基于知识图谱的APT组织追踪治理

高级持续性威胁（APT）正日益成为针对政府和企业重要资产的不可忽视的网络空间重大威胁。由于APT攻击往往具有明确的攻击意图，并且其攻击手段具备极高的隐蔽性和潜伏性，传统的网络检测手段通常无法有效对其进行检测。近年来，APT攻击的检测和防御技术逐渐引起各国政府和网络安全研究者的关注。本文首先对发达国家APT相关研究进行了梳理，从战略、法规和具体的技术模型层面阐述了美国在网络空间战略和APT攻击检测及追踪方面的一些变化和取得的标志性成果；其次基于自身的研究，提出了一套结合知识图谱进行APT组织追踪的方案，并结合模拟的实际案例进行了方案的验证；最后提出了一些相关的对策建议。

一、引言

APT是指高级持续性攻击（Advanced Persistent Threat）这一概念最初由美国于2006年正式提出[1]，专门用于描述美国在政府及军事内部网中发现的具有高级技术手段的持续性的攻击。在NIST SP 800-137,《联邦信息系统和组织的信息安全持续性监控(ICSM)》,这样定义了APT（Advanced Persistent Threat，高级持续性威胁）：一个拥有顶尖的专业技能和有效资源的对手，允许其通过攻击多种不同攻击媒介（如，网络，物理和欺骗）产生的机会，实现其目标。典型的就是在组织的信息系统技术基础架构里建立和扩展据点，达成持续的信息泄露，或者破坏和阻碍作战计划或者组织达成关键任务使命 ，或者放置在以后能作用的地方。此外，高级持续性威胁为了达成其目标，会反复多次的持续较长的时间，通过各种方式（自动升级）来抵抗防护者的努力。同时与外界保持一定程度的交互以执行其目标。

目前业界一般将具备高级技术手段，具有黑客组织甚至国家背景，针对企业重要资产或国家关键基础设施及重要政府部门发起的持续性的攻击称为APT攻击。通常APT攻击都具有先进性、持续性和高威胁性的特征。

APT攻击通常针对国家重要信息基础设施、重点科研院所和大型商业公司。以窃取敏感信息、商业机密或者破坏重要的基础设施为目的。APT 攻击造成的损失巨大甚至影响国家安全，各国均将APT 防御提升到国家高度。对APT 攻击事件的研究有助于提升国家对网络威胁的感知和防御能力。

由于APT通常是由具备高水平黑客组织甚至国家支持的黑客发起的攻击，相较于传统的网络入侵攻击，APT攻击具有较强的隐蔽性，攻击持续和潜伏的时间也很长。传统基于单一IP和域名等信誉的检测方案往往不能有效进行APT攻击特别针对未知的APT攻击的检测和发现。

APT检测通常面临以下的难题：

（1）高级入侵手段检测难题

APT攻击具有极强的单点隐蔽能力，所利用的主控IP和携带的相关恶意代码往往具有多变性，使得基于单一特征检测的手段失效。

（2）长期潜伏隐蔽性发现难题

APT攻击的攻击时间往往很长，在单个时间节点上往往不具备特别的异常特征，这使得传统检测手段往往会漏报实际的APT攻击事件。

因此针对APT攻击的发现和APT组织的追踪日益成为研究的热点。

二、APT战争开始走向国家级的威慑战略

自2009 年12 月针对Google 公司的极光攻击事件曝光，APT 攻击开始被各界熟知。目前国际上有名的APT攻击事件包括：2010年7月针对工业成功破坏伊朗布什尔核电站设备的震网攻击事件；2015年12月23日乌克兰伊万诺弗兰科夫斯克地区圣诞大停电事件;2013年3月20日韩国银行遭遇APT攻击事件，2016年孟加拉国央行8100万海外存款失窃事件等。

