基于关联增强的网络威胁情报技战术分类

作     者：葛文翰 王俊峰 唐宾徽 于忠坤 陈柏翰 余坚 GE Wen-Han;WANG Jun-Feng;TANG Bin-Hui;YU Zhong-Kun;CHEN Bo-Han;YU Jian

作者机构：四川大学计算机学院成都610065 四川大学网络空间安全学院成都610065 

出 版 物：《四川大学学报（自然科学版）》 (Journal of Sichuan University(Natural Science Edition))

年 卷 期：2022年第59卷第2期

页      面：94-102页

学科分类：12[管理学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 081104[工学-模式识别与智能系统] 08[工学] 0835[工学-软件工程] 0811[工学-控制科学与工程] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：国家重点研发计划(2019QY1400) 国家自然科学基金(U2133208) 四川省青年科技创新研究团队基金(2022JDTD0014) 

主　　题：网络威胁情报 技战术分析 多标签分类 关联增强 ATT&CK IoC识别 

摘      要：网络威胁情报(Cyber Threat Intelligence, CTI)的技战术(Tactics, Techniques and Procedures, TTPs)分析能够为网络攻击事件提供全局视图,并揭示系统弱项,是网络攻击溯源的关键技术.现有分类TTPs方案面向抽象语言环境效果较差且不平均.本文提出一种基于关联增强的多标签深度学习模型RENet,通过使用结合上下文信息和多词语义的多标签分类器对战术和技术进行分类,并通过技战术条件转移矩阵将原有战术的分类结果转移到技术中增强技术分类.实验表明,RENet比其他分类模型有更精确的技战术分类效果与更快的收敛速度.在英文数据集上,RENet对技术和战术分类的F;分数比现有最好的模型分别提高4.62%和0.78%,在中文数据集上提高3.95%和3.77%.