网络APT攻击检测关键技术与防护要点研究

1

作者 张君鹏 兰赟 +3 位作者 贾亮 陈鹏 李晨瑄 于佳玉 《航天技术与工程学报》 2026年第2期28-34,共7页

为了提升网络高级可持续性威胁(APT)攻击的防御和检测能力,提高网络攻击应急响应与溯源处置效率,在分析网络APT攻击特征和高价值目标网络特征的基础上,研究了基于Ring0驱动级主机行为检测、异常流量检测以及蜜罐诱捕技术的网络APT攻击... 为了提升网络高级可持续性威胁(APT)攻击的防御和检测能力,提高网络攻击应急响应与溯源处置效率,在分析网络APT攻击特征和高价值目标网络特征的基础上,研究了基于Ring0驱动级主机行为检测、异常流量检测以及蜜罐诱捕技术的网络APT攻击检测技术,从终端检测、网络检测和边界检测层面对网络APT攻击检测的关键技术进行了分析,探索了海量异构的威胁情报知识图谱构建和基于多特征融合的关联同源分析的关键技术,从组织机制、体系架构、防护方法和重点措施等层面对网络APT攻击的防护体系要点进行了分析研究,形成了应对网络APT攻击的全生态链检测分析要点。为网络APT攻击的链溯源、威胁态势感知、威胁情报生成以及后续各信息系统的安全协同防御提供了解决思路。 展开更多

关键词 网络apt攻击 高价值目标网络 威胁知识图谱 多特征融合 内网安全架构

在线阅读 下载PDF 职称材料

基于动静态语义行为增强的APT攻击溯源研究

2

作者 杨秀璋 彭国军 +4 位作者 王晨阳 周逸林 李家琛 武帅 傅建明 《武汉大学学报(理学版)》 北大核心 2026年第1期57-70,共14页

针对高级可持续威胁(Advanced Persistent Threat,APT)溯源未考虑ATT&CK(Adversarial Tactics,Techniques,and Common Knowledge)技战术和攻击语义行为增强,未融合动静态两个视角探索和实现攻击行为互补的溯源分析,易被加壳和混淆的... 针对高级可持续威胁(Advanced Persistent Threat,APT)溯源未考虑ATT&CK(Adversarial Tactics,Techniques,and Common Knowledge)技战术和攻击语义行为增强,未融合动静态两个视角探索和实现攻击行为互补的溯源分析,易被加壳和混淆的APT恶意软件逃避问题,提出一种基于动静态语义行为增强的APT攻击溯源(Advanced Persistent Threat Eye,APTEye)模型。首先,构建APT组织恶意软件样本集并实施预处理;其次,提取恶意软件的静态行为特征与动态行为特征;再次,设计行为特征语义增强及表征算法,分别利用Attack2Vec将静态API特征和攻击链以及语义行为映射,APISeq2Vec增强动态API序列的时间语义关系,实现低级别行为特征到高级别攻击模式的映射;接着,构建动静态特征对齐和行为语义聚合算法将APT攻击恶意软件的动态静态特征融合;最后,构建图注意力网络模型溯源APT组织。实验结果表明,APTEye模型能有效追踪溯源APT攻击,其精确率、召回率和F1值分别为92.24%、91.85%和92.04%,均优于现有模型。此外,APTEye模型能够有效识别细粒度的动静态API函数及攻击行为,实现与ATT&CK技战术映射,为后续APT攻击的意图推理和攻击阻断提供支撑。 展开更多

