一种基于图注意力机制的威胁情报归因方法

作     者：王婷 严寒冰 郎波 WANG Ting;YAN Hanbing;LANG Bo

作者机构：北京航空航天大学计算机学院北京100191 国家计算机网络应急技术处理协调中心北京100029 

出 版 物：《北京航空航天大学学报》 (Journal of Beijing University of Aeronautics and Astronautics)

年 卷 期：2024年第50卷第7期

页      面：2293-2303页

核心收录：

学科分类：081203[工学-计算机应用技术] 08[工学] 0835[工学-软件工程] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：国家重点研发计划(2019QY1400) 

主　　题：威胁情报 高级持续性威胁组织 知识图谱 图注意力机制 攻击溯源 

摘      要：威胁情报关联分析已成为网络攻击溯源的有效方式。从公开威胁情报源爬取了不同高级持续性威胁(APT)组织的威胁情报分析报告,并提出一种基于图注意力机制的威胁情报报告归类的方法,目的是检测新产生的威胁情报分析报告类别是否为已知的攻击组织,从而有助于进一步的专家分析。通过设计威胁情报知识图谱,提取战术和技术情报,对恶意样本、IP和域名进行属性挖掘,构建复杂网络,使用图注意力神经网络进行威胁情报报告节点分类。评估表明:所提方法在考虑类别分布不均衡的情况下,可以达到78%的准确率,达到对威胁情报报告所属组织进行有效判定的目的。