基于ATT&CK的APT攻击语义规则构建

作     者：潘亚峰 周天阳 朱俊虎 曾子懿 PAN Yafeng;ZHOU Tianyang;ZHU Junhu;ZENG Ziyi

作者机构：信息工程大学数学工程与先进计算国家重点实验室郑州450001 国家数字交换系统工程技术研究中心郑州450001 

出 版 物：《信息安全学报》 (Journal of Cyber Security)

年 卷 期：2021年第6卷第3期

页      面：77-90页

核心收录：

学科分类：0810[工学-信息与通信工程] 1205[管理学-图书情报与档案管理] 0832[工学-食品科学与工程（可授工学、农学学位）] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 0808[工学-电气工程] 08[工学] 0839[工学-网络空间安全] 0837[工学-安全科学与工程] 0835[工学-软件工程] 081201[工学-计算机系统结构] 0811[工学-控制科学与工程] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：国家自然科学基金(No.61502528)资助。 

主　　题：语义规则 APT攻击 ATT&CK 威胁情报 自然语言处理 

摘      要：从自然语言描述文本中提取网络攻击知识存在语义鸿沟,导致TTPs威胁情报自动化利用低。为提高威胁情报自动分析效率,设计并实现了基于ATT&CK的APT攻击语义规则。首先,构建带标签的有向图语义规则模型,对自然语言文本描述的攻击技术进行知识化描述;其次,定义语义规则,阐释网络实体属性及其逻辑运算关系的形式化描述方法;最后,利用关键词组识别、知识抽取等自然语言处理技术,从攻击技术文本中抽取形成123个APT攻击语义规则,涵盖ATT&CK的115项技术和12种战术。利用模拟场景采集的APT攻击日志数据,对语义规则进行验证,实验结果表明,语义规则检出率达到93.1%,并具备一定的攻击上下文信息还原能力,可有效支撑威胁检测分析。