关键词 高级可持续威胁 apt攻击溯源 语义行为增强 图注意力网络

原文传递

面向APT攻击的溯源和推理研究综述 被引量：21

3

作者 杨秀璋 彭国军 +3 位作者 刘思德 田杨 李晨光 傅建明 《软件学报》 北大核心 2025年第1期203-252,共50页

高级可持续性威胁(advanced persistent threat,APT)是一种新型网络攻击,具有极强的组织性、隐蔽性、持续性、对抗性和破坏性,给全球网络安全带来严重危害.传统APT攻击防御倾向于构建模型检测攻击的恶意性或识别家族类别,以被动防御为主... 高级可持续性威胁(advanced persistent threat,APT)是一种新型网络攻击,具有极强的组织性、隐蔽性、持续性、对抗性和破坏性,给全球网络安全带来严重危害.传统APT攻击防御倾向于构建模型检测攻击的恶意性或识别家族类别,以被动防御为主,缺乏全面及深入地梳理APT攻击溯源和推理领域的工作.基于此,围绕APT攻击的溯源和推理的智能化方法开展综述性研究.首先,提出APT攻击防御链,有效地将APT攻击检测、溯源和推理进行区分和关联;其次,详细比较APT攻击检测4个任务的相关工作;然后,系统总结面向区域、组织、攻击者、地址和攻击模型的APT攻击溯源工作;再次,将APT攻击推理划分为攻击意图推理、攻击路径感知、攻击场景还原、攻击阻断和反制这4个方面,对相关研究进行详细总结和对比;最后,讨论APT攻击防御领域的热点主题、发展趋势和挑战. 展开更多

关键词 高级可持续威胁 网络安全 攻击溯源 攻击推理 人工智能

在线阅读 下载PDF 职称材料

IP网络APT攻击检测及安全态势感知技术研究 被引量：1

4

作者 王新 杨飞 +2 位作者 高存宇 郭翔乾 杨丽丽 《邮电设计技术》 2025年第9期70-74,共5页

在数字化浪潮的推动下,IP网络作为关键信息基础设施,正面临日益严峻的网络安全威胁。围绕IP网络中的APT攻击检测与安全态势感知展开研究,重点突破未知攻击监测、攻击链溯源与分析、安全编排与自动化响应等关键技术,构建了面向IP网络的... 在数字化浪潮的推动下,IP网络作为关键信息基础设施,正面临日益严峻的网络安全威胁。围绕IP网络中的APT攻击检测与安全态势感知展开研究,重点突破未知攻击监测、攻击链溯源与分析、安全编排与自动化响应等关键技术,构建了面向IP网络的安全态势感知量化模型。该模型能够实现对网络空间安全态势的实时、精准、全面感知,提升安全威胁的识别与响应效率,为IP网络实现全局协同防护提供有力支撑,助力构建更高水平的网络安全主动防御体系。 展开更多

关键词 IP网络 apt攻击检测 威胁情报 安全态势感知

在线阅读 下载PDF 职称材料

基于图神经网络驱动的APT攻击溯源与检测机制研究 被引量：1

5

作者 张靓 李成 +2 位作者 陈晓博 李保珂 刘可欣 《现代信息科技》 2025年第12期171-174,183,共5页

针对大规模网络攻击溯源中虚警率高、扩展性差等挑战,构建了一种基于溯源图和图神经网络的高级持续威胁入侵检测系统。首先,通过系统日志构建典型的攻击溯源图;其次,利用语义编码器来捕获基本的语义属性以及溯源图中事件的时间顺序;再次... 针对大规模网络攻击溯源中虚警率高、扩展性差等挑战,构建了一种基于溯源图和图神经网络的高级持续威胁入侵检测系统。首先,通过系统日志构建典型的攻击溯源图;其次,利用语义编码器来捕获基本的语义属性以及溯源图中事件的时间顺序;再次,采用基于图神经网络的上下文编码器,有效地将局部和全局图结构编码到节点嵌入中;最后,通过分类器对训练阶段生成的节点嵌入进行快速分类。该算法通过图神经网络实现了对大规模溯源图的高效处理,并兼顾了数据处理的效率,可以用于高级持续威胁的实时检测。与现有入侵检测系统相比,该算法在公开测试数据集上取得了更高的检测精度,并展现出更好的告警效率和可扩展性。 展开更多

关键词 溯源图 图神经网络 apt攻击检测

在线阅读 下载PDF 职称材料

基于深度强化学习的校园APT攻击动态防御策略研究

6

作者 杨志浩 谢慧芳 《软件》 2025年第9期181-183,共3页

本文基于深度强化学习(DRL)技术,研究了在校园网络环境中应对APT攻击的动态防御策略,分析了APT攻击的生命周期及其对校园网络的潜在威胁,并对当前高校APT防御策略的不足之处进行了探讨,构建了基于Markov决策过程(MDP)的防御模型,提出了... 本文基于深度强化学习(DRL)技术,研究了在校园网络环境中应对APT攻击的动态防御策略,分析了APT攻击的生命周期及其对校园网络的潜在威胁,并对当前高校APT防御策略的不足之处进行了探讨,构建了基于Markov决策过程(MDP)的防御模型,提出了适应性强、实时性高的防御方案。 展开更多

