本文提出了TREC,這是首次利用深度學習技術從溯源圖中識別APT戰術/技術的嘗試。TREC包括以下四個模塊:
溯源圖構建模塊:持續收集內核級系統事件並構建溯源圖。
NOI檢測和子圖採樣模塊:首先使用異常檢測模型檢測潛在的惡意節點(NOI),然後採用子圖採樣算法從溯源圖中分割出涵蓋個別APT技術實例的子圖。
技術子圖表示模塊:使用異構圖神經網絡對技術子圖進行表示學習,捕捉不同類型節點的重要性差異。
APT技術識別模塊:採用Siamese神經網絡的少樣本學習策略,將APT技術識別問題轉化為樣本對比分析,以減少對每種APT技術的訓練樣本需求。
實驗結果表明,TREC在APT戰術識別和APT技術識別方面都顯著優於現有系統。
翻譯成其他語言
從原文內容
arxiv.org
深入探究