近年来，东亚地区朝鲜的Lazarus Group的活动情况随着朝鲜局势日渐缓和也开始变得缓和，但是依然频繁攻击韩国和欧美国家以获取情报。东南亚地区的海莲花组织主要以中国政府、科研等重要部门为攻击对象；在欧洲，APT28、APT29、Turla作为东欧地区最为知名的APT组织一直广泛活跃；其中，俄罗斯支持的APT28组织多次影响美国大选，诞生了一个“选举安全”的新词。在美国，结合公开披露资料，作为网络空间能力的强国，历史曝光的震网事件，方程式组织都被认为与北美情报机构有关。从2013年以来，相关情报机构的多次泄密事件展示了其完备的网络空间攻击体系和自动化攻击武器，并暴露了其将中国作为其实施全球网络间谍活动的重要目标之一的相关证据。

2019年3月7日晚

委内瑞拉发生全国范围的大规模停电，世界第三大水电站古里水电站被攻击，首都加拉加斯以及其他大部分地区陷入一片漆黑，全国18个州电力供应中断，仅有5个州幸免，停电给委内瑞拉带来了重大损失，全国交通瘫痪，地铁系统关闭，医院手术中断，所有通讯线路中断，航班无法正常起降……。总统马杜罗8日在社交媒体上发文，指责这次停电是美国针对委内瑞拉导演的一场“电力战争”。

2019年6月15日

《纽约时报》称美国目前正在升级对俄罗斯电网的网络攻击，并尝试将潜在的恶意软件植于俄罗斯系统内。美国之所以这么做是为了准备一旦与俄罗斯陷入冲突之时，美国可以向对方电力系统开展网络攻击

2019年6月20日

在美国总统特朗普授意下，美国网络司令部与美国中央司令部配合，使伊朗的火箭发射系统瘫痪，报复伊朗伊斯兰革命卫队在霍尔木兹海峡附近击落一架美制侦察无人机。据《纽约时报》报道，美国的行动还旨在至少暂时破坏伊朗情报部门使用的电脑和网络，以及计划进行更多网络攻击。

2019年7月13日晚

伊朗革命卫队信息战部队成功的突破了美国信息战部队的围堵，闯入了纽约市三十多个变电站的控制中心，并对控制中心进行信息站破坏，导致了纽约全城大约4个小时的停电，这是几十年来的第一次，大规模停电造成混乱。

中国工程院院士戴浩在2019CNCERT中国网络安全年会上指出，过去以国家名义发起的网络战鲜有发生，APT攻击属于“暗战”，但近年来为了加强震慑意义，开始出现以国家名义公开宣称发动网络战，网络战开始出现“明暗交织”的情况。

三、发达国家APT组织治理相关研究

1

战略层面美国强调“美国优先”和“以实力促和平”

特朗普政府2017年12月18日发布《国家安全战略报告》，随后2018年9月18日《国防部网络战略》， 9月20日又发布《国家网络战略》报告，连续3个战略，诠释了特朗普的“美国优先”的战略，强调“网络威慑”和“以实力促和平”，突出强调网络战的重要性，将“军事和武力”作用置于外交和国务之前，强调保护美国基础设施来保证美国的持续繁荣。同时强调人工智能（AI）对于经济增长重要性。

美国国防部则强调“网络空间必胜”、再攻击的同时要求提前制止挫败针对关键基础设施的攻击，强调情报共享，联合作战。

《国家网络战略》继承了《国家安全战略报告》和2017年5月特朗普签署的第13800号总统令《加强联邦网络和关键基础设施的网络安全》，提到4个支柱：1、保护美国民众、国土以及美国人的生活方式，2、促进美国繁荣，3、以力量为基础保持和平，4、提升美国影响力。强调了网络应当成为美国政府优先和重点治理的部分；强调私营企业的支撑作用，着力打造由政、军、企一体，军民融合的网络安全体系；明确提出要防范来自中国、俄罗斯和朝鲜等国的APT攻击。

2018年12月7日，美众议院能源和商业委员会监管和调查小组发布报告《网络安全战略报告》，认为当前美国的网络安全举措并未跟上互联网的发展，传统的信息技术策略在应对不断增长的网络安全事件中收效甚微。其强调6个概念，1、未知的未知总会存在。2、你无法保护自己都不知道的所有物。3、软件不再是编写出来的，而是集成的。4、必须有一种通用的网络安全语言。5、数字资产比实体资产衰老的速度更快，也更难预测。6、网络安全需要动员“全社会”。强调需要在未知的漏洞，未知的APT组织下考虑全面防御，全社会的防御体系。换言之，战略层面，不再追求一劳永逸的方式，而是强调全面防御。

