高級持續(xù)性威脅及其重構(gòu)研究進展與挑戰(zhàn)

張 博 崔佳巍 屈 肅 付安民

1(南京理工大學網(wǎng)絡(luò)空間安全學院 江蘇江陰 214443) 2(中國電子科技集團公司第五十四研究所 石家莊 050081)

高級持續(xù)威脅(advanced persistent threat, APT)攻擊是一種由復(fù)雜且具有良好資源的攻擊者發(fā)起，針對目標企業(yè)或政府等高價值目標的特定信息執(zhí)行的網(wǎng)絡(luò)攻擊[1].相比一般的網(wǎng)絡(luò)攻擊，APT攻擊往往會造成非常嚴重的損害，包括知識產(chǎn)權(quán)盜竊和關(guān)鍵基礎(chǔ)設(shè)施被破壞等[2].此外也有一些攻擊者面向金融機構(gòu)發(fā)動攻擊進行偷竊.例如，發(fā)生于2010年的Stuxnet攻擊就是利用蠕蟲病毒和零日漏洞對伊朗的核項目進行了破壞；2015年發(fā)生的摩訶草事件又利用文檔型漏洞針對中國等亞洲國家竊取政府機構(gòu)和科研教育領(lǐng)域敏感信息；2020年，又發(fā)現(xiàn)了利用新冠肺炎疫情相關(guān)題材作為誘餌文檔的APT定向攻擊.這樣復(fù)雜而智能化的滲透式網(wǎng)絡(luò)入侵，是目前網(wǎng)絡(luò)安全的最大威脅之一[3].

盡管企業(yè)每年在網(wǎng)絡(luò)安全方面花費巨大，但大多數(shù)組織都不斷受到APT攻擊的威脅，這種威脅可能持續(xù)幾個月都不會被發(fā)現(xiàn)，并對企業(yè)造成有形的損害[4].目前，中國已經(jīng)成為全球APT活動的首要地區(qū)性目標.中國的經(jīng)濟與科技發(fā)展，正在經(jīng)受著前所未有的巨大考驗.針對中國領(lǐng)先的科研機構(gòu)、科技企業(yè)的網(wǎng)絡(luò)竊密活動與網(wǎng)絡(luò)破壞活動持續(xù)加劇[5].如圖1所示，2020年，以政府機構(gòu)為首的全球多個領(lǐng)域都遭受到了APT攻擊[6].

圖1 2020年APT攻擊涉及行業(yè)分布圖

基于這樣的嚴峻形勢，為了更好地檢測和抵御APT攻擊，許多研究人員專注于開發(fā)更加健壯、覆蓋范圍更廣的威脅檢測與攻擊重構(gòu)工具.本文在對這些成果進行研究的基礎(chǔ)上：首先簡要介紹了高級持續(xù)性威脅攻擊，從攻擊重構(gòu)方案入手，介紹了依賴因果關(guān)系分析的攻擊重構(gòu)基本方案；然后將攻擊重構(gòu)與威脅檢測系統(tǒng)進行聯(lián)合分析，包括基于異常分析、基于啟發(fā)式方法和基于圖形分析方法，結(jié)合因果關(guān)系抽取的威脅檢測與攻擊重構(gòu)方案，并對現(xiàn)有的方案進行了評估，分析了當前攻擊重構(gòu)系統(tǒng)面臨的挑戰(zhàn)；最后，對攻擊重構(gòu)未來的研究方向進行了討論和展望.

1 APT攻擊分析

APT攻擊是近年來興起并被惡意組織機構(gòu)等不斷發(fā)展應(yīng)用的一種攻擊策略.它常常是一種有預(yù)謀、有針對性的攻擊，往往由掌握先進技術(shù)和工具的組織或人員發(fā)起.針對這些惡意組織，權(quán)威機構(gòu)進行了許多調(diào)查并掌握了其攻擊特點等信息.例如，如圖2所示，來自越南的APT組織OceanLotus，從2013年至今長期活躍，針對東南亞國家包括政治在內(nèi)的多個領(lǐng)域發(fā)動攻擊[7].

