原文标题：APT-KGL: An Intelligent APT Detection System Based on Threat Knowledge and Heterogeneous Provenance Graph Learning(CCF-A)
原文作者：Tieming Chen(陈铁明), Chengyu Dong(董程昱), Mingqi Lv(吕明琪)
发表期刊：IEEE Transactions on Dependable and Secure Computing
原文链接：https://ieeexplore.ieee.org/document/9999407
笔记作者：[email protected]
笔记小编：[email protected]

主要问题

• 基于规则的APT检测方法需要专家领域的知识，模型缺乏泛化能力，并且不能处理人类无法理解的抽象知识；
• 溯源图节点和边是系统实体和系统事件的实例，缺乏泛化性，使得检测模型的训练困难；
• 效率敏感；
• 单个系统实体难以检测到APT攻击；
• 处理新传入系统的实体不能重新embedding；
• APT事件的数据非常少

本文工作

• 提出了一个利用GNN和威胁情报来自动学习检测模式的APT检测系统
• 提出了一种用于建模溯源数据的异构图方法
• 提出了一种用于处理新入度节点的子图采样方法
• 设计了一种从开源威胁情报中半自动挖掘威胁知识的方法

整体架构

实验

总结与思考

• 本文对溯源图中节点与边的定义同SLEUTH类似，但使用了深度神经网络技术来生成embedding，避免了人工标记时专业领域知识的限制，并且在后续的子图采样模块避免了重复embedding；
• 本文在“实体类型”中定义了除文件、进程外的其他元素，但在后续的子图采样中又只保留了文件进程两种，虽然文中有提到“概念实体类型的节点数量有限”，但这是否能作为去除其他实体的理由，亦或是其他实体本就没有必要列出；
• 关于添加了噪声的自生成样本，文中虽然描述了其生成的策略与过程，但似乎没有验证其合理性，即该数据能否作为真实数据来使用；
• 关于新传入实体的处理，按文中的描述似乎是将单个新实体与已存在于图中的实体关联起来，再进行子图采样。若是复数个新实体联动产生攻击行为，该策略下的新实体会存在指向空实体的空关系，因此会被分别判断为正常节点（文末提到了APT-KGL依旧聚焦于单点入侵）

安全学术圈招募队友-ing 
有兴趣加入学术圈的请联系 secdr#qq.com