关键词 深度强化学习 apt攻击 校园网络安全 动态防御策略

在线阅读 下载PDF 职称材料

基于可信计算的海量稀疏数据网络APT攻击检测

7

作者 于畅 王楠 《微型电脑应用》 2025年第5期244-247,251,共5页

针对现有稀疏数据网络高级持续性威胁(APT)攻击检测方法难以长时间维持,攻击手段辅助隐蔽的问题,提出了基于可信计算的海量稀疏数据网络APT攻击检测方法。利用多任务协作模式建立了一种信誉信任机制安全模型,然后利用深度强化学习来分... 针对现有稀疏数据网络高级持续性威胁(APT)攻击检测方法难以长时间维持,攻击手段辅助隐蔽的问题,提出了基于可信计算的海量稀疏数据网络APT攻击检测方法。利用多任务协作模式建立了一种信誉信任机制安全模型,然后利用深度强化学习来分配计算资源并获得最优决策,同时通过边缘服务器和多链路匿名访问节点模拟不同类型的APT攻击过程,最后通过仿真来测试APT攻击检测效果。结果表明,在相同规模的匿名访问工况下,所提出的方法具备更高的APT攻击风险感知灵敏度,更稳定的平均数据吞吐量和投递率,以及超过90%的APT攻击实体识别精度。此外,所提出的方法在用户使用性能效率测试中也优于同类型其他方法。 展开更多

关键词 可信计算 apt攻击检测 网络安全 信任机制

在线阅读 下载PDF 职称材料

网络空间多源数据融合下的APT攻击溯源方法研究

8

作者 陈玉明 《软件》 2025年第9期171-173,共3页

APT(高级持续性威胁)攻击具有隐蔽性强、持续时间长和组织性高等特点,传统单一数据源的溯源方法在准确性和完整性上存在不足。本文以网络空间多源数据融合为基础,设计了面向APT攻击的融合分析方法,构建了标准化处理机制,提出了融合策略... APT(高级持续性威胁)攻击具有隐蔽性强、持续时间长和组织性高等特点,传统单一数据源的溯源方法在准确性和完整性上存在不足。本文以网络空间多源数据融合为基础,设计了面向APT攻击的融合分析方法,构建了标准化处理机制,提出了融合策略与路径推理模型,实现了攻击链重建与溯源路径推理。结果表明,所提方法在准确率、时效性与鲁棒性方面均优于现有技术,验证了多源融合在APT溯源场景的实用性与有效性。 展开更多

关键词 apt攻击 多源数据 溯源技术 网络安全

在线阅读 下载PDF 职称材料

基于相似性度量的APT攻击意图识别方法

9

作者 成翔 匡苗苗 《扬州大学学报(自然科学版)》 2025年第6期62-70,共9页

为应对高级持续性威胁(advanced persistent threat,APT)攻击给信息系统造成的负面影响,借助安全态势理解技术,提出一种基于相似性度量的APT攻击意图识别方法(APT attack intention recognition method based on similarity measurement... 为应对高级持续性威胁(advanced persistent threat,APT)攻击给信息系统造成的负面影响,借助安全态势理解技术,提出一种基于相似性度量的APT攻击意图识别方法(APT attack intention recognition method based on similarity measurement,APTSMM)。采用态势理解本体构建(cyber situation comprehension ontology construction,CSCOC)方法将收集到的告警信息和日志信息转化为态势觉察实例,并度量实例间的相似度,构建安全态势理解本体;利用告警实例关联方法(alert instance correlation method,AICM)识别特定APT攻击情境的实例,完成APT攻击情境的构建;通过日志实例关联方法(log instance correlation method,LICM)将日志实例输入日志群落挖掘模块,识别潜在的恶意活动。仿真实验结果表明,所提方法在APT攻击意图识别中具有较高的准确率和较低的误报率。 展开更多