圖2 OceanLotus重大攻擊事件圖

APT攻擊者在活動過程中可能實施各種各樣的攻擊手段，在分析APT攻擊行為時，人們常常依照ATT&CK[8]中的總結(jié)，將其劃分為初始訪問、執(zhí)行、持久化、特權(quán)提升、防御規(guī)避、憑證訪問、披露、橫向移動、收集、命令和控制、數(shù)據(jù)滲出、影響12個戰(zhàn)術(shù)階段.另外，為了更好地理解APT攻擊，建模分析是一種很有效的手段.研究人員對APT攻擊進行了許多種建模，包括生命周期模型、殺鏈模型和鉆石模型[9-11]等等.其中應(yīng)用最為廣泛的是生命周期模型，攻擊被劃分為如圖3所示的生命周期.從理論上來說，攻擊有可能在任何一個階段上被檢測到.

圖3 APT生命周期模型

APT攻擊一般分多個階段進行，盡管人們可能在任何階段檢測到入侵，但檢測本身只能揭示單一的獨立攻擊痕跡，系統(tǒng)常常發(fā)出大量對應(yīng)單個系統(tǒng)事件的警報.此外還有很大一部分的攻擊痕跡不會引起警報.因此，為了從獨立的警報中獲取多階段攻擊的完整信息，系統(tǒng)管理員必須對檢測到的攻擊有一個完整而正確的理解.這是從網(wǎng)絡(luò)攻擊中安全恢復(fù)系統(tǒng)的第1步[12].要做到這一點，分析人員需要對對手的操作過程有清晰的了解，即從確定對手獲得系統(tǒng)訪問權(quán)限的方法開始，到了解攻擊者到達目標位置的完整路徑，最后確定攻擊對系統(tǒng)造成的后果，包括信息泄露、文件受損和安裝后門等等.這正是攻擊重構(gòu)系統(tǒng)亟待解決的問題.

2 APT攻擊重構(gòu)

當前，APT攻擊正在迅速升級，企業(yè)也越來越依賴包括像IDS、安全信息和事件管理工具這樣的防御工具.這些工具雖然能夠高精度地進行攻擊檢測，但它們也具有很高的誤報率，并且會生成大量信息，使得分析人員很難將真正重要的攻擊與正常的系統(tǒng)行為進行區(qū)分.因此，許多攻擊信息會在長達幾周甚至幾個月的時間里被忽視[13].

在與攻擊者對抗的過程中，人們不斷嘗試設(shè)計更加健壯和通用的檢測機制.美國國防部高級研究計劃局啟動了一個名為“Transparent Computing”[14]的項目，試圖找到一種高度保真并且具有可見性的方法來抽象系統(tǒng)中不透明的組件之間的相互作用.研究人員發(fā)現(xiàn)，基于因果分析技術(shù)生成的起源圖可能是一種很有前途的工具，它具有很強的抽象表達能力和相對較高的效率.

因果關(guān)系分析技術(shù)的一般思路如下：首先構(gòu)建因果關(guān)系模型，然后基于關(guān)系模型解析相關(guān)的系統(tǒng)日志等文件，挖掘系統(tǒng)行為之間的依賴關(guān)系，從而將與攻擊相關(guān)的信息關(guān)聯(lián)到一起構(gòu)建溯源圖，以實現(xiàn)攻擊溯源的功能.基于這樣的技術(shù)，可以將跨越多個應(yīng)用程序或主機、并且持續(xù)很長時間的攻擊活動片段拼湊在一起，將單步攻擊或攻擊片段按照一定的邏輯關(guān)系進行關(guān)聯(lián)，從而形成多階段攻擊的整體軌跡圖[15]，進行攻擊場景重構(gòu).如圖4所示，經(jīng)過重構(gòu)呈現(xiàn)出的攻擊場景，可以直觀地顯示攻擊者攻擊滲透過程的“畫面”，通過“畫面”能夠獲悉攻擊者發(fā)動攻擊的起點、各個攻擊步驟之間的關(guān)系以及攻擊者的攻擊動機和攻擊目標等信息[16].

圖4 攻擊場景示例圖

King等人[17]提出的BackTracker方案是依賴因果關(guān)系抽取的攻擊場景重構(gòu)經(jīng)典方案.系統(tǒng)從1個單獨的異常事件開始運行，識別可能被異常事件影響的文件和進程，并在依賴圖中顯示事件鏈，識別入侵中潛在的步驟序列，幫助網(wǎng)絡(luò)分析人員理解攻擊事件.Liu等人[18]進一步提出了PrioTracker方案，將時間窗口視為一個關(guān)鍵因素，旨在跟蹤更多的在一定時間限制內(nèi)具有更高潛在影響的異常行為.該方案參考了系統(tǒng)事件在因果圖中的稀疏性和拓撲特性來評估系統(tǒng)事件的優(yōu)先級，通過優(yōu)先處理異常事件來加快追蹤速度，實現(xiàn)了實時分析，也使用了更加準確有效的減少錯誤依賴的方法.該方案在保證運行效率的同時，提高了準確性和時效性.