2

法规层面美国立法进行APT组织跟踪

2018年9月5日，美国众议院投票通过《2018网络威慑与响应法案》[2]，旨在阻止和制裁未来国家支持的针对美国的网络攻击，以保护美国的政治、经济和关键基础设施免受侵害。该法案要求美国总统确认高级持续威胁（APT）组织名单，并在《联邦公报》（Federal Register）中公布并定期更新。该法案还要求美国政府制裁对美国发动国家支持型网络攻击的参与者，参与者包括个人，组织实体乃至国家，制裁方案包括或长达一年的金融制裁，出口和入境限制制裁等。美国政府及民间企业均拥有数目庞大的安全团队或公司在关注、狙击以及深度的研究APT攻击。

3

美军研发基于知识图谱的先进网络战工具

美国国防部《四年任务使命评估报告》指出，网络中心战应该列为美军的核心能力，打造一支更加专业化的网络作战部队。2010年9月，《华盛顿邮报》披露，五角大楼力求在网络战争中先发制人，并达到欺骗、拒止、分离、降级、毁坏的“5D”效果。可以说，网络战攻击层面的研究是美国政府以及下属的研究机构一直以来的一个重点，根据美国近年来围绕网络战构建的模型来看，以多层次知识图谱图谱映射战场网络，结合靶场演练进行模型验证是一个重要研究的方向。

3.1 DARPA的Plan X用知识图谱描绘战场地图支撑VR作战

PLAN X是DARPA在2012年公布的一个项目，主要目标是开发革命性的技术，在实时、大规模和动态的网络环境中理解、规划和管理网络战。基于一个建立好的通用地图，帮助军方网络操作人员利用可视化的方式在战场中执行网络入侵的任务。

PLAN X利用自动化构建战场网络图谱的技术，将战场中网络地图、作战单元、能力集转化为图谱中节点和边的集合，基于作战人员预先设定的战术目标，进行自动化图谱搜索，找到最佳入侵路径和入侵方案，提供给作战人员。

PLAN X是美国军方进行自动化战场网络拓扑构建，支撑美军士兵进行直观的可视化网络入侵攻击的战略性项目。该项目通过整合网络地图、作战单元、能力集这些概念，形成了网络作战空间的概念。在这一概念的基础上通过五个技术领域的研究，将网络作战空间展示给军事人员，让普通士兵也能在直观的界面上利用技术与敌方发起的计算机攻击进行对抗，简化了作战流程，让士兵们不需要使用键盘就能进行网络作战。

PLAN X还为美军验证攻击模型提供了演练的靶场，通过在实际的靶场演练过程中，逐步验证和优化攻击模型的细节。

3.2 MITRE公司的CyGraph原型支撑网络作战

MITRE公司是美国军民两用的情报分析，知识工程的先驱，大名鼎鼎的CVE，STIX情报等都是其设计，其构建了美国最大的知识工程。CyGraph是MITRE在图模型研究方面的原型系统[3]。CyGraph使用了层级的图结构，包括网络架构（Network Infrastructure）、安全状态（Security Posture）、网络威胁（Cyber Threats）、任务依赖（Mission Dependencies）四个层次的图数据，用于支持针对关键资产保护的攻击面识别和攻击态势理解等任务。CyGraph深入了解网络活动对任务的影响，在CyGraph属性图形式中，图层定义整个模型空间的子集，每个层内的和跨越各层的关系。

MITRE分析人员认为，在网络实际的运行环境当中，关键的问题不在于缺乏信息，而是如何将不同的信息部分组合成一个总体分析图景，使之能用于支撑态势感知以及最佳行动方案的制定[4]。CyGraph将孤立的数据和事件整合到一个持续的整体情况中，结合其多层次的战场图谱结构，能够动态提供适当的响应攻击和保护关键任务资产的上下文信息。

CyGraph结合多层知识图谱结构，将各个层次的知识进行分层存储，在各层内部和跨越各层之间定义关系，从而为网络入侵事件提供多个层次的上下文语义的补充，并且提供基于多层图关联的最佳响应策略。