关键词 高级持续性威胁 网络安全态势 攻击意图识别 相似性度量 物联网系统

在线阅读 下载PDF 职称材料

基于攻防信号博弈的APT攻击防御决策方法 被引量：10

10

作者 张恒巍 杨豪璞 《计算机工程与设计》 北大核心 2019年第1期59-64,共6页

针对APT攻击的特点,借鉴非合作博弈理论,从动态对抗和有限博弈信息的视角对攻防行为进行研究,建立基于攻防信号博弈的APT防御决策模型,设计合理的收益量化方法,在分析攻防博弈过程的基础上,提出精炼贝叶斯博弈均衡的求解方法;以博弈均... 针对APT攻击的特点,借鉴非合作博弈理论,从动态对抗和有限博弈信息的视角对攻防行为进行研究,建立基于攻防信号博弈的APT防御决策模型,设计合理的收益量化方法,在分析攻防博弈过程的基础上,提出精炼贝叶斯博弈均衡的求解方法;以博弈均衡为依据,设计防御决策算法并对比分析算法的性能。实验结果表明,该模型和算法有效且可行,能够为抗APT攻击提供决策支持。 展开更多

关键词 网络安全 网络攻防 apt攻击 防御决策 信号博弈 攻防行为分析 防御策略

在线阅读 下载PDF 职称材料

基于APT网络攻击的技术研究 被引量：9

11

作者 糜旗 朱杰 +1 位作者 徐超 宗俊珺 《计算机与现代化》 2014年第10期92-94,122,共4页

面临相对滞后的防御手段,APT网络攻击的危害性越来越大。本文对APT网络攻击的概念进行阐述,同时分析APT网络攻击的入侵途径和具体流程,总结APT网络攻击的行为特征和发展趋势,并提出防御APT网络攻击的安全策略。

关键词 apt 网络攻击:安全

在线阅读 下载PDF 职称材料

网络APT攻击及防范策略 被引量：32

12

作者 陈剑锋 王强 伍淼 《信息安全与通信保密》 2012年第7期24-27,共4页

APT攻击是一类针对企业和政府重要信息资产的,对信息系统可用性、可靠性构成极大挑战的信息安全威胁。APT变化多端、效果显著且难于防范,因此,渐渐成为网络渗透和系统攻击的演进趋势,近来备受网络安全研究者关注。目前,国内外对APT攻击... APT攻击是一类针对企业和政府重要信息资产的,对信息系统可用性、可靠性构成极大挑战的信息安全威胁。APT变化多端、效果显著且难于防范,因此,渐渐成为网络渗透和系统攻击的演进趋势,近来备受网络安全研究者关注。目前,国内外对APT攻击的研究主要由安全厂商进行,其侧重点在于通过安全事件、威胁的分析导出企业的安全理念,忽视了对APT攻击机理、产生背景等进行整体而细致的剖析。这里从APT的规范定义及特征入手,对攻击发起的背景、步骤等进行了较详尽的描述,给出了检测、响应和预防APT的可行方法。 展开更多

关键词 网络安全 apt攻击 安全体系 防范策略

原文传递

APT的本质探讨 被引量：6

13

作者 杜跃进 方緖鹏 翟立东 《电信网技术》 2013年第11期1-4,共4页

APT攻击目前已成为热点,其特征不同于传统的网络攻击,对已有的安全防范思路和能力带来极大挑战。应对新的威胁,需要有新的思路,本文分析了APT的本质及其带来的挑战,对现有的安防手段进行了分析,并对一些新的应对思路进行了介绍。