目前看來，因果分析技術(shù)在攻擊重構(gòu)領(lǐng)域是十分有前景的一種方案.在進行分析時，準確性與普適性是系統(tǒng)首要的追求目標[19].當前大多數(shù)因果分析系統(tǒng)主要將各種系統(tǒng)日志作為信息來源，未來我們可以嘗試著將消息、共享內(nèi)存和信號量等也視為文件納入檢測的信息來源中，實現(xiàn)更為全面和詳細的攻擊檢測與重構(gòu).另外，回溯入侵方法是因果分析方案中比較重要的一項技術(shù)，但現(xiàn)在的觀點認為回溯入侵方法會帶來巨大的負載，有許多方案對其進行改進，但依然存在著很大的優(yōu)化空間.

圖5 威脅檢測與攻擊重構(gòu)系統(tǒng)典型架構(gòu)圖

3 威脅檢測與攻擊重構(gòu)方案

Symantec互聯(lián)網(wǎng)安全威脅報告[20]顯示，越來越多的組織表現(xiàn)出對可被他們操作的計算機系統(tǒng)實施危害活動的興趣.雖然攻擊場景重構(gòu)技術(shù)可以幫助網(wǎng)絡(luò)分析人員了解攻擊過程，但是僅僅在信息泄露甚至破壞性行動已經(jīng)發(fā)生后重現(xiàn)攻擊場景，顯然沒有太大意義.因此，基于威脅檢測與攻擊場景重構(gòu)的工作流程在某種程度上有一定重合的特點，產(chǎn)生了一種實際而有效的想法：將威脅檢測與攻擊場景重構(gòu)進行結(jié)合，實現(xiàn)“實時監(jiān)測，同步分析”.典型的威脅檢測與攻擊重構(gòu)系統(tǒng)架構(gòu)如圖5所示.

在實時檢測與重構(gòu)的系統(tǒng)中，數(shù)據(jù)收集模塊從部署好的收集器中獲取日志信息并進行解析，產(chǎn)生完整的流式或依賴圖等信息，由威脅檢測與攻擊重構(gòu)模塊進行分析.這樣的方案能夠及時地發(fā)現(xiàn)系統(tǒng)中的異常行為，但是系統(tǒng)在分析每一個新事件時都需要聯(lián)合過往與其有因果關(guān)系的全部事件，這對系統(tǒng)存儲、查找和處理信息的能力提出了很高要求.

而在離線檢測與重構(gòu)系統(tǒng)中，數(shù)據(jù)收集模塊產(chǎn)生的信息則全部發(fā)送到數(shù)據(jù)處理模塊進行處理，再由威脅檢測和攻擊重構(gòu)模塊進行分析.常用的數(shù)據(jù)簡化算法包括保留因果關(guān)系、保留依賴關(guān)系等.一般情況下，離線的檢測與重構(gòu)方案在分析時對計算機造成的負載較小，分析結(jié)果也比較精準.但是，這樣的方案可能無法及時地發(fā)現(xiàn)攻擊的存在，同時原始信息的存儲是一個比較艱難的問題.

本節(jié)的以下內(nèi)容詳細介紹了3種結(jié)合威脅檢測與攻擊重構(gòu)的方案，分別是基于異常的方案、基于啟發(fā)式的方案和基于圖形分析的方案.

3.1 基于異常的方案

基于異常的檢測是威脅檢測領(lǐng)域中一種比較傳統(tǒng)和經(jīng)典的思路，通過從系統(tǒng)中收集數(shù)據(jù)或收集歷史數(shù)據(jù)來建立正常模型，嘗試識別異常節(jié)點之間的交互.基于異常分數(shù)的檢測通常有較少的參數(shù)調(diào)優(yōu)，更容易實現(xiàn)和部署，數(shù)據(jù)庫訪問速度通常較快，另外還可以提供一定的打擊威脅警報疲勞的能力.但是，如何檢測更多種類的攻擊、如何解決大量假陽性的現(xiàn)象和如何減小時間開銷是基于異常的檢測方案需要克服的難點問題.