图3.1 CyGraph的多层图谱结构

4

研发基于ATT&CK的新一代APT描述语言模型

网络攻击是一门艺术，但是防御是科学。如何将网络虚拟空间实体化、可描述化，形成类似真实地理空间的战争，一直是研究的主要方向。而攻击元语模型的构建是美国进行攻击的统一化描述和网络防御体系构建的最主要方法。而MITRE公司受美国政府委派构建的以ATT&CK为核心的元语体系正是这一战略的最典型代表。从90年代开始，美军和政府资助MITRE公司构建了CAPEC、MEAC等建模库标准， CAPEC（Common Attack Pattern Enumeration and Classification）完整地定义了入侵攻击，MAEC（Malware Attribute Enumeration and Characterization）定义恶意代码的威胁元语。但是这两套语言相对独立，缺乏联系，而且缺乏人工智能的推理路径。于是，美国政府又资助其定义了ATT&CK。

ATT&CK（ Adversarial Tactics, Techniques, and Common Knowledge）是一个反映各个攻击生命周期的攻击行为的模型和知识库。起源于一个项目，用于枚举和分类针对Microsoft Windows™系统的攻陷后的战术，技术和过程（TTP），以改进对恶意活动的检测。相对传统的攻击模式的大而全，ATT&CK强调落地，比如建模仿真 APT3/哥特式熊猫（国外安全企业普遍认为是中国的黑客组织）的攻击技巧进行开展，评估重点关注产品侦测对手行为的技术能力。ATT&CK采用知识库分析对手攻击方法，评估现有防护体系，同时可以和靶场结合，进行攻击仿真测试和自动化验证。MITRE结合ATT&CK开展了针对各种防护能力的评估，FireEye、RSA、Microsoft 、CrowdStrike等著名的沙箱和EDR产品参与了评估。检测其追踪APT组织的实际效果。

图3.2 ATT&CK 针对lazarus和APT15的TTP能力对比分析

5

基于ATT&CK来加强APT追踪

一直以来，APT组织的命名遵循谁发现谁命名的原则，这个和之前漏洞披露在没有CVE前的状态相同，这一次，MITRE又准备统一APT命名的乱象，借此加强不同组织的情报沟通，形成更大的智慧合力。其官网公布87个APT攻击组织的描述，包括攻击组织使用的软件、战术、技术和过程（TTP），其中过程部分的内容会使用CVE漏洞作为实例进行描述。按照CVE的经验，运行一段时间后，将会移交给NIST和NVD国家漏洞库负责运营。

图3.3 ATT&CK APT组织信息

四、基于知识图谱的APT组织追踪实践

基于知识图谱的APT追踪实践是以威胁元语模型为核心，通过分析已经发布的APT分析报告，提取报告中对APT组织的描述信息和分析逻辑关系，自顶向下构建APT知识图谱。在结合知识图谱的本体结构对APT组织进行追踪和画像。

1

基于威胁元语模型的实体类构建

基于威胁元语模型的实体类构建主要由以下两部分构成：知识类型设计、字典规范定义。知识类型设计限定了知识图谱描述的内容范围，本文提出的知识图谱将限定在APT范围内；字典规范是对知识的属性描述进行约束，以统一表达方式。

1.1 APT知识图谱知识类型

APT知识类型定义参考各类现行的安全标准规范，如针对攻击机制的通用攻击模式枚举和分类（CAPEC），描述恶意行为特征的恶意软件属性枚举和特征（MAEC）以及研究漏洞形成机制的公共漏洞和暴露（CVE）等。其次分析结构化威胁信息表达（STIX）公开的APT组织报告[5]，提取结构化报告中涉及的十二个知识类型：攻击模式、战役、防御措施、身份、威胁指示器、入侵集、恶意代码、可观察实体、报告、攻击者、工具、漏洞。

