原文标题:KnowHow: Automatically Applying High-Level CTI Knowledge for Interpretable and Accurate Provenance Analysis
原文作者:Yuhan Meng, Shaofei Li, Jiaping Gui, Peng Jiang, Ding Li发表会议:NDSS 2026笔记作者:龙函城主编:黄诚@安全学术圈
研究概述
高级持续性威胁(APT)攻击通常具有潜伏时间长、攻击阶段多、行为链条复杂等特点。这使得仅依赖单点告警、简单规则匹配或纯数据驱动异常检测的方法很难准确还原攻击过程。现有溯源分析方法虽然能够从系统事件中挖掘攻击痕迹,但往往面临两个突出问题:一是误报较多,二是检测结果缺乏可解释性,安全分析人员往往只能看到若干异常节点或异常路径,却难以理解这些结果分别对应什么攻击技术、处于攻击链的哪个阶段。
另一方面,网络威胁情报(CTI)中包含大量高层攻击知识,例如攻击者使用的技术、操作对象、行为目标以及攻击阶段关系。这些知识天然适合用于APT分析,但问题在于,CTI通常以自然语言形式存在,而实际检测系统处理的却是文件访问、命令执行、网络连接等低层系统事件,两者之间存在明显的语义鸿沟。传统IoC驱动方法大多只关注文件名、IP地址、哈希值等具体指标,对攻击变体和跨环境场景的适应能力较弱;而依赖人工规则的高层知识方法又通常构建成本高、可扩展性不足。
针对上述问题,本文提出KNOWHOW,一种面向在线溯源分析的CTI知识驱动方法,旨在自动将CTI报告中的高层攻击知识应用到底层系统事件检测中。该方法的核心思想是:首先从CTI报告中抽取可用于检测的高层攻击知识,并构建CTI Knowledge Database(CKD);随后,通过提出的gIoC(General Indicator of Compromise)表示,将攻击知识抽象为“谁对什么对象执行了什么操作”;最后,再将底层系统事件进行语义提升,与gIoC进行模糊匹配,并结合APT攻击生命周期的阶段逻辑完成攻击推理,从而实现对APT攻击的准确检测与可解释分析。
图 1 KNOWHOW 方法整体架构
如图1所示,KNOWHOW 的整体流程主要分为三个阶段。首先,系统对输入的系统事件流进行检测,将每个事件与CKD中的攻击技术知识进行匹配;若某事件能够匹配到至少一个ATT&CK技术条目,则被标记为异常事件。其次,系统以这些异常事件为种子,在线构建对应的溯源图,并在扩展过程中引入关联节点,以减少仅做事件级检测可能带来的漏报。最后,系统将候选攻击图映射到APT攻击生命周期模型中,对攻击阶段的时序关系和完整性进行推理,删除不符合攻击逻辑的阶段或节点,最终输出更加精确且具有解释性的攻击告警。
与传统基于统计异常分数的方法不同,KNOWHOW更强调基于知识的解释性检测。它不是简单判断某个事件是否异常,而是进一步回答:该事件命中了什么攻击技术、属于APT链条中的哪个阶段、为什么这些事件能够共同构成一次可信攻击。这种设计使得系统输出不再只是低层日志片段,而是能够形成带有技术语义和攻击阶段含义的检测结果,从而更贴近真实安全运营场景的分析需求。
贡献分析
贡献点1 :提出面向APT检测的CTI知识驱动在线溯源分析框架KNOWHOW
论文提出了KNOWHOW,目标将CTI报告中的高层攻击知识自动应用到底层系统事件检测中,实现对APT攻击的在线、准确且可解释分析。
贡献点2 :提出新的高层攻击知识表示gIoC,并构建CKD知识库
为了弥合CTI自然语言描述与系统底层事件之间的语义差距,论文提出了一个新的紧凑知识表示gIoC,用于刻画高层攻击知识。同时构建了新的知识库CKD对这些知识进行统一管理。
贡献点3 :设计基于APT生命周期阶段的攻击推理方法
在完成事件与知识匹配后,论文进一步设计了新的攻击推理方法。该方法基于从CKD查询结果中识别出的ATT&CK技术及其对应的APT攻击生命周期阶段,对候选攻击路径进行推理与筛选。