Hassan等人[21]提出的NODOZE，使用自創(chuàng)造的異常分數(shù)傳播算法對底層入侵檢測系統(tǒng)發(fā)出的警報進行分析，生成被系統(tǒng)判斷為真實攻擊的因果關(guān)系子圖，不但可以成功地進行攻擊重構(gòu)，而且有效地打擊了威脅警報疲勞.NODOZE方案的創(chuàng)新之處在于將分數(shù)分配、網(wǎng)絡(luò)擴散與分數(shù)聚合相聯(lián)合，基于整個路徑來計算異常分數(shù).該方案可以有效地減少錯誤警報，但在系統(tǒng)開始進行檢測前必須保證網(wǎng)絡(luò)處于純凈狀態(tài)，否則攻擊者蓄意發(fā)起惡意行為就有可能使系統(tǒng)發(fā)生混淆，將異常事件誤分類為正常事件.另外，NODOZE的分析不是實時的，它可能無法在APT攻擊的前期察覺到威脅.

Hossain等人[13]提出了一個可以實時地進行威脅檢測和攻擊重構(gòu)方案SLEUTH，向系統(tǒng)內(nèi)引入了溯源圖和雙標簽傳播的技術(shù)，具有代價較小、反應(yīng)迅速的優(yōu)點.該方案中引入雙標簽策略，標簽?zāi)軌蜓刂嚓P(guān)路徑引導(dǎo)搜索，并遠離不太可能的路徑.這樣系統(tǒng)可以將分析重點放在較少的可疑事件上，無需遍歷整個圖形即可完成搜索.因此，SLEUTH系統(tǒng)可以在攻擊發(fā)生幾秒鐘或幾分鐘內(nèi)向網(wǎng)絡(luò)分析人員提供緊湊、直觀的活動摘要，有助于在受害企業(yè)遭受巨大損失之前及時作出反應(yīng)，也在一定程度上克服了傳統(tǒng)方法依賴爆炸的問題.不過該方案在開始對計算機系統(tǒng)進行監(jiān)控時，無法確定之前攻擊者是否在主機上植入了持續(xù)的惡意軟件.

3.2 基于啟發(fā)式的方案

基于啟發(fā)式的攻擊重構(gòu)方案，即根據(jù)事先歸納總結(jié)的典型攻擊模型，將系統(tǒng)活動與之進行對比來進行威脅檢測和攻擊重構(gòu)，通過將系統(tǒng)事件與已知的敵對行為進行匹配來提供對復(fù)雜入侵的可見性.

當前比較權(quán)威的APT攻擊模型是ATT&CK知識庫的TTPs(tactics,techniques and procedures)，TTPs來自專家知識，提供了低級審計事件到高級APT步驟之間的映射，全面地描述了各種可能與攻擊活動步驟相關(guān)的程序.但正是由于TTPs的全面性，使得這種方案的誤報率往往比較高.若僅僅進行規(guī)則匹配，會造成威脅警報疲勞相關(guān)的問題，即系統(tǒng)不但會生成大量的假警報，也會使真正由攻擊行為產(chǎn)生的攻擊警報淹沒在噪聲中.因此，如何減少噪聲是基于啟發(fā)式方案需要解決的重要問題.

Milajerdi等人[22]提出的HOLMES方案，根據(jù)TTPs中描述的近200種行為模式定義了一系列TTP規(guī)則，從某個異常事件開始，將底層事件流與TTP規(guī)則進行匹配并檢測攻擊步驟間相關(guān)性.該方案利用在攻擊活動中出現(xiàn)的可疑信息流之間的相關(guān)性，可以實時地檢測正在進行的APT攻擊，并生成一個高級場景圖來總結(jié)攻擊者的活動，從而幫助網(wǎng)絡(luò)分析人員發(fā)起有效的網(wǎng)絡(luò)響應(yīng)活動.

Hassan等人[23]提出的RapSheet方案，則將數(shù)據(jù)溯源思想應(yīng)用到端點檢測與響應(yīng)(endpoint detection and response, EDR)工具上，提供了一種可變化的應(yīng)用戰(zhàn)術(shù)起源分析和EDR工具的威脅檢測和攻擊重構(gòu)思路.該方案基于單個威脅警報間的時間順序來評估風險，進而解決了EDR的誤報問題.另外，該方案中所使用的一種日志縮減技術(shù)，使得系統(tǒng)只需維護一個最低限度的框架圖并提供現(xiàn)有和未來威脅警報的可鏈接性.不過該方案無法檢測跨主機的攻擊，另外系統(tǒng)無法實時進行威脅檢測和攻擊重構(gòu).