本文构建的APT知识图谱定义了如下十类知识：

攻击模式：攻击者常用的战术、技术和具体过程机制；

恶意代码：进行恶意活动的软件或代码片段；

隐患：攻击者可利用的不安全配置和软件漏洞；

目标客体：受害者具体资产类型及相关属性；

威胁主体：攻击发起者，可以是个人、团体和组织；

报告：针对特定攻击组织的分析成果；

战役：针对特定受害者发起的一系列威胁事件；

防御策略：针对攻击的防护和响应手段；

威胁指示器：检测或取证中，具有高置信度的威胁对象或特征信息;

攻击工具：攻击者利用合法/非法的软件集合。

1.2 APT知识图谱字典规范

字典规范作为对不同类型知识属性的描述约束，便于知识的统一表达理解，同时也是外部数据融合消歧的标准。本文字典规范的设计针对涉及的十个知识类型（攻击模式、恶意代码、隐患、目标客体、威胁主体、报告、战役、防御策略、威胁指示器、攻击工具）的属性描述规范。字典设计同样参考了STIX及各类安全标准规范，威胁主体包括身份、角色、技术水平、资源水平、动机，共40种描述规范；恶意代码包括恶意代码动作，如创建进程等280种动作描述规范；隐患包括脆弱类型，如输入验证和表示、使用不适合的API等1037种脆弱性描述规范；目标客体包括行业、地理属性、关联标准，共3458个描述规范；攻击模式包括技术机制，如利用可信凭证、身份验证滥用等519种机制描述；战役包括事件类型，如信息收集、破坏可用性等42类事件规范定义；威胁指示器包括指示器类型，如IP、域名、文件哈希等10种可观察数据定义；攻击工具根据工具类型，如后门、木马、代理等9类；防御策略根据攻击链模型防护方式，有检测、拒绝、中断、降级、欺骗、摧毁6类规范定义；报告类知识由于其描述内容的不确定性，未对其属性描述进行字典限定。表4.1和表4.2是威胁主体和恶意代码部分字典的示例。

表4.1 威胁主体部分字典

表4.2 恶意代码部分字典

2

APT知识图谱本体结构

知识类型定义只将描述APT组织特征的相关信息形成孤立的知识结点，知识节点之间并无语义关系，无法进行语义搜索以及APT组织未知线索的推理分析。本文知识图谱本体结构的设计通过提取APT报告中提及的分析技术和线索逻辑关系，归纳出一套适用于APT组织分析的语义关系集合。

以FireEye发布的《APT28：AT THE CENTER OF THE STORM》为例[6]，报告中分析APT 28利用了CVE-2015-1701，CVE-2015-2424，CVE-2015-2590、CVE-2015-3043等漏洞，影响Flash、Java和Windows。其分析使用的逻辑关系源自美国国家漏洞库（NVD）中包含的专家知识CVE_ID（漏洞）“影响”CPE_ID（资产），除此之外NVD还包含CAPEC_ID（攻击机制）“利用”CWE_ID（脆弱性），CVE_ID（漏洞）“属于”CWE_ID（脆弱性）等属于专家知识的逻辑语义[7]。

其次，STIX公开的结构化APT报告中定义了七类关系：targets、uses、indicates、mitigates、attributed-to、variant-of、impersonates，实现对十二个对象域的连通。STIX2.0对象关系总览如下图4.1所示。

图 4.1 STIX2.0结构图

汇总归纳APT报告中涉及的多类语义关系，包括“指示”、“利用”、“属于”、“包含”、“动作关联”、“模块相似”等语义关系，构建如图4.2所示APT知识图谱本体结构。

图 4.2 APT知识图谱本体结构

3

APT攻击组织知识库构建

本文以自上而下的方式建立APT知识库，首先进行信息抽取对齐的操作，以APT知识图谱本体为基础，从海量数据中提取APT组织相关的知识实体、属性及知识关系。之后根据APT知识本体中定义的知识属性进行属性消歧融合补充，输出APT知识库。

3.1 多源异构可信APT情报信息抽取

APT组织相关信息来源有结构化的数据（比如结构化的情报数据库、STIX情报）、半结构化数据（比如Alienvault等开源情报社区网站[8]、IBM x-force情报社区网站[9]、MISP、ATT&CK）、非结构化数据（比如Talos安全博客、Github APT报告）。

