设计应用

融合溯源图与知识图谱的APT攻击检测模型研究

作者：安渊1，鲍永庆2

发布日期：2026-03-25

来源：网络安全与数据治理

引言

高级持续性威胁(Advanced Persistent Threat，APT)攻击因其隐蔽性、持续性和组织化特征，已经成为企业级网络安全的核心挑战。区别于传统的网络攻击，APT攻击通常由具备明确战略意图的组织发起，采用多阶段、渐进式的攻击模式，综合运用社会工程学、零日漏洞利用及复杂的命令与控制网络，旨在长期潜伏并窃取高价值信息［1］。传统依赖已知特征码匹配或基于单点异常阈值的检测方法［2］，因其缺乏对攻击全局上下文和内在逻辑关联的理解，往往难以奏效，导致漏报与误报。

为突破这一瓶颈，基于系统审计日志构建数据溯源图［3］的研究范式应运而生。该方法通过将分散的系统事件重构为具有因果与时间属性的有向图，能够直观地刻画攻击链中实体间的依赖关系，为还原复杂的多步攻击提供了强大的结构化表示基础。

与此同时，知识图谱技术为整合与利用网络安全领域的碎片化信息提供了理想框架。特别是以MITRE ATT&CK［4］为代表的知识库，系统化地建模了APT组织、攻击技术、利用工具及防御措施之间的复杂关联。

本文详细内容请下载：

http://www.chinaaet.com/resource/share/2000007021

作者信息：

安渊1，鲍永庆2

(1.国家计算机网络应急技术处理协调中心西藏分中心，西藏拉萨850000；

2.中共西藏自治区委员会网络安全和信息化委员会办公室，西藏拉萨850000)

原创声明：此内容为AET网站原创，未经授权禁止转载。

APT攻击检测溯源图知识图谱

技术沙龙-密码技术与数据安全

点击进入传感器测试专题

进入订阅《电子技术应用》杂志

新型储能技术专题

点击查看ChinaAET Qorvo QSPICE知识专区