3.3 基于圖形分析的方案

近年來，隨著計算機存儲和計算性能的不斷提高，基于圖形分析的處理方法逐漸引起了人們的注意，即使用圖形處理相關(guān)技術(shù)，包括圖匹配、圖聚類等，直接使用圖形中的信息進行威脅檢測與攻擊重構(gòu).從圖形的結(jié)構(gòu)特征入手進行分析與判別可以保留完整的系統(tǒng)行為特征信息，避免特征的丟失，精度高.但也會為存儲和分析帶來很大挑戰(zhàn).

Pei等人[24]提出的HERCULE方案，將多階段入侵分析建模為社區(qū)發(fā)現(xiàn)問題，通過關(guān)聯(lián)多個輕量級日志條目進行因果關(guān)系分析來構(gòu)建多維加權(quán)溯源圖.該方案創(chuàng)新性地收集多個不同主機中的系統(tǒng)日志進行了聯(lián)合分析.不過，該方案提出的檢測框架不是實時的，需要網(wǎng)絡(luò)分析人員收集各個主機上的系統(tǒng)日志，輸入系統(tǒng)內(nèi)進行檢測，這幾乎相當于進行了離線的檢測.基于HERCULE方案中開銷小的優(yōu)勢，可以將這樣的檢測方案進一步發(fā)展，實現(xiàn)實時收集、實時分析.

Milajerdi等人[25]提出的Poriot方案是一種基于圖匹配的方法，對起源圖和根據(jù)妥協(xié)指標(IOC)關(guān)系構(gòu)建的攻擊行為查詢圖進行圖匹配來完成威脅檢測和攻擊重構(gòu)功能.該方案的優(yōu)點在于設(shè)計和實現(xiàn)了一種高效率、低誤報的圖匹配檢測方式.基于圖的處理方式是一種很不錯的威脅檢測與攻擊重構(gòu)思路，因為圖形中存在著許多難以被特征抽取的特征.該方案的缺點在于查詢圖需要人工構(gòu)建，前期工作量大，并且無法檢測新的惡意手段.

3.4 對比分析

我們對上述8種方案進行了對比分析，生成如表1所示的方案對比.從表1可以直觀地看出，現(xiàn)有方案中所使用的數(shù)據(jù)收集器基本上是粗粒度的，即收集系統(tǒng)級的信息流.客觀來說，細粒度的收集器收集到的信息較粗粒度的收集器更為細致，但由于計算機系統(tǒng)運行產(chǎn)生的數(shù)據(jù)量過于龐大，因此為了平衡系統(tǒng)負載，切合計算機的處理能力，目前人們大多只能選擇粗粒度的收集器來收集信息.

表1 8種方案對比

在數(shù)據(jù)存儲方面，較早的系統(tǒng)常常采用保留緩存圖的存儲方式，即保留日志中全部的信息.而在人們發(fā)現(xiàn)系統(tǒng)受到依賴爆炸問題的威脅后，開始思考對收據(jù)存儲進行某些改進，例如PrioTracking和NODOZE系統(tǒng)選擇建立以事件向量為中心的數(shù)據(jù)庫來保留關(guān)鍵信息，而SLEUTH等系統(tǒng)則對緩存圖進行處理生成流式信息圖來進行數(shù)據(jù)存儲.

對比這8種方案的實驗效果，我們發(fā)現(xiàn)，啟發(fā)式的方案可以覆蓋較大的檢測范圍，并且可以實現(xiàn)對特定攻擊的檢測與分析，檢測時間一般也比較短；基于圖形分析的方案，處理時不僅可以覆蓋較大的檢測范圍，而且檢測的精度往往也比較高；而基于異常分析的處理方案，分析效果受預(yù)訓(xùn)練環(huán)境影響較大，但對系統(tǒng)造成的負載較小.

4 挑戰(zhàn)與展望

當前威脅檢測與攻擊重構(gòu)領(lǐng)域仍然面臨著這樣的一些挑戰(zhàn)；

首先，研究人員缺乏近期的基準數(shù)據(jù)集.這也是人們在對APT攻擊進行研究時常常面臨的困難.目前廣泛使用的真實環(huán)境數(shù)據(jù)集是來自DARPA的數(shù)據(jù)集，缺少一些新興攻擊的數(shù)據(jù).而使用模擬數(shù)據(jù)進行訓(xùn)練和評估會帶來準確度降低的風險.