关键词 apt攻击 网络战 网络对抗

在线阅读 下载PDF 职称材料

面向5G网络的APT攻击检测系统研究

14

作者 王继刚 王影新 +1 位作者 周海生 宿晓萌 《信息安全与通信保密》 2023年第2期46-55,共10页

5G网络在承载更多的社会资产、服务和责任的同时,必然会遭受更多的恶意攻击,尤其是高级持续性威胁(Advanced Persistent Threat,APT)攻击。如何保障5G资产安全及网络正常运作,是5G网络首要解决的问题。APT攻击极强的目标性和隐藏性使得... 5G网络在承载更多的社会资产、服务和责任的同时,必然会遭受更多的恶意攻击,尤其是高级持续性威胁(Advanced Persistent Threat,APT)攻击。如何保障5G资产安全及网络正常运作,是5G网络首要解决的问题。APT攻击极强的目标性和隐藏性使得传统检测技术无法有效识别。大数据、机器学习等新技术的日益成熟,为新型攻击检测技术的发展带来了机遇。在深入理解5G网络威胁的内涵与特征基础上,提出了面向5G网络的APT攻击检测系统。该系统首先对5G网络流量进行统计分析,建立流量常态模型,用以区分异常流量;然后结合机器学习技术从异常流量中识别出攻击行为。该攻击检测模型通过与传统网络安全设施共享联动,可以取得良好的攻击流量识别防御效果。 展开更多

关键词 5G网络威胁 apt攻击检测 大数据分析 机器学习

在线阅读 下载PDF 职称材料

融合网络空间的APT威胁检测与防护 被引量：9

15

作者 翟立东 李跃 +1 位作者 贾召鹏 郭莉 《信息网络安全》 2013年第3期58-60,共3页

网络的融合化已经成为未来信息化发展趋势,文章分析了融合网络的特征不同于传统网络,阐述了网络威胁从散兵游勇式的随机攻击向着有目的、有组织、有预谋的群体式攻击发展,形成了APT攻击。这些新的变化都使得传统防御方式难以有效抵御新... 网络的融合化已经成为未来信息化发展趋势,文章分析了融合网络的特征不同于传统网络,阐述了网络威胁从散兵游勇式的随机攻击向着有目的、有组织、有预谋的群体式攻击发展,形成了APT攻击。这些新的变化都使得传统防御方式难以有效抵御新的威胁。文章还提出了必须在对抗中转变安全防范思路,采取新的防范形式的对策。 展开更多

关键词 融合网络 apt攻击 社会工程学

在线阅读 下载PDF 职称材料

非对称信息条件下APT攻防博弈模型 被引量：6

16

作者 孙文君 苏旸 曹镇 《计算机应用》 CSCD 北大核心 2017年第9期2557-2562,共6页

针对目前缺少对高级持续威胁(APT)攻击理论建模分析的问题,提出了一种基于Flip It模型的非对称信息条件下的攻防博弈模型。首先,将网络系统中的目标主机等资产抽象为目标资源节点,将攻防场景描述为攻防双方对目标资源的交替控制;然后,... 针对目前缺少对高级持续威胁(APT)攻击理论建模分析的问题,提出了一种基于Flip It模型的非对称信息条件下的攻防博弈模型。首先,将网络系统中的目标主机等资产抽象为目标资源节点,将攻防场景描述为攻防双方对目标资源的交替控制;然后,考虑到攻防双方在博弈中观察到的反馈信息的不对称性以及防御效果的不彻底性,给出了在防御者采取更新策略时攻防双方的收益模型及最优策略的条件,同时给出并分别证明了达到同步博弈与序贯博弈均衡条件的定理;最后通过数例分析了影响达到均衡时的策略及防御收益的因素,并比较了同步博弈均衡与序贯博弈均衡。结果表明周期策略是防御者的最优策略,并且与同步博弈均衡相比,防御者通过公布其策略达到序贯博弈均衡时的收益更大。实验结果表明所提模型能够在理论上指导应对隐蔽性APT攻击的防御策略。 展开更多

关键词 博弈论 非对称信息 网络攻击 高级持续威胁 网络安全

在线阅读 下载PDF 职称材料

高等级安全网络抗APT攻击方案研究 被引量：9

17

作者 李凤海 李爽 +1 位作者 张佰龙 宋衍 《信息网络安全》 2014年第9期109-114,共6页

文章在分析高安全等级网络所面临的APT攻击风险基础上,简述了高安全等级网络抗APT攻击方案的主要思想,阐述了高安全等级网络抗APT攻击方案设计,并提出了高安全等级网络抗APT攻击的思想和策略。