结构化的情报数据库通常都标识了数据类型，因此信息抽取方式采用字段映射等方式将同类数据的不同字段映射至表示相同内容的特定属性下即可。

网站半结构化数据的抽取利用网络爬虫技术，结合对网页的人工分析，先将页面内数据进行分类对齐至APT本体中的知识类型，再将该类数据描述转换成结构化的知识表示。另外通过对网站链接跳转关系，抽取出诸如“属于”、“利用”、“包含”、“模块相似”等知识关系。

APT报告及安全博客等非结构化数据主要采用正则表达式进行威胁指示器（IP、域名、文件哈希等）的抽取，其次进行关键词匹配抽取出报告和组织的关系。

3.2 知识消歧融合

抽取形成统一表示的知识并进行知识实体对齐后还面临一个问题：抽取知识的冗余及属性缺失。本文针对APT本体结构中的知识类型采用不同的消歧融合方法，如威胁主体，由于APT组织名在不同厂商的分析报告中用不同的别称，APT组织名称属性以第一个发现攻击组织的命名为准，其余别名均归入别名属性中。

另外在不同的APT报告中提取的同一属性信息不相同，需要进行知识融合。如对于APT 32组织的历史攻击行业描述，A报告中分析其攻击过政府行业和社会组织，而B报告中分析其攻击过政府行业及私人企业，对攻击行业属性信息进行融合，APT 32组织的攻击行业包括政府行业、私人企业和社会组织。

4

实验及应用

本文通过抽取多个结构化、半结构化和非结构化的近半年来的APT情报信息，并依据上文提到的方法进行知识图谱的构建，构建了APT主题知识图谱。形成的APT知识库目前收录APT组织257个，威胁报告678份，网络基础设施（威胁指示器）27600个，恶意样本8847，样本动作1132085，攻击工具377个，如图4.3所示

图4.3 APT组织总览

（1)APT组织画像

结合构建的知识图谱本体结构，通过语义搜索的方式针对APT32攻击组织进行了画像，结果如图4.4,4.5所示。

图4.4 APT32 钻石模型

图 4.5 APT 32画像

画像信息包括APT32组织控制的基础设施（IP、域名、电子邮箱）、技术手段（掌握的漏洞、攻击技术手段）以及攻击工具（代理工具、后门工具等）。画像信息为APT事件分析提供丰富的复合语义，可用于支撑和促进APT相关事件的追踪。

（2）APT组织追踪

结合APT画像知识，通过将实时监测的威胁事件的属性特征与APT组织特征进行比对，对威胁事件标注其组织关联性，实现APT组织活跃情况的实时监测统计。

本文基于在某监管部门具有600台IDS和沙箱探针设备，4台服务器组成的大数据分析集群实验环境中，结合知识图谱提供的225个APT组织画像特征进行特征关联，

在2019年6月2日至2019年6月9日时间段上共发现5个APT组织的活跃情况，结果如图4.6所示。

图4.6 APT组织追踪

五、对策建议

“四一九”讲话中明确指出：“第一，树立正确的网络安全观。第二，加快构建关键信息基础设施安全保障体系。第三，全天候全方位感知网络安全态势。”指出，“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标。“知己知彼，才能百战不殆。”没有意识到风险是最大的风险。网络安全具有很强的隐蔽性，一个技术漏洞、安全风险可能隐藏几年都发现不了，结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”，长期“潜伏”在里面，一旦有事就发作了。”

APT攻击通常都具有高度的隐秘性和持续性，并且其攻击的对象往往针对企业和政府重要的资产和关键基础设施，因此APT攻击也具有极大的危害性。

美国政府和企业长久以来都十分重视APT攻击的检测，并且其APT检测能力和防护能力依然是目前全球最先进的。借鉴美国政企在APT检测和防护的取得的成果，以及本文研究的一些经验，给出以下几个方面的建议。

01完善针对APT攻击相关的政策法规的制定。

目前我国政府尚未专门针对APT攻击出台响应的政策与法规，这对于促进、规范和指导国内APT攻击的分析与检测工作非常不利。因此，国家应该尽快出台相应的法规政策，明确APT攻击检测的重要性和迫切性，为政府及安全企业针对APT攻击的检测和研究打下基础。

