次聚类方法，将高度相关的技术聚集在一起，形成技术聚类。这些聚类代表了可能同时发生的一组技术，为预测攻击者路径和活动范围提供了依据。

在统计分析方面，研究采用TF-IDF方法量化了攻击组织与技术之间的关系。该方法为技术分配了独特的权重分数，被多个攻击组织广泛使用的技术得分较低，而仅被少数组织使用的技术得分较高。例如，被83个组织使用的T1105得分仅为0.129，而被仅2个组织使用的T0852得分高达0.8。这些权重构成了攻击模式矩阵，用于识别攻击组织的候选集。

2. 应用案例

研究展示了知识图谱在三个实际场景中的应用。在攻击组织识别案例中，当检测到T1591.004、T1199和T1204等技术时，系统通过统计分析和权重计算，将G1004识别为最可能的攻击组织，并展示了该组织完整的攻击路径，帮助分析人员确认当前攻击处于“初始入侵”阶段。在行动预测案例中，系统根据检测到的五个技术，预测C0017为最可能的行动，并指出当前攻击已进入“内部活动”阶段。在推断共现技术案例中，系统能够根据已检测到的技术，推断出可能同时发生或即将发生的其他技术，例如从“初始入侵”阶段的技术推断出“内部活动”阶段的技术，从而为防御者提供未来威胁的预警。

3. 性能评估

研究对技术聚类的可信度进行了评估。通过将聚类结果与真实事件进行比对，评估了技术共现的有效性。实验结果表明，在ID-T、ID-K-T和ID-C-T三个数据集上，所提出的方法分别达到了79.15%、91.73%和77.56%的可信度，性能优于传统的Jaccard和Phi系数方法。

在攻击组织识别性能方面，研究在ID-K-G和ID-C-G两个数据集上进行了测试。所提出的方法在ID-K-G数据集上取得了93.49%的准确率、97.87%的精确率、93.49%的召回率和94.9%的F1分数；在ID-C-G数据集上取得了86.37%的准确率、86.41%的精确率、86.37%的召回率和85.9%的F1分数，均显著优于仅使用TF-IDF或决策树等基线模型。虽然所提出模型的平均处理时间为4.01毫秒，约为XGBoost的四倍，但在端点检测与响应(EDR)或防病毒(AV)系统的背景下，这一延迟被认为是可接受的。

研究结论与讨论

本研究提出了一种旨在高效执行事件响应任务的系统。面对大量的攻击尝试和复杂的攻击模式，防御者常常感到困惑，而从多个证据中识别攻击组织也需要耗费大量时间和精力。该研究认为，发现攻击行为之间的关系可以有效解决这些挑战。

通过将攻击组织和技术进行嵌入表示，并结合统计分析和机器学习模型，研究成功地揭示了TTPs之间的有意义的关联。这些关联被用于预测攻击者的下一步行动和识别攻击组织。实验结果表明，所提出的方法在预测攻击者下一步行动方面表现出色，并在攻击组织识别方面达到了93.49%的高准确率。

该研究的一个关键意义在于，它支持防御者执行高效的事件响应任务。通过利用MITRE的标准化知识，该系统在威胁检测和响应之间建立了无缝连接。它能够根据已识别的技术，为防御者提供可操作的建议，例如检查预测技术的相关数据源，或调查预期攻击组织使用的恶意软件。这为防御者提供了一个实时指南，使他们能够更有效、更及时地做出响应。

此外，该研究为下一代事件响应技术奠定了基础。理解攻击者的行为模式是主动防御的核心要求之一。通过提供攻击者可能的行为场景，该系统能够帮助防御者在繁重的工作中确定优先级，从而更高效地处理任务。尽管准确预测攻击者的所有行动几乎是不可能的，但为防御者提供几个合理的场景仍然具有高度的现实意义。

该研究也存在一些局限性。例如，在仅使用技术信息识别攻击组织时，当多个攻击组织共享共同技术时，关系会失去区分能力，导致预测失败。此外，该模型在对抗性环境中的鲁棒性有待验证，如果攻击者操纵日志或混淆命令以阻碍TTP识别，模型的性能可能会受到限制。未来，可以考虑利用现代语言模型（如GPT）来增强嵌入表示，或为模型的预测提供解释，以解决分类模型固有的“黑箱”问题。

热点排行

新闻专题