关键词 高安全等级网络 高级持续性威胁 apt攻击

在线阅读 下载PDF 职称材料

APT攻击威胁网络安全的全面解析与防御探讨 被引量：5

18

作者 沈立君 《信息安全与技术》 2015年第8期66-70,共5页

随着IT技术的发展网络的互连程度、开放程度、便捷程度和共享性也是越来越大,而与此相对的网络安全问题显得越来越重要。特别是互联网的普及之后随着虚拟化大数据的盛行,让重要的数据得以越来越便捷的访问,网络的安全性更是被提到日程... 随着IT技术的发展网络的互连程度、开放程度、便捷程度和共享性也是越来越大,而与此相对的网络安全问题显得越来越重要。特别是互联网的普及之后随着虚拟化大数据的盛行,让重要的数据得以越来越便捷的访问,网络的安全性更是被提到日程上来。APT(高级持续性威胁)攻击是当前非常热门的话题,自2010年Google承认遭受严重黑客攻击之后,更是被人们经常提及到。APT攻击对于大公司而言无疑是一场噩梦,如像Google、RSA、Comodo等深受其害的公司。而对于网络大众使用者来讲,网络安全离我们其实并不遥远,如网络中经常受到攻击,个人PC中病毒、被注入木马等。论文通过对APT攻击的解读由点到面提出一些网络安全防护的见解和策略。 展开更多

关键词 网络安全 apt 网络攻击 黑客

在线阅读 下载PDF 职称材料

基于APT活动全生命周期的攻击与检测综述 被引量：8

19

作者 王郅伟 何睎杰 +6 位作者 易鑫 李孜旸 曹旭栋 尹涛 李书豪 付安民 张玉清 《通信学报》 EI CSCD 北大核心 2024年第9期206-228,共23页

从攻击方法和检测方法两方面展开,首先综述高级持续威胁(APT)攻击的定义与特点,总结相关攻击模型的研究发展,在此基础上给出更一般性的APT全生命周期模型,并划分4个阶段,信息收集阶段、入侵实施阶段、内网攻击阶段和数据渗出阶段,对每... 从攻击方法和检测方法两方面展开,首先综述高级持续威胁(APT)攻击的定义与特点,总结相关攻击模型的研究发展,在此基础上给出更一般性的APT全生命周期模型,并划分4个阶段,信息收集阶段、入侵实施阶段、内网攻击阶段和数据渗出阶段,对每一个阶段,重点调研近5年的研究论文,归纳总结各阶段的攻击与检测技术,并给出分析。最后,结合APT攻防技术相互博弈、快速发展的趋势,指出了当前攻防双方面临的挑战和未来研究的发展方向。 展开更多

关键词 高级持续威胁 网络杀伤链模型 全生命周期 零日攻击 检测

在线阅读 下载PDF 职称材料

面向APT攻击的网络安全威胁隐蔽目标识别方法 被引量：15

20

作者 王小英 刘庆杰 +1 位作者 郭娜 庞国莉 《沈阳工业大学学报》 EI CAS 北大核心 2020年第3期303-307,共5页

针对当前网络APT隐蔽目标攻击识别方法准确率低、攻击识别耗时长的问题,提出面向APT攻击的网络安全威胁隐蔽目标识别方法.引入关联规则算法构建隐蔽目标识别模型,据此构建APT攻击隐蔽目标识别的总体框架,根据APT目标档案属性相关性计算... 针对当前网络APT隐蔽目标攻击识别方法准确率低、攻击识别耗时长的问题,提出面向APT攻击的网络安全威胁隐蔽目标识别方法.引入关联规则算法构建隐蔽目标识别模型,据此构建APT攻击隐蔽目标识别的总体框架,根据APT目标档案属性相关性计算网络安全威胁之间的关联规则,根据关联规则提取APT目标档案数据,通过可信度计算实现APT攻击下的网络安全威胁隐蔽目标识别.仿真实验表明,所提方法具有较高的攻击识别准确率,且攻击识别耗时短,能够高效、准确地实现APT攻击下网络安全威胁隐蔽目标识别. 展开更多

关键词 隐蔽目标 识别模型 apt攻击 网络安全威胁 网络入侵 关联规则 可信度 数据挖掘

在线阅读 下载PDF 职称材料