第二是系統(tǒng)信息的收集問題.目前絕大多數(shù)系統(tǒng)的信息來源是系統(tǒng)日志，收集器根據(jù)信息來源不同可以分成粗粒度和細粒度2種.粗粒度的收集器只對系統(tǒng)級對象進行跟蹤，基本可以滿足檢測需求，但無法提供應(yīng)用內(nèi)部更細節(jié)的信息流；細粒度的收集器雖然可以保留更多細節(jié)，但是會對系統(tǒng)造成大量開銷，也有帶來依賴爆炸問題的風險.

第三是如何自動準確地進行特征提取.如Poirot這樣的方案，其準確性嚴重依賴于特征提取.一方面，目前人們?nèi)狈ΜF(xiàn)實世界的攻擊圖數(shù)據(jù)的良好整理；另一方面，難以提取典型的攻擊模式和相應(yīng)的語義.

最后，隨著機器學習相關(guān)技術(shù)的不斷發(fā)展，目前越來越多的研究方案展現(xiàn)出了希望在威脅檢測與攻擊重構(gòu)中應(yīng)用機器學習技術(shù)的意愿，但APT攻擊所呈現(xiàn)出的復(fù)雜性、針對性使得攻擊者可能采取各種行為規(guī)避系統(tǒng)的檢測.

總體來說，高級持續(xù)威脅的威脅檢測與攻擊重構(gòu)依然是一個值得發(fā)展的領(lǐng)域，未來存在著很大的發(fā)展空間，需要繼續(xù)深入研究.對于未來的研究與發(fā)展方向，主要有以下幾個方面：

1) 隨著近年來存儲技術(shù)的進步和許多數(shù)據(jù)壓縮存儲、緩解依賴爆炸等方案的出現(xiàn)，細粒度的來源收集器的使用開始回到了人們的視野中.這樣的收集器能夠?qū)⑼{檢測從當前的系統(tǒng)級深入到應(yīng)用級，產(chǎn)生更高的精度和更低的誤判率.

2) 機器學習技術(shù)在攻擊重構(gòu)領(lǐng)域也得到了一些應(yīng)用.機器學習相關(guān)算法分析和預(yù)測的總體誤差小，可以嘗試在某些模塊或功能上使用機器學習相關(guān)技術(shù)作為輔助工具，幫助系統(tǒng)達到更好的效果.例如Luo等人[26]引入長短期記憶人工神經(jīng)網(wǎng)絡(luò)方法進行了增量學習.

3) 圖形結(jié)構(gòu)的數(shù)據(jù)所保有的豐富全局特征和較強的靈活性、可擴展性可以幫助威脅檢測與攻擊重構(gòu)系統(tǒng)作出更加精準的判斷，結(jié)合圖卷積技術(shù)也取得了不錯的效果[27].不過這樣的方案會帶來比較高的性能要求和較大的系統(tǒng)開銷，如何克服這樣的問題仍需不斷進行探索.

4) 針對APT攻擊的威脅檢測與攻擊重構(gòu)系統(tǒng)需要對一段時間內(nèi)的數(shù)據(jù)進行存儲、計算和分析來保證檢測的準確率.但計算機系統(tǒng)每天可能產(chǎn)生幾千兆甚至幾十千兆的數(shù)據(jù)，如何在保證長期記錄信息的基礎(chǔ)上，平衡存儲與計算的代價，依然是攻擊重構(gòu)領(lǐng)域取得較大進展的一個重要前提.

5 結(jié) 論

在APT攻擊中，攻擊者常常在網(wǎng)絡(luò)內(nèi)緩慢地進行偵察和橫向移動，最后發(fā)起攻擊.這種多階段攻擊模式留下的痕跡散落在網(wǎng)絡(luò)內(nèi)不同主機上的許多獨立日志中.因此，從分散的細微痕跡中拼湊出攻擊的完整上下文信息仍然需要網(wǎng)絡(luò)調(diào)查人員付出巨大的努力，這既是攻擊重構(gòu)主要針對的目標，也是攻擊重構(gòu)方案急需發(fā)展的一個重要原因.許多方案中同時集成攻擊重構(gòu)與威脅檢測這2種模塊功能，既達到了更好的效果，也在一定程度上節(jié)約了開銷.本文在對國內(nèi)外APT的攻擊重構(gòu)方案進行了調(diào)研和分析，梳理當前威脅檢測和攻擊重構(gòu)的基本思路，主要介紹了基于因果關(guān)系分析的攻擊重構(gòu)基本方案和3種結(jié)合威脅檢測的攻擊重構(gòu)方案.最后闡述了目前研究中存在的問題和挑戰(zhàn)，并對未來的研究與發(fā)展方向進行了展望.