02加强军民融合，推荐共建、共研共享的研究生态。

美国政府在网络安全技术研究和模型构建方面一直以来都非常重视和企业的合作，典型的包括MITRE公司构建的STIX框架、ATT&CK框架、CAPEC、MAEC、CWE和CVE等元语模型都获得美国政府的大力扶持，并且在美国政府和军队各种标准框架中得到广泛的运用。我国政府目前也逐渐加强和企业的合作，这样的合作还需要进一步深化，国家和企业需要更深地合作，构建能够在行业和国家层面通行的技术方案和模型标准。

03构建统一情报共享格式，加强情报共享。

APT攻击由于极高的隐秘性，因此关于APT攻击组织的威胁情报的共享对于APT攻击的发现和监控具有重要的意义。美国自911事件之后，开始着手整顿国内混乱的情报共享机制，很多政府及政府指派的安全厂商开始着手建立跨部门甚至跨行业的情报共享格式，构建起一系列的威胁情报分享模型，其中以MITRE公司构建的STIX为代表。我国在威胁情报共享模型上直到2018年才参考STIX结构，推出GB/T 36643-2018《信息安全技术 网络安全威胁信息格式规范》国家标准。STIX自推出以来，很快被推广成为美国各政府及企业进行威胁情报描述的标准格式，美国发布的绝大多数APT报告都会提供SITX格式供各政企进行分享。但我国自国标推行以来，依然没有很好地在国内政企当中得到广泛的应用。STIX的广泛使用对于美国政企对包括APT攻击在内的网络入侵事件快速进行共享和分析具有重大的意义，我国应当不断完善通用情报描述规范，着力培养和促进通用威胁情报的共享机制，为APT攻击的检测和防御打好基础。

04加强通用威胁元语模型的构建。

STIX框架能够如此广泛地作为通用威胁情报描述规范应用美国绝大多数的政企部门，最主要的原因之一就是STIX框架之下有MITRE公司多年来逐步完善的一整套威胁元语模型来进行支撑，包括通用攻击模式枚举和分类（CAPEC），恶意软件属性枚举及分类（MAEC），通用脆弱性枚举（CWE），通用漏洞及披露（CVE）等。我国目前尚未完整构建起一整套通用威胁元语，用于支撑统一的威胁情报表达格式和APT相关威胁情报及知识的共享。

六、结语

本文从战略、法规和具体技术模型层面梳理了美国网络空间战略的变化，以及APT检测追踪相关技术及模型；并且通过构建完整的APT主题知识图谱支撑进行APT组织的追踪，经过实际的演练和测试，验证了这一技术方案的可行性。并且提出一些促进我国APT检测和追踪能力提升的一些对策建议。

参考文献：

[1].Binde B E,MccRee R,O'Connor TJ.Assessing Outbound Traffic to Uncover Advanced Persistent Threat [R]. Maryland:SANS Technology Institute,2011.

[2].H.R.5576 - Cyber Deterrence and Response Act of 2018[EB/OL].https://www.congress.gov/bill/115th-congress/house-bill/5576/,2018

[3].Noel S, Bodeau D, McQuaid R. Big-data graph knowledge bases for cyber resilience[C]//NATO IST-153 Workshop on Cyber Resilience. 2017: 23-25.

[4].CyGraph: Cybersecurity Situational Awareness[EB/OL]. https://neo4j.com/blog/cygraph-cybersecurity-situational-awareness/,2015

[5].STIX.Introduction to STIX[EB/OL]. https://oasis-open.github.io/cti-documentation/

[6].APT28:AT THE CENTER OF THE STORM[EB/OL]. https://www2.fireeye.com/rs/848-DID-242/images/APT28-Center-of-Storm-2017.pdf

[7].NATIONAL VULNERABILITY DATABASE[EB/OL]. https://nvd.nist.gov/

[8].AlienVault[EB/OL]. https://otx.alienvault.com/preview

[9].IBM X-Force[EB/OL]. https://exchange.xforce.ibmcloud.com/

内容编辑： 肖岩军、王津、陈震杭、赖智全 责任编辑：肖晴