贡献点4 :在公开常用数据集和工业数据集上进行了系统评估
作者对KNOWHOW在多个广泛使用的数据集以及工业数据集上进行了全面实验。实验结果表明,KNOWHOW在APT检测中能够较好满足准确、有效且可解释的要求。
贡献点5 :在OpenEuler生态中完成真实安全运营环境部署验证
除了实验评估外,KNOWHOW已经部署在OpenEuler生态中进行验证,说明KNOWHOW不仅具有研究价值,也具备一定的工程可落地性。
代码分析
代码链接
https://github.com/myh0301/KNOWHOW
使用类库分析
该项目整体采用Python实现,属于典型的安全研究原型代码。
代码实现难度与工作量评估
从实现角度看,该项目难度属于中等偏上。其难点在于整体流程较长与模块间依赖较强。代码不仅要完成CTI文本中的知识抽取与表示构建,还要对底层系统日志进行语义增强和技术打标,并进一步完成告警图构建、生命周期映射与结果输出。
代码关键实现功能
(1)CTI知识抽取模块。该模块的主要功能是从CTI文本中抽取结构化攻击知识,并转化为论文中的gIoC表示。gIoC 采用
(2)知识嵌入与语义对齐模块。在抽取得到gIoC之后,系统会进一步对这些知识进行语义编码,并把它们组织为可供查询和匹配的知识表示。其核心思想是把CTI知识与系统日志都映射到统一语义空间中,再通过相似度比较判断日志中是否存在威胁行为。
(3)系统日志语义增强与异常事件检测模块。该模块面向底层系统日志,对原始事件进行语义增强和标准化处理,再结合前面得到的知识表示进行比对,从而识别潜在攻击行为。
(4)溯源图构建与事件级告警生成模块。在完成单条日志事件检测后,系统会进一步将相关事件组织成图结构,生成事件级告警和候选攻击链。
(5)APT生命周期推理与告警去噪模块。在图构建基础上,系统还会结合APT攻击生命周期对候选告警进行推理、筛选和重组,以验证其是否符合攻击链条的阶段逻辑。该模块进一步提升结果的可解释性和可信度,使最终告警能够以更接近真实攻击过程的形式呈现,并支持后续攻击报告生成。
论文点评
总体来看,这篇论文的价值在于它抓住了一个非常实际的问题:如何把CTI报告中的高层攻击知识真正应用到底层系统事件检测中。相比传统数据驱动方法容易产生误报、结果难以解释的问题,KNOWHOW把自然语言形式的攻击知识转化为可用于实际检测的结构化信息,因此整体思路比较清晰,也更贴近真实安全分析场景。
从方法设计上看,论文最突出的亮点有两个。第一是提出了gIoC这种中间表示,用来描述攻击主体、动作和目标,从而增强了CTI知识的可计算性和泛化能力;第二是引入APT攻击生命周期进行攻击推理,不仅判断事件是否可疑,还进一步分析其是否符合攻击链条的阶段逻辑。这样一来,系统输出的不再只是零散异常事件,而是更具上下文和解释性的攻击结果,这一点比单纯的异常检测更有实际意义。
不过,这篇论文也存在一定局限。其方法本质上仍然依赖已有CTI知识库的覆盖范围,因此面对与现有知识差异较大的全新攻击时,检测能力可能会受到影响;同时,真实环境中的高风险合法行为与攻击行为之间往往边界模糊,这也使系统在开放场景下仍可能出现误报。
论文文献
Meng, et al. “KnowHow: Automatically Applying High-Level CTI Knowledge for Interpretable and Accurate Provenance Analysis.” Network and Distributed System Security Symposium (NDSS 2026). 2026.
安全学术圈招募队友-ing
有兴趣加入学术圈的请联系 secdr#qq.com
声明:本文来自安全学术圈,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
